万本电子书0元读

万本电子书0元读

顶部广告

黑客攻防技术宝典:第2版.Web实战篇电子书

售       价:¥

纸质售价:¥89.30购买纸书

705人正在读 | 2人评论 6.2

作       者:(英)斯图塔德,(英)平托

出  版  社:人民邮电出版社

出版时间:2012-06-01

字       数:56.5万

所属分类: 科技 > 计算机/网络 > 计算机理论与教程

温馨提示:此类商品不支持退换货,不支持下载打印

为你推荐

  • 读书简介
  • 目录
  • 累计评论(2条)
  • 读书简介
  • 目录
  • 累计评论(2条)
《黑客攻防技术宝典:Web实战篇(第2版)》是探索和研究Web应用程序安全漏洞的实践指南。作者利用大量的实际案例和示例代码,详细介绍了各类Web应用程序的弱点,并深入阐述了如何针对Web应用程序进行具体的渗透测试。《黑客攻防技术宝典:Web实战篇(第2版)》从介绍当前Web应用程序安全概况开始,重点讨论渗透测试时使用的详细步骤和技巧,最后总结书中涵盖的主题。每章后还附有习题,便于读者巩固所学内容。 《黑客攻防技术宝典:Web实战篇(第2版)》是探索和研究Web应用程序安全漏洞的实践指南。作者利用大量的实际案例和示例代码,详细介绍了各类Web应用程序的弱,并深阐述了如何针对Web应用程序行具体的渗透测试。《黑客攻防技术宝典:Web实战篇(第2版)》从介绍当前Web应用程序安全概况始,重讨论渗透测试时使用的详细步骤和技巧,最后总结书中涵盖的主题。每章后还附有习题,便于读者巩固所学内容。 第2版新增了Web应用程序安全领域近年来的发展变化新情况,并以尝试访问的形式提供了几百个互动式“漏洞实验室”,便于读者迅速掌握各种攻防知识与技能。 《黑客攻防技术宝典:Web实战篇(第2版)》适合各层次计算机安全人士和Web发与管理领域的技术人员阅读。
【推荐语】
安全技术宝典全新升级 亚马逊书店五星赞誉 深剖析,实战演练,使你如饮醍醐 推荐组合: 黑客攻防技术宝典:iOS实战篇 (iOS平台破解与攻防**书,美国国家安全局全球网络漏洞攻分析师、连续4年Pwn2Own黑客竞赛大奖得主CharlieMiller领衔,6位**信息安全专家倾情奉献,阵容豪华、内容权威、****、不容错过!)
【作者】
Dafydd Stuttard世界知名安全顾问、作家、软件发人士。牛津大学博士,MDSec公司联合创始人,尤其擅长Web应用程序和编译软件的渗透测试。Dafydd以网名PortSwigger蜚声安全界,是众所周知的Web应用程序集成攻平台BurpSuite的发者。 Marcus Pinto资深渗透测试专家,剑桥大学硕士,MDSec公司联合创始人。Marcus为全球金融、政府、电信、博彩、零售等行业*组织和机构提供Web应用程序渗透测试和安全防御的咨询与培训。
目录展开

译者序

前言

致谢名单

致谢

第1章 Web应用程序安全与风险

1.1 Web应用程序的发展历程

1.2 Web应用程序安全

1.3 小结

第2章 核心防御机制

2.1 处理用户访问

2.2 处理用户输入

2.3 处理攻击者

2.4 管理应用程序

2.5 小结

2.6 问题

第3章 Web应用程序技术

3.1 HTTP

3.2 Web功能

3.3 编码方案

3.4 下一步

3.5 问题

第4章 解析应用程序

4.1 枚举内容与功能

4.2 分析应用程序

4.3 小结

4.4 问题

第5章 避开客户端控件

5.1 通过客户端传送数据

5.2 收集用户数据:HTML表单

5.3 收集用户数据:浏览器扩展

5.4 安全处理客户端数据

5.5 小结

5.6 问题

第6章 攻击验证机制

6.1 验证技术

6.2 验证机制设计缺陷

6.3 验证机制执行缺陷

6.4 保障验证机制的安全

6.5 小结

6.6 问题

第7章 攻击会话管理

7.1 状态要求

7.2 会话令牌生成过程中的薄弱环节

7.3 会话令牌处理中的薄弱环节

7.4 保障会话管理的安全

7.5 小结

7.6 问题

第8章 攻击访问控制

8.1 常见漏洞

8.2 攻击访问控制

8.3 保障访问控制的安全

8.4 小结

8.5 问题

第9章 攻击数据存储区

9.1 注入解释型语言

9.2 注入SQL

9.2.1 利用一个基本的漏洞

9.2.2 注入不同的语句类型

9.2.3 查明SQL注入漏洞

9.2.4 “指纹”识别数据库

9.2.5 UNION操作符

9.2.6 提取有用的数据

9.2.7 使用UNION提取数据

9.2.8 避开过滤

9.2.9 二阶SQL注入

9.2.10 高级利用

9.2.11 SQL注入之外:扩大数据库攻击范围

9.2.12 使用SQL注入工具

9.2.13 SQL语法与错误参考

9.2.14 防止SQL注入

9.3 注入NoSQL

9.4 注入XPath

9.5 注入LDAP

9.6 小结

9.7 问题

第10章 测试后端组件

10.1 注入操作系统命令

10.2 操作文件路径

10.3 注入XML解释器

10.4 注入后端HTTP请求

10.5 注入电子邮件

10.6 小结

10.7 问题

第11章 攻击应用程序逻辑

11.1 逻辑缺陷的本质

11.2 现实中的逻辑缺陷

11.3 避免逻辑缺陷

11.4 小结

11.5 问题

第12章 攻击其他用户

12.1 XSS的分类

12.2 进行中的XSS攻击

12.3 查找并利用XSS漏洞

12.3.1 查找并利用反射型XSS漏洞

12.3.2 查找并利用保存型XSS漏洞

12.3.3 查找并利用基于DOM的XSS漏洞

12.4 防止XSS攻击

12.5 小结

12.6 问题

第13章 攻击用户:其他技巧

13.1 诱使用户执行操作

13.2 跨域捕获数据

13.3 同源策略深入讨论

13.4 其他客户端注入攻击

13.5 本地隐私攻击

13.6 攻击ActiveX控件

13.7 攻击浏览器

13.8 小结

13.9 问题

第14章 定制攻击自动化

14.1 应用定制自动化攻击

14.2 枚举有效的标识符

14.3 获取有用的数据

14.4 常见漏洞模糊测试

14.5 整合全部功能:Burp Intruder

14.6 实施自动化的限制

14.7 小结

14.8 问题

第15章 利用信息泄露

15.1 利用错误消息

15.2 收集公布的信息

15.3 使用推论

15.4 防止信息泄露

15.5 小结

15.6 问题

第16章 攻击本地编译型应用程序

16.1 缓冲区溢出漏洞

16.2 整数漏洞

16.3 格式化字符串漏洞

16.4 小结

16.5 问题

第17章 攻击应用程序架构

17.1 分层架构

17.2 共享主机与应用程序服务提供商

17.3 小结

17.4 问题

第18章 攻击Web服务器

18.1 Web服务器配置缺陷

18.2 易受攻击的服务器软件

18.3 Web应用程序防火墙

18.4 小结

18.5 问题

第19章 查找源代码中的漏洞

19.1 代码审查方法

19.2 常见漏洞签名

19.3 Java平台

19.4 ASP.NET

19.5 PHP

19.6 Perl

19.7 JavaScript

19.8 数据库代码组件

19.9 代码浏览工具

19.10 小结

19.11 问题

第20章 Web应用程序黑客工具包

20.1 Web浏览器

20.2 集成测试套件

20.3 独立漏洞扫描器

20.4 其他工具

20.5 小结

第21章 Web应用程序渗透测试方法论

21.1 解析应用程序内容

21.2 分析应用程序

21.3 测试客户端控件

21.4 测试验证机制

21.5 测试会话管理机制

21.6 测试访问控件

21.7 测试基于输入的漏洞

21.8 测试特殊功能方面的输入漏洞

21.9 测试逻辑缺陷

21.10 测试共享主机漏洞

21.11 测试Web服务器漏洞

21.12 其他检查

21.13 检查信息泄露

累计评论(2条) 3个书友正在讨论这本书 发表评论

发表评论

发表评论,分享你的想法吧!

买过这本书的人还买过

读了这本书的人还在读

回顶部