XSS跨站腳本攻擊剖析與防御

內(nèi)容概要

《XSS跨站腳本攻擊剖析與防御》是一本專(zhuān)門(mén)剖析XSS安全的專(zhuān)業(yè)書(shū)，總共8章，主要包括的內(nèi)容如下。第1章 XSS初探，主要闡述了XSS的基礎(chǔ)知識(shí)，包括XSS的攻擊原理和危害。第2章 XSS利用方式，就當(dāng)前比較流行的XSS利用方式做了深入的剖析，這些攻擊往往基于客戶(hù)端，從掛馬、竊取Cookies、會(huì)話劫持到釣魚(yú)欺騙，各種攻擊都不容忽視。第3章 XSS測(cè)試和利用工具，介紹了一些常見(jiàn)的XSS測(cè)試工具。第4章 發(fā)掘XSS漏洞，著重以黑盒和白盒的角度介紹如何發(fā)掘XSS漏洞，以便幫助讀者樹(shù)立安全意識(shí)。第5章 XSS Worm，講解了Web 2.0的最大威脅——跨站腳本蠕蟲(chóng)，剖析了Web 2.0相關(guān)概念和其核心技術(shù)，這些知識(shí)對(duì)于理解和預(yù)防XSS Worm十分重要。第6章 Flash應(yīng)用安全，就當(dāng)前的Flash應(yīng)用安全做出了深入闡述。第7章 深入XSS原理，討論一些比較深入的XSS理論。第8章 防御XSS攻擊，介紹了一些防范XSS攻擊的方法，例如，運(yùn)用XSS Filter進(jìn)行輸入過(guò)濾和輸出編碼，使用Firefox瀏覽器的Noscript插件抵御XSS攻擊，使用HTTP-only的Cookies同樣能起到保護(hù)敏感數(shù)據(jù)的作用。
《XSS跨站腳本攻擊剖析與防御》適合網(wǎng)站管理人員、信息/網(wǎng)絡(luò)安全或相關(guān)工作從業(yè)者、軟件開(kāi)發(fā)工程師，以及任何對(duì)Web安全技術(shù)感興趣的讀者。

作者簡(jiǎn)介

邱永華

書(shū)籍目錄

目　錄
第1章　XSS初探　1
1.1　跨站腳本介紹　1
1.1.1　什么是XSS跨站腳本　2
1.1.2　XSS跨站腳本實(shí)例　4
1.1.3　XSS漏洞的危害　6
1.2　XSS的分類(lèi)　8
1.2.1　反射型XSS　8
1.2.2　持久型XSS　10
1.3　XSS的簡(jiǎn)單發(fā)掘　12
1.3.1　搭建測(cè)試環(huán)境　12
1.3.2　發(fā)掘反射型的XSS　12
1.3.3　發(fā)掘持久型的XSS　15
1.4　XSS Cheat Sheet　18
1.5　XSS構(gòu)造剖析　21
1.5.1　繞過(guò)XSS-Filter　22
1.5.2　利用字符編碼　33
1.5.3　拆分跨站法　37
1.6　Shellcode的調(diào)用　39
1.6.1　動(dòng)態(tài)調(diào)用遠(yuǎn)程JavaScript　40
1.6.2　使用window.location.hash　41
1.6.3　XSS Downloader　41
1.6.4　備選存儲(chǔ)技術(shù)　43
第2章　XSS利用方式剖析　45
2.1　Cookie竊取攻擊剖析　45
2.1.1　Cookie基礎(chǔ)介紹　46
2.1.2　Cookie會(huì)話攻擊原理剖析　48
2.1.3　Cookie欺騙實(shí)例剖析　49
2.2　會(huì)話劫持剖析　51
2.2.1　了解Session機(jī)制　51
2.2.2　XSS實(shí)現(xiàn)權(quán)限提升　52
2.2.3　獲取網(wǎng)站W(wǎng)ebshell　55
2.3　網(wǎng)絡(luò)釣魚(yú)　57
2.3.1　XSS Phishing　57
2.3.2　XSS釣魚(yú)的方式　59
2.3.3　高級(jí)釣魚(yú)技術(shù)　60
2.4　XSS History Hack　63
2.4.1　鏈接樣式和getComputedStyle()　64
2.4.2　JavaScript/CSS history hack　64
2.4.3　竊取搜索查詢(xún)　65
2.5　客戶(hù)端信息刺探　67
2.5.1　JavaScript實(shí)現(xiàn)端口掃描　67
2.5.2　截獲剪貼板內(nèi)容　68
2.5.3　獲取客戶(hù)端IP地址　70
2.6　其他惡意攻擊剖析　71
2.6.1　網(wǎng)頁(yè)掛馬　71
2.6.2　DOS和DDOS　72
2.6.3　XSS Virus/Worm　73
第3章　XSS測(cè)試和工具剖析　75
3.1　Firebug　75
3.2　Tamper Data　80
3.3　Live HTTP Headers　82
3.4　Fiddler　84
3.5　XSS-Proxy　86
3.6　XSS Shell　90
3.7　AttackAPI　94
3.8　Anehta　98
第4章　發(fā)掘XSS漏洞　104
4.1　黑盒工具測(cè)試　104
4.2　黑盒手動(dòng)測(cè)試　107
4.3　源代碼安全審計(jì)　110
4.4　JavaScript代碼分析　118
4.4.1　DOM簡(jiǎn)介　118
4.4.2　第三種XSS——DOM XSS　120
4.4.3　發(fā)掘基于DOM的XSS　123
4.5　發(fā)掘Flash XSS　126
4.6　巧用語(yǔ)言特性　129
4.6.1　PHP 4 phpinfo() XSS　130
4.6.2　$_SERVER[PHP_SELF]　131
4.6.3　變量覆蓋　132
第5章　XSS Worm剖析　135
5.1　Web 2.0應(yīng)用安全　135
5.1.1　改變世界的Web 2.0　135
5.1.2　淺談Web 2.0的安全性　137
5.2　Ajax技術(shù)指南　138
5.2.1　使用Ajax　139
5.2.2　XMLHttpRequest對(duì)象　140
5.2.3　HTTP請(qǐng)求　142
5.2.4　HTTP響應(yīng)　142
5.3　瀏覽器安全　145
5.3.1　沙箱　145
5.3.2　同源安全策略　146
5.4　XSS Worm介紹　147
5.4.1　蠕蟲(chóng)病毒剖析　147
5.4.2　XSS Worm攻擊原理剖析　148
5.4.3　XSS Worm剖析　149
5.4.4　運(yùn)用DOM技術(shù)　150
5.5　新浪微博蠕蟲(chóng)分析　153
第6章　Flash應(yīng)用安全　156
6.1　Flash簡(jiǎn)介　156
6.1.1　Flash Player 與SWF　156
6.1.2　嵌入Flash文件　158
6.1.3　ActionScript語(yǔ)言　158
6.2　Flash安全模型　160
6.2.1　Flash安全沙箱　161
6.2.2　Cross Domain Policy　162
6.2.3　設(shè)置管理器　164
6.3　Flash客戶(hù)端攻擊剖析　165
6.3.1　getURL() & XSS　165
6.3.2　Cross Site Flashing　169
6.3.3　Flash參數(shù)型注入　171
6.3.4　Flash釣魚(yú)剖析　173
6.4　利用Flash進(jìn)行XSS攻擊剖析　174
6.5　利用Flash進(jìn)行CSRF　178
第7章　深入XSS原理　181
7.1　深入淺出CSRF　182
7.1.1　CSRF原理剖析　182
7.1.2　CSRF實(shí)例講解剖析　185
7.1.3　CSRF的應(yīng)用剖析　187
7.2　Hacking JSON　187
7.2.1　JSON概述　187
7.2.2　跨域JSON注入剖析　190
7.2.3　JSON Hijacking　191
7.3　HTTP Response Splitting　193
7.3.1　HTTP Header　193
7.3.2　CRLF Injection原理　195
7.3.3　校內(nèi)網(wǎng)HRS案例　197
7.4　MHTML協(xié)議的安全　199
7.5　利用Data URIs進(jìn)行XSS剖析　203
7.5.1　Data URIs介紹　203
7.5.2　Data URIs XSS　204
7.5.3　vBulletin Data URIs XSS　206
7.6　UTF-7 BOM XSS　206
7.7　瀏覽器插件安全　211
7.7.1　Flash后門(mén)　211
7.7.2　來(lái)自PDF的XSS　213
7.7.3　QuickTime XSS　217
7.8　特殊的XSS應(yīng)用場(chǎng)景剖析　218
7.8.1　基于Cookie的XSS　218
7.8.2　來(lái)自RSS的XSS　220
7.8.3　應(yīng)用軟件中的XSS　222
7.9　瀏覽器差異　225
7.9.1　跨瀏覽器的不兼容性　226
7.9.2　IE嗅探機(jī)制與XSS　226
7.9.3　瀏覽器差異與XSS　228
7.10　字符集編碼隱患　231
第8章　防御XSS攻擊　234
8.1　使用XSS Filter　234
8.1.1　輸入過(guò)濾　235
8.1.2　輸出編碼　237
8.1.3　黑名單和白名單　239
8.2　定制過(guò)濾策略　240
8.3　Web安全編碼規(guī)范　244
8.4　防御DOM-Based XSS　248
8.5　其他防御方式　250
8.5.1　Anti_XSS　250
8.5.2　HttpOnly Cookie　252
8.5.3　Noscript　253
8.5.4　WAF　254
8.6　防御CSRF攻擊　255
8.6.1　使用POST替代GET　256
8.6.2　檢驗(yàn)HTTP Referer　257
8.6.3　驗(yàn)證碼　258
8.6.4　使用Token　259
參考文獻(xiàn)　262

圖書(shū)封面

圖書(shū)標(biāo)簽Tags

無(wú)

評(píng)論、評(píng)分、閱讀與下載

---

    XSS跨站腳本攻擊剖析與防御 PDF格式下載

---