揭秘Web應用程序攻擊技術

前言

2008年5月29日，陜西省地震信息網(wǎng)遭受到了惡意的黑客攻擊，在陜西省地震信息網(wǎng)“四川汶川8.0級地震應急”欄目中赫然出現(xiàn)了一則關于“23時30分陜西各地會有強烈地震發(fā)生”的虛假信息和一條題為“網(wǎng)站出現(xiàn)重大安全漏洞”的警告信息。相繼陜西省地震信息網(wǎng)被惡意攻擊后，廣東省地震信息網(wǎng)也遭到惡意攻擊，甚至連四川重災區(qū)的地震信息網(wǎng)也被非法入侵者破壞，這些網(wǎng)站都是屬于國家機關的政府網(wǎng)站，在汶川大地震這樣舉國悲痛的時刻，竟然有人利用自己的一點黑客技術去在陜西省地震信息網(wǎng)上惡意散布地震謠言，蠱惑人心，究竟是什么動機讓這些“網(wǎng)絡黑客”做出如此令人發(fā)指的事情呢？靜下心來思考，除去那些破壞者扭曲的心理，作為網(wǎng)站核心的Web應用程序本身漏洞重重，加上網(wǎng)站管理人員脆弱的網(wǎng)絡安全意識，這才會讓攻擊者有機可乘，網(wǎng)絡安全的警鐘再一次對我們每一個人敲響。后來，有新聞記者采訪了其中一位被公安機關抓獲的網(wǎng)絡攻擊者，當問到他是利用什么技術攻擊網(wǎng)站的時候，這位所謂的“黑客”說道：“其實也沒有什么，那個網(wǎng)站的漏洞太明顯了。”一句簡單的回答，對于一個普通的人來說太令人感到困惑，究竟這些黑客到底是怎樣找出網(wǎng)站上Web應用程序中的漏洞，又是怎樣利用這些漏洞攻擊網(wǎng)絡服務器的，這些問題都是一個謎。而對于那些維護網(wǎng)站安全的管理人員來說，他們更渴望知道自己的程序究竟在哪里出現(xiàn)了問題，自己怎樣做才能防止此類事情再度發(fā)生，防患于未然。正因為如此，我決定寫一本書，來揭開這些隱藏在黑暗深處的秘密，不再讓我們感到談“黑”色變。本書寫作思路本書不同于以往的安全書籍，在這里沒有采用教科書式的純理論化介紹，而是將實際的講解實例全面介紹給讀者。本書也沒有用那些屬于老黃歷的過時技術來進行湊數(shù)，而是將現(xiàn)在最流行的網(wǎng)絡程序攻擊技術拿出來與讀者一起學習。在將這些攻擊技術原理講清楚的同時，把如何發(fā)掘Web應用程序安全漏洞的方法也一并說出來，這樣做的目的是讓每一位閱讀本書的讀者能夠全方位了解Web應用程序安全的始終。本書也第一次讓讀者真實地扮演一位Web應用程序的“攻擊者”，從分析目標程序漏洞開始，一步步帶領讀者走進神秘的黑客世界。讓每一位閱讀本書的讀者切切實實地明白Web應用程序的安全現(xiàn)狀。本書在講述網(wǎng)絡程序如何被“黑”的同時，更加注重將如何防范Web應用程序被“黑”的安全經(jīng)驗告訴讀者，讓讀者能夠?qū)@兩者都有一個兼顧學習。Web應用程序的安全漏洞就像是計算機病毒，如果我一直告訴你安裝某某殺毒軟件就可以防止病毒入侵，那么當你安裝了殺毒軟件卻又中毒的時候，你很可能就不會再相信我說的任何話；相反，如果我告訴你什么是計算機病毒、計算機病毒之所以產(chǎn)生的原理，以及如何全面防范被病毒感染，那么即使你下一次又中毒了，你會說這其實并不可怕，因為你知道如何對付這些病毒。

內(nèi)容概要

互聯(lián)網(wǎng)安全已經(jīng)深入影響到當今社會的每一個角落，網(wǎng)絡犯罪、網(wǎng)絡惡意攻擊幾乎時時刻刻都在上演，而導致這些問題發(fā)生的最大安全隱患正來自于網(wǎng)絡的核心——web應用程序。本書以實例與理論相結(jié)合的方法，帶領讀者一同進入Web應用程序安全領域，讓讀者親身扮演一位安全研究人員，從認識Web應用程序、理解Web結(jié)構(gòu)開始，一步一步進入Web應用程序的漏洞分析及攻擊技術剖析。本書詳細講述了各種Web應用程序攻擊技術的分類及來由，第一次為讀者揭開了Web應用程序漏洞的發(fā)掘技術，同時，列舉了許多真實的Web應用程序攻擊案例，供讀者參考。    本書適合所有熱愛網(wǎng)絡安全的人們，尤其是高等院校計算機專業(yè)的學生。同時，本書可作為計算機安全培訓班及學校教材和參考書籍，也為Web應用程序開發(fā)人員及網(wǎng)絡管理人員提供了不可多得的安全參考資料，有很高的實用價值。

書籍目錄

前言第1章　脆弱的Web應用程序  1.1　所謂的“安全”  1.2　定義Web程序安全漏洞    1.2.1　漏洞的概念    1.2.2　漏洞的特性    1.2.3　系統(tǒng)的信任等級    1.2.4　漏洞與系統(tǒng)攻擊之間的關系    1.2.5　Web應用程序安全漏洞的引入  1.3　Web程序漏洞的分類  1.4　引發(fā)漏洞的始因  1.5　Web漏洞攻擊的趨勢    1.5.1　蠕蟲化    1.5.2　病毒化    1.5.3　惡意化    1.5.4  Oday化第2章　基礎知識  2.1　Web——世界的奇跡    2.1.1　什么是Web    2.1.2  Web運行原理    2.1.3  Web技術    2.1.4  Web 2.0帶來的變革  2.2  Web程序的開發(fā)    2.2.1　服務端開發(fā)語言　　2.2.2　客戶端開發(fā)語言  2.3  Web程序運行環(huán)境    2.3.1  常見的Web Servet    2.3.2  Web Server與服務器系統(tǒng)    2.3.3  狀態(tài)碼  2.4  Web程序的數(shù)據(jù)通信    2.4.1  HTTP／HTTPS協(xié)議    2.4.2  Cookies的作用    2.4.3  GET與POST數(shù)據(jù)提交  2.5　Web應用程序數(shù)據(jù)加密方式    2.5.1　MD5加密    2.5.2  URL Encode    2.5.3　Base64加密第3章　搭建攻擊平臺  3.1　發(fā)掘工具的準備    3.1.1　瀏覽器    3.1.2　編碼工具    3.1.3　監(jiān)視工具    3.1.4　調(diào)試工具  3.2　虛擬機    3.2.1　虛擬機的概念    3.2.2　VMware的安裝使用  3.3　安裝Web程序運行環(huán)境    3.3.1　IIS環(huán)境的搭建    3.3.2　XAMPP的使用    3.3.3　Tomcat的安裝第4章　最廣泛的漏洞——XSS  4.1　初次接觸XSS漏洞    4.1.1  藝術化的XSS漏洞    4.1.2  Stored.XSS漏洞    4.1.3　DOM—Based XSS漏洞  4.2　手工發(fā)掘：XSS漏洞的方法    4.2.1　尋找關鍵變量    4.2.2　頁面表單測試    4.2.3　反饋信息觀察  4.3　傳統(tǒng)的XSS漏洞利用    4.3.1  Cookies欺騙    4.3.2　隱蔽網(wǎng)頁木馬    4.3.3  電子郵件中的XSS攻擊  4.4　無可匹敵的XSS木馬  4.5　可怕的XSS蠕蟲  4.6　飛天論壇XSS漏洞發(fā)掘?qū)嵗? 4.7　防范XSS漏洞    4.7.1　過濾與加密變型    4.7.2　客戶端的防范第5章　針對數(shù)據(jù)庫的攻擊——SQL注入漏洞  5.1　常見的網(wǎng)站數(shù)據(jù)庫  5.2　SQL簡介  5.3　注入思想的誕生  5.4　IIS的“友好”幫助　……第6章　通過WEB控制系統(tǒng)系統(tǒng)第7章　引用文件帶來的危害第8章　堪稱經(jīng)典的上傳漏洞第9章　Web應用程序做嗅探第10章　混亂的Web程序員第11章　滲透編譯型Web程序第12章　自動化漏洞發(fā)揚技術第13章　穿透安全防范機制第14章　新起的Web程序攻擊　參考文獻及參考資料

章節(jié)摘錄

插圖：第1章　脆弱的Web應用程序不知道在你上網(wǎng)的時候，有沒有看見過如圖1．1所示的畫面。這是一張被惡意攻擊者滲透進入后的網(wǎng)站截圖，攻擊者篡改了網(wǎng)站的首頁內(nèi)容，圖1-1中那挑釁的字眼似乎在告訴每一個看到它的人說：“這個網(wǎng)站并不安全。”在互聯(lián)網(wǎng)上，這些用來為廣大網(wǎng)民提供信息服務的網(wǎng)站，幾乎每一個時刻都在面I臨著如此惡意的攻擊。當網(wǎng)站服務器的開發(fā)者竭盡全力加強網(wǎng)站安全的時候，Web應用程序卻成為了網(wǎng)絡這個安全木桶上最短的一塊擋板。管理學中的木桶原理告訴我們：一個木桶由許多塊木板組成，如果組成木桶的這些木板長短不一，那么木桶的最大容量不取決于長的木板，而取決于最短的那塊木板。這個原理同樣適用于信息安全。一個結(jié)構(gòu)的信息安全水平將由與信息安全有關的所有環(huán)節(jié)中最薄弱的環(huán)節(jié)決定。安全就像是水，木桶就像是需要安全保護的網(wǎng)絡環(huán)境，一個可以用來裝水的木桶，必須保證木桶上的每一塊擋板長度都要一樣，不然，一旦我們想要給木桶裝滿水的時候，水就會從最短的那一塊擋板上面流出，那就意味著安全問題將會從木桶上最短的一塊擋板上發(fā)生。在本章里，我將把它作為一個引子，告訴大家為什么我們要談論．Web應用程序的安全問題，它真的嚴重到我們需要整整一本書的版面來說明這個問題嗎?也許，我們誰都不希望在每天打開計算機上網(wǎng)的時候，映入眼簾的畫面全部都像圖1．1那樣令人不安。至于那些具體的安全理論和方法，會在后面的章節(jié)詳細講述。

編輯推薦

《揭秘Web應用程序攻擊技術》特點：全面著眼于Web應用程序安全，解密當今流行的黑客攻擊技術內(nèi)幕；精選安全案例，深入淺出講解Web應用程序安全漏洞的發(fā)現(xiàn)與利用；了解Web安全的實質(zhì)，學會有效的防范技術，真正帶領讀者走近Web應用程序安全研究者的神秘領域。

圖書封面

圖書標簽Tags

無

評論、評分、閱讀與下載

---

    揭秘Web應用程序攻擊技術 PDF格式下載

---