计算机 类型
5.8 豆瓣评分
可以朗读 语音朗读
81千字 字数
2018-03-01 发行日期
展开全部

主编推荐语

《网络安全法15章》:理论篇、技术篇、实践篇,涵盖法规、测试方法、案例总结。

内容简介

本书有15个章节,包括理论篇、技术篇和实践篇。理论篇主要介绍网络安全法律法规、业务安全思考、业务安全测试方法论。技术篇主要介绍登录认证模块测试、业务办理模块测试、业务授权访问模块测试、输入输出模块测试、回退模块测试、验证码机制测试、业务数据安全测试、业务流程乱序测试、密码找回模块测试、业务接口模块调用测试等内容。实践篇主要针对技术篇幅中的测试方法进行相关典型案例的总结,包括账号安全案例总结、密码找回案例总结、越权访问案例、OAuth 2.0案例总结、在线支付安全案例总结。

目录

  • 封面
  • 版权页
  • 前言
  • 致谢
  • 目录
  • 理论篇
  • 第1章 网络安全法律法规
  • 第2章 业务安全引发的思考
  • 2.1 行业安全问题的思考
  • 2.2 如何更好地学习业务安全
  • 第3章 业务安全测试理论
  • 3.1 业务安全测试概述
  • 3.2 业务安全测试模型
  • 3.3 业务安全测试流程
  • 3.4 业务安全测试参考标准
  • 3.5 业务安全测试要点
  • 技术篇
  • 第4章 登录认证模块测试
  • 4.1 暴力破解测试
  • 4.1.1 测试原理和方法
  • 4.1.2 测试过程
  • 4.1.3 修复建议
  • 4.2 本地加密传输测试
  • 4.2.1 测试原理和方法
  • 4.2.2 测试过程
  • 4.2.3 修复建议
  • 4.3 Session测试
  • 4.3.1 Session会话固定测试
  • 4.3.2 Seesion会话注销测试
  • 4.3.3 Seesion会话超时时间测试
  • 4.4 Cookie仿冒测试
  • 4.4.1 测试原理和方法
  • 4.4.2 测试过程
  • 4.4.3 修复建议
  • 4.5 密文比对认证测试
  • 4.5.1 测试原理和方法
  • 4.5.2 测试过程
  • 4.5.3 修复建议
  • 4.6 登录失败信息测试
  • 4.6.1 测试原理和方法
  • 4.6.2 测试过程
  • 4.6.3 修复建议
  • 第5章 业务办理模块测试
  • 5.1 订单ID篡改测试
  • 5.1.1 测试原理和方法
  • 5.1.2 测试过程
  • 5.1.3 修复建议
  • 5.2 手机号码篡改测试
  • 5.2.1 测试原理和方法
  • 5.2.2 测试过程
  • 5.2.3 修复建议
  • 5.3 用户ID篡改测试
  • 5.3.1 测试原理和方法
  • 5.3.2 测试过程
  • 5.3.3 修复建议
  • 5.4 邮箱和用户篡改测试
  • 5.4.1 测试原理和方法
  • 5.4.2 测试过程
  • 5.4.3 修复建议
  • 5.5 商品编号篡改测试
  • 5.5.1 测试原理和方法
  • 5.5.2 测试过程
  • 5.5.3 修复建议
  • 5.6 竞争条件测试
  • 5.6.1 测试原理和方法
  • 5.6.2 测试过程
  • 5.6.3 修复建议
  • 第6章 业务授权访问模块
  • 6.1 非授权访问测试
  • 6.1.1 测试原理和方法
  • 6.1.2 测试过程
  • 6.1.3 修复建议
  • 6.2 越权测试
  • 6.2.1 测试原理和方法
  • 6.2.2 测试过程
  • 6.2.3 修复建议
  • 第7章 输入/输出模块测试
  • 7.1 SQL注入测试
  • 7.1.1 测试原理和方法
  • 7.1.2 测试过程
  • 7.1.3 修复建议
  • 7.2 XSS测试
  • 7.2.1 测试原理和方法
  • 7.2.2 测试过程
  • 7.2.3 修复建议
  • 7.3 命令执行测试
  • 7.3.1 测试原理和方法
  • 7.3.2 测试过程
  • 7.3.3 修复建议
  • 第8章 回退模块测试
  • 8.1 回退测试
  • 8.1.1 测试原理和方法
  • 8.1.2 测试过程
  • 8.1.3 修复建议
  • 第9章 验证码机制测试
  • 9.1 验证码暴力破解测试
  • 9.1.1 测试原理和方法
  • 9.1.2 测试过程
  • 9.1.3 修复建议
  • 9.2 验证码重复使用测试
  • 9.2.1 测试原理和方法
  • 9.2.2 测试过程
  • 9.2.3 修复建议
  • 9.3 验证码客户端回显测试
  • 9.3.1 测试原理和方法
  • 9.3.2 测试过程
  • 9.3.3 修复建议
  • 9.4 验证码绕过测试
  • 9.4.1 测试原理和方法
  • 9.4.2 测试过程
  • 9.4.3 修复建议
  • 9.5 验证码自动识别测试
  • 9.5.1 测试原理和方法
  • 9.5.2 测试过程
  • 9.5.3 修复建议
  • 第10章 业务数据安全测试
  • 10.1 商品支付金额篡改测试
  • 10.1.1 测试原理和方法
  • 10.1.2 测试过程
  • 10.1.3 修复建议
  • 10.2 商品订购数量篡改测试
  • 10.2.1 测试原理和方法
  • 10.2.2 测试过程
  • 10.2.3 修复建议
  • 10.3 前端JS限制绕过测试
  • 10.3.1 测试原理和方法
  • 10.3.2 测试过程
  • 10.3.3 修复建议
  • 10.4 请求重放测试
  • 10.4.1 测试原理和方法
  • 10.4.2 测试过程
  • 10.4.3 修复建议
  • 10.5 业务上限测试
  • 10.5.1 测试原理和方法
  • 10.5.2 测试过程
  • 10.5.3 修复建议
  • 第11章 业务流程乱序测试
  • 11.1 业务流程绕过测试
  • 11.1.1 测试原理和方法
  • 11.1.2 测试过程
  • 11.1.3 修复建议
  • 第12章 密码找回模块测试
  • 12.1 验证码客户端回显测试
  • 12.1.1 测试原理和方法
  • 12.1.2 测试流程
  • 12.1.3 修复建议
  • 12.2 验证码暴力破解测试
  • 12.2.1 测试原理和方法
  • 12.2.2 测试流程
  • 12.2.3 修复建议
  • 12.3 接口参数账号修改测试
  • 12.3.1 测试原理和方法
  • 12.3.2 测试流程
  • 12.3.3 修复建议
  • 12.4 Response状态值修改测试
  • 12.4.1 测试原理和方法
  • 12.4.2 测试流程
  • 12.4.3 修复建议
  • 12.5 Session覆盖测试
  • 12.5.1 测试原理和方法
  • 12.5.2 测试流程
  • 12.5.3 修复建议
  • 12.6 弱Token设计缺陷测试
  • 12.6.1 测试原理和方法
  • 12.6.2 测试流程
  • 12.6.3 修复建议
  • 12.7 密码找回流程绕过测试
  • 12.7.1 测试原理和方法
  • 12.7.2 测试流程
  • 12.7.3 修复建议
  • 第13章 业务接口调用模块测试
  • 13.1 接口调用重放测试
  • 13.1.1 测试原理和方法
  • 13.1.2 测试过程
  • 13.1.3 修复建议
  • 13.2 接口调用遍历测试
  • 13.2.1 测试原理和方法
  • 13.2.2 测试过程
  • 13.2.3 修复建议
  • 13.3 接口调用参数篡改测试
  • 13.3.1 测试原理和方法
  • 13.3.2 测试过程
  • 13.3.3 修复建议
  • 13.4 接口未授权访问/调用测试
  • 13.4.1 测试原理和方法
  • 13.4.2 测试过程
  • 13.4.3 修复建议
  • 13.5 Callback自定义测试
  • 13.5.1 测试原理和方法
  • 13.5.2 测试过程
  • 13.5.3 修复建议
  • 13.6 WebService测试
  • 13.6.1 测试原理和方法
  • 13.6.2 测试过程
  • 13.6.3 修复建议
  • 实践篇
  • 第14章 账号安全案例总结
  • 14.1 账号安全归纳
  • 14.2 账号安全相关案例
  • 14.1.1 账号密码直接暴露在互联网上
  • 14.1.2 无限制登录任意账号
  • 14.1.3 电子邮件账号泄露事件
  • 14.1.4 中间人攻击
  • 14.1.5 撞库攻击
  • 14.3 防范账号泄露的相关手段
  • 第15章 密码找回安全案例总结
  • 15.1 密码找回凭证可被暴力破解
  • 15.1.1 某社交软件任意密码修改案例
  • 15.2 密码找回凭证直接返回给客户端
  • 15.2.1 密码找回凭证暴露在请求链接中
  • 15.2.2 加密验证字符串返回给客户端
  • 15.2.3 网页源代码中隐藏着密保答案
  • 15.2.4 短信验证码返回给客户端
  • 15.3 密码重置链接存在弱Token
  • 15.3.1 使用时间戳的md5作为密码重置Token
  • 15.3.2 使用服务器时间作为密码重置Token
  • 15.4 密码重置凭证与用户账户关联不严
  • 15.4.1 使用短信验证码找回密码
  • 15.4.2 使用邮箱Token找回密码
  • 15.5 重新绑定用户手机或邮箱
  • 15.5.1 重新绑定用户手机
  • 15.5.2 重新绑定用户邮箱
  • 15.6 服务端验证逻辑缺陷
  • 15.6.1 删除参数绕过验证
  • 15.6.2 邮箱地址可被操控
  • 15.6.3 身份验证步骤可被绕过
  • 15.7 在本地验证服务端的返回信息——修改返回包绕过验证
  • 15.8 注册覆盖——已存在用户可被重复注册
  • 15.9 Session覆盖——某电商网站可通过Session覆盖方式重置他人密码
  • 15.10 防范密码找回漏洞的相关手段
  • 第16章 越权访问安全案例总结
  • 16.1 平行越权
  • 16.1.1 某高校教务系统用户可越权查看其他用户个人信息
  • 16.1.2 某电商网站用户可越权查看或修改其他用户信息
  • 16.1.3 某手机APP普通用户可越权查看其他用户个人信息
  • 16.2 纵向越权
  • 16.2.1 某办公系统普通用户权限越权提升为系统权限
  • 16.2.2 某中学网站管理后台可越权添加管理员账号
  • 16.2.3 某智能机顶盒低权限用户可越权修改超级管理员配置信息
  • 16.2.4 某Web防火墙通过修改用户对应菜单类别可提升权限
  • 16.3 防范越权访问漏洞的相关手段
  • 第17章 OAuth 2.0安全案例总结
  • 17.1 OAuth2.0认证原理
  • 17.2 OAuth2.0漏洞总结
  • 17.2.1 某社交网站CSRF漏洞导致绑定劫持
  • 17.2.2 某社区劫持授权
  • 17.3 防范OAuth2.0漏洞的相关手段
  • 第18章 在线支付安全案例总结
  • 18.1 某快餐连锁店官网订单金额篡改
  • 18.2 某网上商城订单数量篡改
  • 18.3 某服务器供应商平台订单请求重放测试
  • 18.4 某培训机构官网订单其他参数干扰测试
  • 18.5 防范在线支付漏洞的相关手段
展开全部

评分及书评

评分不足
1个评分

出版方

电子工业出版社

电子工业出版社成立于1982年10月,是国务院独资、工信部直属的中央级科技与教育出版社,是专业的信息技术知识集成和服务提供商。经过三十多年的建设与发展,已成为一家以科技和教育出版、期刊、网络、行业支撑服务、数字出版、软件研发、软科学研究、职业培训和教育为核心业务的现代知识服务集团。出版物内容涵盖了电子信息技术的各个分支及工业技术、经济管理、科普与少儿、社科人文等领域,综合出版能力位居全国出版行业前列。