Web入侵安全測試與對策

內(nèi)容概要

　　《Web入侵安全測試與對策》主要是為了向測試人員介紹一些用于測試Web應(yīng)用程序的攻擊方式，其中會包含一些惡意輸入的典型例子，比如一些躲避校驗和身份認(rèn)證的方式，以及某些由配置、語言或結(jié)構(gòu)帶來的問題。但這些介紹都很簡單，同時給出了如何查找和測試這些問題，以及解決這些問題的方法建議。希望《Web入侵安全測試與對策》能夠成為人們在測試基于Web的應(yīng)用程序方面獲取信息（和靈感）的有力工具。

作者簡介

　　Mike Andrews，軟件安全方面的資深顧問，領(lǐng)導(dǎo)了Foundstone的Web應(yīng)用程序安全評估以及對最新的Web攻擊的分類。作為一位著作頗豐的作者，他還為財富500強(qiáng)中的多家公司進(jìn)行過獨立的安全測評。

書籍目錄

第1章　與眾不同的Web	11.1　本章內(nèi)容	11.2　簡介	11.3　World Wide Web	21.4　Web世界的價值	41.5　Web和客戶機(jī)－服務(wù)器	51.6　Web應(yīng)用的一個粗略模型	71.6.1　Web服務(wù)器	71.6.2　Web客戶機(jī)	81.6.3　網(wǎng)絡(luò)	81.7　結(jié)論	9第2章　獲取目標(biāo)的信息	112.1　本章內(nèi)容	112.2　簡介	112.3　攻擊1：淘金	112.3.1　何時使用這種攻擊	122.3.2　如何實施這種攻擊	122.3.3　如何防范這種攻擊	182.4　攻擊2：猜測文件與目錄	182.4.1　何時使用這種攻擊	192.4.2　如何實施這種攻擊	192.4.3　如何防范這種攻擊	222.5　攻擊3：其他人留下的漏洞——樣例程序的缺陷	232.5.1　何時使用這種攻擊	232.5.2　如何實施這種攻擊	232.5.3　如何防范這種攻擊	24第3章　攻擊客戶機(jī)	253.1　本章內(nèi)容	253.2　簡介	253.3　攻擊4：繞過對輸入選項的限制	263.3.1　何時使用這種攻擊	273.3.2　如何實施這種攻擊	273.3.3　如何防范這種攻擊	303.4　攻擊5：繞過客戶機(jī)端的驗證	313.4.1　何時使用這種攻擊	323.4.2　如何實施這種攻擊	323.4.3　如何防范這種攻擊	34第4章　基于狀態(tài)的攻擊	374.1　本章內(nèi)容	374.2　簡介	374.3　攻擊6：隱藏域	384.3.1　何時使用這種攻擊	384.3.2　如何實施這種攻擊	404.3.3　如何防范這種攻擊	414.4　攻擊7：CGI參數(shù)	414.4.1　何時使用這種攻擊	424.4.2　如何實施這種攻擊	424.4.3　如何防范這種攻擊	454.5　攻擊8：破壞cookie	454.5.1　何時使用這種攻擊	464.5.2　如何實施這種攻擊	464.5.3　如何防范這種攻擊	484.6　攻擊9：URL跳躍	484.6.1　何時使用這種攻擊	484.6.2　如何實施這種攻擊	494.6.3　如何防范這種攻擊	504.7　攻擊10：會話劫持	514.7.1　何時使用這種攻擊	524.7.2　如何實施這種攻擊	524.7.3　如何防范這種攻擊	544.8　參考文獻(xiàn)	55第5章　攻擊用戶提交的輸入數(shù)據(jù)	575.1　本章內(nèi)容	575.2　簡介	575.3　攻擊11：跨站點腳本	575.3.1　何時使用這種攻擊	595.3.2　如何實施這種攻擊	595.3.3　如何防范這種攻擊	635.4　攻擊12：SQL注入	645.4.1　何時使用這種攻擊	655.4.2　如何實施這種攻擊	655.4.3　如何防范這種攻擊	685.5　攻擊13：目錄遍歷	695.5.1　何時使用這種攻擊	695.5.2　如何實施這種攻擊	695.5.3　如何防范這種攻擊	71第6章　基于語言的攻擊	736.1　本章內(nèi)容	736.2　簡介	736.3　攻擊14：緩沖區(qū)溢出	736.3.1　何時使用這種攻擊	746.3.2　如何實施這種攻擊	756.3.3　如何防范這種攻擊	776.4　攻擊15：公理化	786.4.1　何時使用這種攻擊	796.4.2　如何實施這種攻擊	796.4.3　如何防范這種攻擊	816.5　攻擊16：NULL字符攻擊	816.5.1　何時使用這種攻擊	826.5.2　如何實施這種攻擊	836.5.3　如何防范這種攻擊	83第7章　獲取目標(biāo)的信息	857.1　本章內(nèi)容	857.2　簡介	857.3　攻擊17：SQL注入II——存儲過程	857.3.1　何時使用這種攻擊	867.3.2　如何實施這種攻擊	867.3.3　如何防范這種攻擊	877.4　攻擊18 ：命令注入	887.4.1　何時使用這種攻擊	897.4.2　如何實施這種攻擊	907.4.3　如何防范這種攻擊	907.5　攻擊19：探測服務(wù)器	907.5.1　何時使用這種攻擊	917.5.2　如何實施這種攻擊	927.5.3　如何防范這種攻擊	957.6　攻擊20：拒絕服務(wù)	967.6.1　何時使用這種攻擊	967.6.2　如何實施這種攻擊	977.6.3　如何防范這種攻擊	977.7　參考文獻(xiàn)	97第8章　認(rèn)證	998.1　本章內(nèi)容	998.2　簡介	998.3　攻擊21：偽裝型加密	998.3.1　何時使用這種攻擊	1008.3.2　如何實施這種攻擊	1018.3.3　如何防范這種攻擊	1038.4　攻擊22：認(rèn)證破壞	1038.4.1　何時使用這種攻擊	1058.4.2　如何實施這種攻擊	1058.4.3　如何防范這種攻擊	1068.5　攻擊23：跨站點跟蹤	1078.5.1　何時使用這種攻擊	1098.5.2　如何實施這種攻擊	1098.5.3　如何防范這種攻擊	1108.6　攻擊24：暴力破解低強(qiáng)度密鑰	1108.6.1　何時使用這種攻擊	1128.6.2　如何實施這種攻擊	1138.6.3　如何防范這種攻擊	1138.7　參考文獻(xiàn)	115第9章　隱私	1179.1　本章內(nèi)容	1179.2　簡介	1179.3　用戶代理	1189.4　原文	1209.5　cookie	1219.6　Web Bugs	1239.7　對剪切板的存取	1249.8　頁面緩存	1259.9　ActiveX控件	1279.10　瀏覽器輔助對象	127第10章　Web服務(wù)	12910.1　本章內(nèi)容	12910.2　簡介	12910.3　什么是Web服務(wù)	12910.4　XML	13010.5　SOAP	13110.6　WSDL	13210.7　UDDI	13210.8　威脅	13310.8.1　WSDL掃描攻擊	13310.8.2　參數(shù)篡改	13410.8.3　XPATH注入攻擊	13410.8.4　遞歸負(fù)載攻擊	13510.8.5　過載攻擊	13610.8.6　外部實體攻擊	136附錄A　軟件產(chǎn)業(yè)50年：質(zhì)量為先	139A.1　1950—1959年：起源	139A.2　1960—1969年：遠(yuǎn)行	140A.3　1970—1979年：混亂	141A.4　1980—1989年：重建	142A.4.1　CASE工具	142A.4.2　形式方法	143A.5　1990—1999年：發(fā)展	144A.6　2000—2009年：工程化？	145附錄B　電子花店的bug	149附錄C　工具	155C.1　TextPad	155C.2　Nikto	156C.3　Wikto	159C.4　Stunnel	164C.5　BlackWidow	165C.6　Wget	167C.7　cURL	169C.8　Paros	171C.9　SPIKEProxy	173C.10　SSLDigger	176C.11　大腦	177

編輯推薦

　　黑客們會對你的Web網(wǎng)站、應(yīng)用程序和服務(wù)器進(jìn)行殘忍的攻擊。如果網(wǎng)站存在漏洞，那么最好在這些黑客之前自己先發(fā)現(xiàn)這些攻擊?，F(xiàn)在就有一本對基于Web的軟件進(jìn)行安全性測試的權(quán)威的隨身指南?！　≡凇禬eb入侵安全測試與對策》中，兩位專家介紹了各種針對Web軟件的攻擊：對于客戶機(jī)、服務(wù)器、狀態(tài)、用戶輸入等方面的攻擊。隨著對Web架構(gòu)和代碼當(dāng)中大量關(guān)鍵的和經(jīng)常遭到攻擊的漏洞的深入了解，你將逐步掌握強(qiáng)大的攻擊工具和技術(shù)。

圖書封面

圖書標(biāo)簽Tags

無

評論、評分、閱讀與下載

---

    Web入侵安全測試與對策 PDF格式下載

---