万本电子书0元读

万本电子书0元读

顶部广告

Web代码安全漏洞深度剖析电子书

售       价:¥

纸质售价:¥71.50购买纸书

63人正在读 | 0人评论 7.3

作       者:曹玉杰,王乐,李家辉,孔韬循

出  版  社:机械工业出版社

出版时间:2021-09-01

字       数:13.3万

所属分类: 科技 > 计算机/网络 > 程序设计

温馨提示:数字商品不支持退换货,不提供源文件,不支持导出打印

为你推荐

  • 读书简介
  • 目录
  • 累计评论(0条)
  • 读书简介
  • 目录
  • 累计评论(0条)
本书系统化介绍代码审计的步骤和业务漏洞分析,总结了作者在信息安全领域多年的实践经验,内容丰富,实践性强。本书分三大部分,共14章。“准备工作”部分介绍漏洞剖析环境搭建和辅助工具简单使用,为后续分析下基础。“常规应用漏洞分析”部分介绍了几种漏洞的基本概念和实例解剖,如SQL注、XSS跨站、CSRF/XSRF、文件类型、代码执行与命令执行等漏洞,并介绍了代码审计的思路和步骤。“业务安全漏洞分析”部分通过实例介绍了业务安全中的典型漏洞,如短信验证码、会话验证、密码找回、支付、越权等漏洞,并针对漏洞给出了防御措施。<br/>
目录展开

本书赞誉

序言

前言

致谢

第一部分 准备工作

第1章 搭建代码审计环境

1.1 基于Windows搭建phpStudy

1.2 基于Linux搭建phpStudy

1.3 在Linux下利用Docker搭建PHP环境

1.3.1 在Linux下安装并启动Docker

1.3.2 在Docker下搭建PHP运行环境

1.3.3 上传镜像至Docker Hub

1.4 phpStorm远程连接Docker容器

1.4.1 配置Docker SSH服务

1.4.2 使用phpStorm连接Docker

1.5 小结

第2章 辅助工具

2.1 代码调试工具phpStorm+Xdebug

2.1.1 配置

2.1.2 使用

2.2 火狐浏览器56.0的HackBar和FoxyProxy

2.2.1 安装火狐浏览器

2.2.2 HackBar的安装与使用

2.2.3 FoxyProxy安装与使用

2.3 抓包工具Burp Suite

2.3.1 Burp Suite简介与安装

2.3.2 Proxy模块

2.3.3 Repeater模块

2.3.4 Intruder模块

2.3.5 Decoder模块

2.4 小结

第3章 了解目标

3.1 代码审计的思路与流程

3.1.1 代码审计的难点

3.1.2 代码审计流程

3.2 漏洞分析前的准备工作

3.2.1 网站程序构成

3.2.2 Web程序路由

3.3 php.ini配置

3.4 小结

第二部分 常规应用漏洞分析

第4章 SQL注入漏洞及防御

4.1 SQL注入的原理及审计思路

4.1.1 产生SQL注入的条件

4.1.2 SQL注入漏洞类型

4.1.3 审计思路

4.1.4 防御建议

4.2 GET型SQL注入防御脚本绕过案例剖析

4.2.1 复现条件

4.2.2 复现漏洞

4.2.3 URL链接构造

4.2.4 漏洞利用代码剖析

4.2.5 Payload构造思路

4.3 Joomla注入案例分析

4.3.1 复现条件

4.3.2 复现漏洞

4.3.3 URL链接构造

4.3.4 漏洞利用代码剖析

4.3.5 Payload构造思路

4.4 SQL存储显现insert注入案例分析

4.4.1 复现条件

4.4.2 复现漏洞

4.4.3 URL链接构造

4.4.4 漏洞利用代码剖析

4.4.5 Payload构造思路

4.5 小结

第5章 跨站脚本攻击及防御

5.1 XSS简介

5.1.1 XSS类型及示例分析

5.1.2 如何通过代码安全审计发现XSS

5.1.3 防御建议

5.2 反射型XSS三次URL编码案例分析

5.2.1 复现漏洞

5.2.2 URL链接构造

5.2.3 漏洞利用代码剖析

5.2.4 Payload构造思路

5.3 存储型XSS案例分析

5.3.1 复现漏洞

5.3.2 URL链接构造

5.3.3 漏洞利用代码剖析

5.3.4 Payload构造思路

5.4 DOM型XSS案例分析

5.4.1 复现漏洞

5.4.2 URL链接构造

5.4.3 漏洞利用代码剖析

5.4.4 Payload构造思路

5.5 小结

第6章 跨站请求伪造漏洞及防御

6.1 CSRF原理

6.1.1 简介

6.1.2 CSRF产生的条件

6.1.3 GET型CSRF

6.1.4 POST型CSRF

6.1.5 如何审计

6.1.6 防御建议

6.2 GET型CSRF案例分析

6.2.1 复现漏洞

6.2.2 URL链接构造

6.2.3 漏洞利用代码剖析

6.2.4 Payload构造思路

6.3 POST型CSRF分析

6.3.1 复现漏洞

6.3.2 URL链接构造

6.3.3 漏洞利用代码剖析

6.3.4 Payload构造思路

6.4 小结

第7章 文件类型漏洞及防御

7.1 文件上传漏洞

7.1.1 简介

7.1.2 如何审计

7.1.3 防御建议

7.2 文件上传漏洞案例剖析

7.2.1 复现漏洞

7.2.2 URL链接构造

7.2.3 漏洞利用代码剖析

7.2.4 Payload构造思路

7.3 文件下载漏洞

7.4 文件下载漏洞实际案例剖析

7.4.1 复现漏洞

7.4.2 URL链接构造

7.4.3 漏洞利用代码剖析

7.4.4 审计及开发思路

7.5 文件删除漏洞

7.6 文件删除漏洞实际案例剖析

7.6.1 复现漏洞

7.6.2 URL链接构造

7.6.3 漏洞利用代码剖析

7.6.4 Payload构造思路

7.7 文件包含漏洞

7.7.1 本地文件包含漏洞LFI

7.7.2 远程文件包含RFI

7.7.3 PHP伪协议

7.7.4 如何审计

7.7.5 防御建议

7.8 本地文件包含日志漏洞案例剖析

7.8.1 复现漏洞

7.8.2 URL链接构造

7.8.3 漏洞利用代码剖析

7.8.4 Payload构造思路

7.9 本地前台图片上传包含漏洞案例剖析

7.9.1 复现漏洞

7.9.2 URL链接构造

7.9.3 漏洞利用代码剖析

7.9.4 Payload构造思路

7.10 远程文件包含漏洞案例剖析

7.10.1 复现漏洞

7.10.2 URL链接构造

7.10.3 漏洞利用代码剖析

7.10.4 Payload构造思路

7.11 小结

第8章 代码执行漏洞与命令执行漏洞

8.1 代码执行漏洞的原理

8.1.1 代码执行函数

8.1.2 preg_replace()

8.1.3 array_map()

8.1.4 动态函数$a($b)与assert()

8.1.5 文件包含函数导致代码执行

8.1.6 反序列化代码执行与eval()

8.2 代码执行案例剖析

8.2.1 复现漏洞

8.2.2 URL链接构造

8.2.3 漏洞利用代码剖析

8.2.4 Payload构造思路

8.3 反序列化代码执行案例剖析

8.3.1 复现漏洞

8.3.2 漏洞利用代码剖析

8.3.3 Payload构造思路

8.4 命令执行漏洞

8.4.1 命令执行介绍

8.4.2 常用管道符

8.5 命令执行漏洞案例分析

8.5.1 复现漏洞

8.5.2 URL链接构造

8.5.3 漏洞利用代码剖析

8.5.4 Payload构造思路

8.6 小结

第9章 常规应用漏洞的其他类型

9.1 XXE漏洞

9.1.1 XML基础知识与外部实体引用

9.1.2 引用外部实体常用写法

9.1.3 外部实体支持协议

9.1.4 Blind XXE

9.1.5 防御建议

9.1.6 代码审计关键词

9.2 XXE漏洞案例剖析

9.2.1 复现漏洞

9.2.2 URL链接构造

9.2.3 漏洞利用代码剖析

9.2.4 Payload构造思路

9.3 URL跳转漏洞

9.3.1 漏洞原理

9.3.2 URL攻击方式

9.3.3 防御建议

9.4 URL跳转漏洞案例剖析

9.4.1 复现漏洞

9.4.2 URL链接构造

9.4.3 漏洞利用代码剖析

9.5 SSRF漏洞

9.5.1 漏洞原理

9.5.2 攻击流程

9.5.3 curl使用方法

9.5.4 防御建议

9.6 SSRF漏洞案例剖析

9.6.1 复现漏洞

9.6.2 URL链接构造

9.6.3 漏洞利用代码剖析

9.6.4 Payload构造思路

9.7 PHP变量覆盖漏洞

9.7.1 register_globals全局变量覆盖

9.7.2 extract()

9.7.3 parse_str()

9.7.4 import_request_variables()

9.7.5 $$可变变量

9.8 变量覆盖漏洞案例剖析

9.8.1 复现漏洞

9.8.2 URL链接构造

9.8.3 漏洞利用代码剖析

9.9 小结

第三部分 业务安全漏洞分析

第10章 短信验证码漏洞及防御

10.1 短信验证码业务的安全问题及防御思路

10.2 短信验证码漏洞案例剖析

10.2.1 复现漏洞

10.2.2 URL链接构造

10.2.3 漏洞利用代码剖析

10.3 小结

第11章 会话验证漏洞及防御

11.1 会话验证的过程

11.2 Cookie认证会话漏洞案例剖析

11.2.1 复现漏洞

11.2.2 URL链接入口

11.2.3 漏洞利用代码剖析

11.3 Session身份认证漏洞案例剖析

11.3.1 复现漏洞

11.3.2 URL链接构造

11.3.3 漏洞利用代码剖析

11.3.4 Payload构造思路

11.4 小结

第12章 密码找回漏洞及防御

12.1 简介

12.1.1 密码找回漏洞的形式

12.1.2 如何审计

12.2 密码找回漏洞案例剖析

12.2.1 复现漏洞

12.2.2 URL链接构造

12.2.3 漏洞利用代码剖析

12.2.4 Payload构造思路

12.3 小结

第13章 支付漏洞及防御

13.1 简介

13.1.1 支付漏洞的主要表现形式

13.1.2 防御建议

13.2 支付漏洞案例剖析

13.2.1 复现漏洞

13.2.2 URL链接构造

13.2.3 漏洞利用代码剖析

13.3 小结

第14章 越权漏洞及防御

14.1 简介

14.1.1 越权类型

14.1.2 如何审计

14.2 平行越权案例剖析

14.2.1 复现漏洞

14.2.2 URL链接构造

14.2.3 漏洞利用代码剖析

14.3 垂直越权案例剖析

14.3.1 复现漏洞

14.3.2 URL链接构造

14.3.3 漏洞代码剖析

14.4 小结

累计评论(0条) 0个书友正在讨论这本书 发表评论

发表评论

发表评论,分享你的想法吧!

买过这本书的人还买过

读了这本书的人还在读

回顶部