Web安全深度剖析

相关资料

[

纵观国内网络安全方面的书籍,大多数都是只介绍结果,从未更多地考虑过程。而本书恰恰是从实用角度出发,本着务实的精神,先讲原理,再讲过程,最后讲结果,是每个从事信息安全的从业人员不可多得的一本实用大全。尤其是一些在企业从事信息安全的工作人员,可以很好地依据书中的实际案例进行学习,同时,在校学生也可以依据本书的案例进行深入学习,有效地贴近企业,更好地有的放矢。
——陈亮 owasp 中国北京主负责人
我有幸见证了《web 安全深度剖析》诞生的全过程,作者认真严谨的写作风格,深入求证的研究态度,深厚的程序员功底,丰富的网络和现场教育培训经验,使本书成为适合web 渗透测试的必选作品。本书内容丰富,知识点全面,适合网络安全爱好者和从业者学习研究。
——一剑西来 红黑联盟站长, 暗影团队管理员
我收到《web 安全深度剖析》样章后,一口气通读下来,感觉酣畅淋漓。作者用深入浅出的手法,贴近实战,基本涵盖了web 安全技术中实际遇到的方方面面。本书适合web 安全从业人员研读,也推荐有志在web 安全方向发展的人学习。
——lake2 腾讯安全平台部副总监
与其说这是一本web 安全的书籍,不如说是一本渗透实战教程,该书总结了不少常见的web 渗透思路和奇技淫巧,非常适合初学者和有一些基础的人阅读。安全圈有一句老话:未知攻,焉知防。这本书可以帮助大家找到学习安全知识的兴趣,也可以找到学习安全知识的方法。
——林伟(网名:陆羽)
360 网络攻防实验室负责人,国内知名安全社区t00ls.net 创始人之一

]

本书特色

[

本书总结了当前流行的高危漏洞的形成原因、攻击手段及解决方案,并通过大量的示例代码复现漏洞原型,制作模拟环境,更好地帮助读者深入了解web 应用程序中存在的漏洞,防患于未然。
本书从攻到防,从原理到实战,由浅入深、循序渐进地介绍了web 安全体系。全书分4 篇共16 章,除介绍web 安全的基础知识外,还介绍了web 应用程序中*常见的安全漏洞、开源程序的攻击流程与防御,并着重分析了“拖库”事件时黑客所使用的攻击手段。此外,还介绍了渗透测试工程师其他的一些检测方式。

]

目录

第1篇 基础篇第1章 web安全简介 21.1 服务器是如何被入侵的 21.2 如何更好地学习web安全 4第2章 深入http请求流程 62.1 http协议解析 62.1.1 发起http请求 62.1.2 http协议详解 72.1.3 模拟http请求 132.1.4 http协议与https协议的区别 142.2 截取http请求 152.2.1 burp suite proxy 初体验 152.2.2 fiddler 192.2.3 winsock expert 242.3 http应用:黑帽seo之搜索引擎劫持 242.4 小结 25第3章 信息探测 263.1 google hack 263.1.1 搜集子域名 263.1.2 搜集web信息 273.2 nmap初体验 293.2.1 安装nmap 293.2.2 探测主机信息 303.2.3 nmap脚本引擎 323.3 dirbuster 333.4 指纹识别 353.5 小结 38第4章 漏洞扫描 394.1 burp suite 394.1.1 target 394.1.2 spider 404.1.3 scanner 424.1.4 intruder 434.1.5 辅助模块 464.2 awvs 494.2.1 wvs向导扫描 504.2.2 web扫描服务 524.2.3 wvs小工具 534.3 appscan 544.3.1 使用appscan扫描 554.3.2 处理结果 584.3.3 appscan辅助工具 584.4 小结 61第2篇 原理篇第5章 sql注入漏洞 645.1 sql注入原理 645.2 注入漏洞分类 665.2.1 数字型注入 665.2.2 字符型注入 675.2.3 sql注入分类 685.3 常见数据库注入695.3.1 sql server 695.3.2 mysql 755.3.3 oracle 845.4 注入工具 895.4.1 sqlmap 895.4.2 pangolin 955.4.3 havij 985.5 防止sql注入 995.5.1 严格的数据类型 1005.5.2 特殊字符转义 1015.5.3 使用预编译语句 1025.5.4 框架技术 1035.5.5 存储过程 1045.6 小结 105第6章 上传漏洞 1066.1 解析漏洞 1066.1.1 iis解析漏洞 1066.1.2 apache解析漏洞 1096.1.3 php cgi解析漏洞 1106.2 绕过上传漏洞 1106.2.1 客户端检测 1126.2.2 服务器端检测 1156.3 文本编辑器上传漏洞 1236.4 修复上传漏洞 1276.5 小结 128第7章 xss跨站脚本漏洞 1297.1 xss原理解析 1297.2 xss类型 1307.2.1 反射型xss 1307.2.2 存储型xss 1317.2.3 dom xss 1327.3 检测xss 1337.3.1 手工检测xss 1347.3.2 全自动检测xss 1347.4 xss高级利用 1347.4.1 xss会话劫持 1357.4.2 xss framework 1417.4.3 xss getshell 1447.4.3 xss蠕虫 1497.5 修复xss跨站漏洞 1517.5.1 输入与输出 1517.5.2 httponly 1587.6 小结 160第8章 命令执行漏洞 1618.1 os命令执行漏洞示例 1618.2 命令执行模型 1628.2.1 php命令执行 1638.2.2 java命令执行 1658.3 框架执行漏洞 1668.3.1 struts2代码执行漏洞 1668.3.2 thinkphp命令执行漏洞 1698.3 防范命令执行漏洞 169第9章 文件包含漏洞 1719.1 包含漏洞原理解析 1719.1.1 php包含 1719.1.2 jsp包含 1809.2 安全编写包含 1849.3 小结 184第10章 其他漏洞 18510.1 csrf 18510.1.1 csrf攻击原理 18510.1.2 csrf攻击场景(get) 18610.1.3 csrf攻击场景(post) 18810.1.4 浏览器cookie机制 19010.1.5 检测csrf漏洞 19310.1.6 预防跨站请求伪造 19710.2 逻辑错误漏洞 19910.2.1 挖掘逻辑漏洞 19910.2.2 绕过授权验证 20010.2.3 密码找回逻辑漏洞 20410.2.4 支付逻辑漏洞 20510.2.5 指定账户恶意攻击 20910.3 代码注入 21010.3.1 xml注入 21110.3.2 xpath注入 21210.3.3 json注入 21510.3.4 http parameter pollution 21610.4 url跳转与钓鱼 21810.4.1 url跳转 21810.4.2 钓鱼 22010.5 webserver远程部署 22410.5.1 tomcat 22410.5.2 jboss 22610.5.3 weblogic 22910.6 小结 233第3篇 实战篇第11章 实战入侵与防范 23611.1 开源程序安全剖析 23611.1.1 0day攻击 23611.1.2 网站后台安全 23811.1.3 md5还安全吗 24311.2 拖库 24811.2.1 支持外连接 24811.2.2 不支持外连接 25311.3 小结 262第4篇 综合篇第12章 暴力破解测试 26412.1 c/s架构破解 26512.2 b/s架构破解 27212.3 暴力破解案例 27512.4 防止暴力破解 27712.5 小结 278第13章 旁注攻击 27913.1 服务器端web架构 27913.2 ip逆向查询 28013.3 sql跨库查询 28213.4 目录越权 28313.5 构造注入点 28413.6 cdn 28613.7 小结 288第14章 提权 29014.1 溢出提权 29014.2 第三方组件提权 29414.2.1 信息搜集 29414.2.2 数据库提权 29614.2.3 ftp提权 30214.2.4 pcanywhere提权 31214.3 虚拟主机提权 31414.4 提权辅助 31514.4.1 3389端口 31514.4.2 端口转发 31814.4.3 启动项提权 32014.4.4 dll劫持 32114.4.5 添加后门 32214.5 服务器防提权措施 32414.6 小结 325第15章 arp欺骗攻击 32615.1 arp协议简介 32615.1.1 arp缓存表 32615.1.2 局域网主机通信 32715.1.3 arp欺骗原理 32815.2 arp攻击 32915.2.1 cain 32915.2.2 ettercap 33215.2.3 netfuke 33615.3 防御arp攻击 33915.4 小结 340第16章 社会工程学 34116.1 信息搜集 34116.2 沟通 34316.3 伪造 34416.4 小结 345严正声明 346

封面

Web安全深度剖析

书名:Web安全深度剖析

作者:张炳帅

页数:345

定价:¥59.0

出版社:电子工业出版社

出版日期:2015-04-01

ISBN:9787121255816

PDF电子书大小:98MB 高清扫描完整版

百度云下载:http://www.chendianrong.com/pdf

发表评论

邮箱地址不会被公开。 必填项已用*标注