互联网
类型
可以朗读
语音朗读
151千字
字数
2021-09-01
发行日期
展开全部
主编推荐语
本书是一线网络安全工程师多年实战经验的结晶。
内容简介
本书系统化介绍代码审计的步骤和业务漏洞分析,总结了作者在信息安全领域多年的实践经验,全书共分为三大部分,共14章。
“准备工作”部分介绍漏洞剖析环境搭建和辅助工具简单使用,为后续分析打下基础。“常规应用漏洞分析”部分介绍了几种漏洞的基本概念和实例解剖,如SQL注入、XSS跨站、CSRF/XSRF、文件类型、代码执行与命令执行等漏洞,并介绍了代码审计的思路和步骤。“业务安全漏洞分析”部分通过实例介绍了业务安全中的典型漏洞,如短信验证码、会话验证、密码找回、支付、越权等漏洞,并针对漏洞给出了防御措施。
目录
- 版权信息
- 本书赞誉
- 序言
- 前言
- 致谢
- 第一部分 准备工作
- 第1章 搭建代码审计环境
- 1.1 基于Windows搭建phpStudy
- 1.2 基于Linux搭建phpStudy
- 1.3 在Linux下利用Docker搭建PHP环境
- 1.4 phpStorm远程连接Docker容器
- 1.5 小结
- 第2章 辅助工具
- 2.1 代码调试工具phpStorm+Xdebug
- 2.2 火狐浏览器56.0的HackBar和FoxyProxy
- 2.3 抓包工具Burp Suite
- 2.4 小结
- 第3章 了解目标
- 3.1 代码审计的思路与流程
- 3.2 漏洞分析前的准备工作
- 3.3 php.ini配置
- 3.4 小结
- 第二部分 常规应用漏洞分析
- 第4章 SQL注入漏洞及防御
- 4.1 SQL注入的原理及审计思路
- 4.2 GET型SQL注入防御脚本绕过案例剖析
- 4.3 Joomla注入案例分析
- 4.4 SQL存储显现insert注入案例分析
- 4.5 小结
- 第5章 跨站脚本攻击及防御
- 5.1 XSS简介
- 5.2 反射型XSS三次URL编码案例分析
- 5.3 存储型XSS案例分析
- 5.4 DOM型XSS案例分析
- 5.5 小结
- 第6章 跨站请求伪造漏洞及防御
- 6.1 CSRF原理
- 6.2 GET型CSRF案例分析
- 6.3 POST型CSRF分析
- 6.4 小结
- 第7章 文件类型漏洞及防御
- 7.1 文件上传漏洞
- 7.2 文件上传漏洞案例剖析
- 7.3 文件下载漏洞
- 7.4 文件下载漏洞实际案例剖析
- 7.5 文件删除漏洞
- 7.6 文件删除漏洞实际案例剖析
- 7.7 文件包含漏洞
- 7.8 本地文件包含日志漏洞案例剖析
- 7.9 本地前台图片上传包含漏洞案例剖析
- 7.10 远程文件包含漏洞案例剖析
- 7.11 小结
- 第8章 代码执行漏洞与命令执行漏洞
- 8.1 代码执行漏洞的原理
- 8.2 代码执行案例剖析
- 8.3 反序列化代码执行案例剖析
- 8.4 命令执行漏洞
- 8.5 命令执行漏洞案例分析
- 8.6 小结
- 第9章 常规应用漏洞的其他类型
- 9.1 XXE漏洞
- 9.2 XXE漏洞案例剖析
- 9.3 URL跳转漏洞
- 9.4 URL跳转漏洞案例剖析
- 9.5 SSRF漏洞
- 9.6 SSRF漏洞案例剖析
- 9.7 PHP变量覆盖漏洞
- 9.8 变量覆盖漏洞案例剖析
- 9.9 小结
- 第三部分 业务安全漏洞分析
- 第10章 短信验证码漏洞及防御
- 10.1 短信验证码业务的安全问题及防御思路
- 10.2 短信验证码漏洞案例剖析
- 10.3 小结
- 第11章 会话验证漏洞及防御
- 11.1 会话验证的过程
- 11.2 Cookie认证会话漏洞案例剖析
- 11.3 Session身份认证漏洞案例剖析
- 11.4 小结
- 第12章 密码找回漏洞及防御
- 12.1 简介
- 12.2 密码找回漏洞案例剖析
- 12.3 小结
- 第13章 支付漏洞及防御
- 13.1 简介
- 13.2 支付漏洞案例剖析
- 13.3 小结
- 第14章 越权漏洞及防御
- 14.1 简介
- 14.2 平行越权案例剖析
- 14.3 垂直越权案例剖析
- 14.4 小结
展开全部
评分及书评
尚无评分
目前还没人评分
- 加载中...
出版方
机械工业出版社有限公司
机械工业出版社是全国优秀出版社,自1952年成立以来,坚持为科技、为教育服务,以向行业、向学校提供优质、权威的精神产品为宗旨,以“服务社会和人民群众需求,传播社会主义先进文化”为己任,产业结构不断完善,已由传统的图书出版向着图书、期刊、电子出版物、音像制品、电子商务一体化延伸,现已发展为多领域、多学科的大型综合性出版社,涉及机械、电工电子、汽车、计算机、经济管理、建筑、ELT、科普以及教材、教辅等领域。
