黑客入侵網(wǎng)頁攻防修煉

內(nèi)容概要

　　本書將PHP的技術(shù)技巧與Web應(yīng)用相結(jié)合，分別對黑客的入侵和頁面設(shè)計時的防范措施進(jìn)行了深入淺出的分析，通過實例演示了包括Command
Injection、Script Insertion、XSS 、SQL Injection 、CSRF、Session
Hijacking和HTTP Response
Splitting等在內(nèi)的18種技術(shù)，這其中包含了作者對網(wǎng)頁安全的獨到見解。本書以一種清晰而簡練的風(fēng)格介紹了黑客慣用的技術(shù)要點，通過大量的示例演示了這種入侵是如何發(fā)生的，并指導(dǎo)讀者如何防止類似問題的發(fā)生。在透徹地介紹基礎(chǔ)知識的同時，還加入了作者自己的應(yīng)用經(jīng)驗，可以大大提高讀者的編程能力和應(yīng)用水平。
　　本書適合的讀者包括PHP中級、高級技術(shù)人員和網(wǎng)絡(luò)安全從業(yè)人員等。

書籍目錄

第1章 PHP網(wǎng)頁的安全性
　1.1 什么是安全性
　　1.1.1 黑客攻擊的方式
　　1.1.2 PHP網(wǎng)頁的安全性問題
　1.2 Register Glols
　1.3 安全模式
　　1.3.1 限制文件的存取
　　1.3.2 限制環(huán)境變量的存取
　　1.3.3 限制外部程序的執(zhí)行
　1.4 Magic Quotes
　　1.4.1 使用Magic Quotes的好處
　　1.4.2 使用Magic Quotes的壞處
　　1.4.3 取消Magic Quotes功能
　1.5 修改PHP的設(shè)定值
　　1.5.1 在php.ini文件中修改設(shè)定值
　　1.5.2 在httpd.conf文件中修改設(shè)定值
　　1.5.3 在.htaccess文件中修改設(shè)定值
　　1.5.4 在程序中修改設(shè)定值
第2章 Command Injection -命令注入攻擊
　2.1 PHP的命令執(zhí)行函數(shù)
　　2.1.1 System函數(shù)
　　2.1.2 Exec函數(shù)
　　2.1.3 passthru函數(shù)
　　2.1.4 shell_exec 函數(shù)
　　2.1.5 運算符
　2.2 命令注入攻擊
　　2.2.1 攻擊實例一
　　2.2.2 攻擊實例二
　　2.2.3 攻擊實例三
　　2.2.4 命令注入的方式
　2.3 eval注入攻擊
　　2.3.1 攻擊沒有作用
　　2.3.2 可變變量
　　2.3.3 pre_replace函數(shù)
　　2.3.4 ace函數(shù)
　　2.3.5 動態(tài)函數(shù)
　　2.3.6 call_user_func函數(shù)
　2.4 防范的方法
　　2.4.1 使用escapeshellarg函數(shù)來處理命令的參數(shù)
　　2.4.2 使用safe_mode_exec_dir指定的可執(zhí)行文件的路徑
第3章 Script Insertion -客戶端腳本植入攻擊
　3.1 客戶端腳本植入攻擊
　3.2 攻擊實例：在留言板中插入腳本
　　3.2.1 開始攻擊：顯示簡單的對話框
　　3.2.2 沒有顯示對話框
　　3.2.3 打開Internet Explorer的活動腳本功能
　　3.2.4 關(guān)閉PHP的magic_quotes_gpc
　　3.2.5 利用數(shù)據(jù)庫來攻擊
　　3.2.6 本章的數(shù)據(jù)庫
　　3.2.7 瀏覽植入腳本的留言
　　3.2.8 破壞性的攻擊手法：顯示無窮盡的新窗口
　　3.2.9 引誘性的攻擊手法：跳轉(zhuǎn)網(wǎng)址
　3.3 防范的方法
　　3.3.1 HTML輸出過濾
　　3.3.2 使用strip_tags函數(shù)來進(jìn)行HTML輸出過濾
　　3.3.3 strip_tags函數(shù)的缺點
　　3.3.4 使用htmlspecialchars函數(shù)來進(jìn)行HTML輸出過濾
第4章 XSS -跨網(wǎng)站腳本攻擊
　4.1 什么是“跨網(wǎng)站腳本攻擊”
　4.2 跨網(wǎng)站腳本攻擊
　　4.2.1 本章的數(shù)據(jù)庫
　　4.2.2 登錄首頁
　　4.2.3 如何攻擊
　　4.2.4 開始攻擊
　　4.2.5 沒有顯示對話框
　　4.2.6 如何取得目標(biāo)用戶的cookie內(nèi)容
　　4.2.7 服務(wù)器的記錄文件
　4.3 防范的方法
　4.4 隱藏在$_SERVER["PHP_SELF"]變量內(nèi)的腳本
　　4.4.1 實際范例
　　4.4.2 拆解標(biāo)簽的內(nèi)容
　　4.4.3 避免$_SERVER["PHP_SELF"]被篡改
第5章 SQL Injection -SQL注入攻擊
第6章 CSRF -跨網(wǎng)站請求偽造攻擊
第7章 Session Hijacking -會話劫持攻擊
第8章 HTTP Response Splitting -HTTP響應(yīng)拆分攻擊
第9章 File Upload Attack -文件上傳攻擊
第10章 目錄/文件攻擊
第11章 其他的攻擊
第12章 攻擊手法匯總
第13章 漏洞掃描器
第14章 開發(fā)安全的Web程序
附錄A Telnet使用說明
附錄B 查看HTTP請求與響應(yīng)的實際內(nèi)容
附錄C URL編碼與解碼
附錄D 構(gòu)建PHP的測試環(huán)境
附錄E 找出網(wǎng)站的IP地址

章節(jié)摘錄

　　第1章　PHP網(wǎng)頁的安全性　　1.1　什么是安全性　　所謂安全性（security）就是要保護Web應(yīng)用程序與網(wǎng)頁不會受到黑客的攻擊。有些黑客純粹是為了好玩而入侵他人的電腦，但有更多的黑客費盡心思要竊取他人電腦中的機密文件，甚至使整臺電腦癱瘓來達(dá)到他的目的?！　‰娔X中放置的資料，其重要性視電腦的使用種類而定。如果是個人電腦的主機，那么安全性的問題就要視個人的觀念而定。有的人根本不在乎電腦的安全，反正遇到問題時重新安裝就好了。有的人確實會擔(dān)心自己的電腦被黑客入侵，卻又不知道如何去防范?！　∪绻芾淼氖枪緝?nèi)部或者對外開放的網(wǎng)站，如購物或者拍賣網(wǎng)站，安全性的議題就非常重要了。如果黑客入侵了您的網(wǎng)站，不但有可能使公司或者客戶的隱私信息被盜取，甚至黑客還可以在您的網(wǎng)站內(nèi)植入木馬程序，或者當(dāng)做僵尸電腦來攻擊他人。黑客也可以消耗網(wǎng)站的帶寬或軟件資源，使電腦癱瘓而讓別人無法使用您的網(wǎng)站?！　‖F(xiàn)在網(wǎng)上有很多可以讓黑客使用的軟件，這些軟件多半是免費的而且簡單好用。所以一般人要攻擊您的電腦，并不是一件非常困難的事情。關(guān)鍵是您對電腦進(jìn)行了什么樣的保護？如果只是安裝了查毒軟件或是防火墻就以為平安無事了，那么您對安全性的真正意義可以說是完全不了解?！　?.1.1　黑客攻擊的方式　　黑客要攻擊您的電腦有很多種方式，比較簡單的就是使用磁盤共享。磁盤共享是在文件管理系統(tǒng)或是網(wǎng)絡(luò)鄰居內(nèi)，通過網(wǎng)絡(luò)連接進(jìn)入其他的電腦或主機。由于黑客猜到了密碼，或者因為您的疏忽而開啟了磁盤共享功能，以致黑客可以使用Port139來簡單地入侵您的電腦?！　×硗?，暴力破解（Brute Force）也是黑客常用的方式，黑客使用嘗試錯誤的方式來破解網(wǎng)站的賬戶和密碼。有了賬戶和密碼，黑客就可以堂而皇之地登錄您的網(wǎng)站。如果黑客使用的是具有最高權(quán)限的賬戶和密碼，他就能夠任意刪除、修改或查看您電腦內(nèi)的所有文件資料?！　∩鲜鲞@些攻擊方式雖然講起來容易，但只要您細(xì)心地對您的系統(tǒng)進(jìn)行設(shè)置，黑客根本無法使用這些方式來攻擊您的電腦?，F(xiàn)在要談的是與本書有關(guān)的攻擊方式，使用網(wǎng)頁或者電子郵件來攻擊。

編輯推薦

　　網(wǎng)頁程序完全基于PHP，攻擊手法VS防范策略，命令注入攻擊，客戶端腳本植入攻擊，跨網(wǎng)站腳本攻擊，SQL注入攻擊，跨網(wǎng)站請求偽造攻擊，會話劫持攻擊，響應(yīng)拆分攻擊，文件上傳攻擊，目錄/中文攻擊?！　”緯敱M解說黑客攻擊PHP應(yīng)用程序的各種技術(shù)，當(dāng)然更有破解與防范方法的說明。要想建立安全的Web應(yīng)用程序與網(wǎng)頁，光精通PHP程序編碼是不能做到的。了解黑客實際的攻擊手法，才能知道如何來防范問題的發(fā)生。　　本書精選各種黑客的攻擊技術(shù)，總共有18種之多，大致能夠概括目前PHP網(wǎng)頁所遇到的攻擊手段。要想建立能夠讓客戶與上司信任的網(wǎng)頁，您一定要閱讀本書?！　”緯m合的讀者包括PHP中級、高級技術(shù)人員和網(wǎng)絡(luò)安全從業(yè)人員等。

圖書封面

圖書標(biāo)簽Tags

無

評論、評分、閱讀與下載

---

    黑客入侵網(wǎng)頁攻防修煉 PDF格式下載

---