揭秘Web應(yīng)用程序攻擊技術(shù)

前言

2008年5月29日，陜西省地震信息網(wǎng)遭受到了惡意的黑客攻擊，在陜西省地震信息網(wǎng)“四川汶川8.0級(jí)地震應(yīng)急”欄目中赫然出現(xiàn)了一則關(guān)于“23時(shí)30分陜西各地會(huì)有強(qiáng)烈地震發(fā)生”的虛假信息和一條題為“網(wǎng)站出現(xiàn)重大安全漏洞”的警告信息。相繼陜西省地震信息網(wǎng)被惡意攻擊后，廣東省地震信息網(wǎng)也遭到惡意攻擊，甚至連四川重災(zāi)區(qū)的地震信息網(wǎng)也被非法入侵者破壞，這些網(wǎng)站都是屬于國(guó)家機(jī)關(guān)的政府網(wǎng)站，在汶川大地震這樣舉國(guó)悲痛的時(shí)刻，竟然有人利用自己的一點(diǎn)黑客技術(shù)去在陜西省地震信息網(wǎng)上惡意散布地震謠言，蠱惑人心，究竟是什么動(dòng)機(jī)讓這些“網(wǎng)絡(luò)黑客”做出如此令人發(fā)指的事情呢？靜下心來思考，除去那些破壞者扭曲的心理，作為網(wǎng)站核心的Web應(yīng)用程序本身漏洞重重，加上網(wǎng)站管理人員脆弱的網(wǎng)絡(luò)安全意識(shí)，這才會(huì)讓攻擊者有機(jī)可乘，網(wǎng)絡(luò)安全的警鐘再一次對(duì)我們每一個(gè)人敲響。后來，有新聞?dòng)浾卟稍L了其中一位被公安機(jī)關(guān)抓獲的網(wǎng)絡(luò)攻擊者，當(dāng)問到他是利用什么技術(shù)攻擊網(wǎng)站的時(shí)候，這位所謂的“黑客”說道：“其實(shí)也沒有什么，那個(gè)網(wǎng)站的漏洞太明顯了?！币痪浜?jiǎn)單的回答，對(duì)于一個(gè)普通的人來說太令人感到困惑，究竟這些黑客到底是怎樣找出網(wǎng)站上Web應(yīng)用程序中的漏洞，又是怎樣利用這些漏洞攻擊網(wǎng)絡(luò)服務(wù)器的，這些問題都是一個(gè)謎。而對(duì)于那些維護(hù)網(wǎng)站安全的管理人員來說，他們更渴望知道自己的程序究竟在哪里出現(xiàn)了問題，自己怎樣做才能防止此類事情再度發(fā)生，防患于未然。正因?yàn)槿绱?，我決定寫一本書，來揭開這些隱藏在黑暗深處的秘密，不再讓我們感到談“黑”色變。本書寫作思路本書不同于以往的安全書籍，在這里沒有采用教科書式的純理論化介紹，而是將實(shí)際的講解實(shí)例全面介紹給讀者。本書也沒有用那些屬于老黃歷的過時(shí)技術(shù)來進(jìn)行湊數(shù)，而是將現(xiàn)在最流行的網(wǎng)絡(luò)程序攻擊技術(shù)拿出來與讀者一起學(xué)習(xí)。在將這些攻擊技術(shù)原理講清楚的同時(shí)，把如何發(fā)掘Web應(yīng)用程序安全漏洞的方法也一并說出來，這樣做的目的是讓每一位閱讀本書的讀者能夠全方位了解Web應(yīng)用程序安全的始終。本書也第一次讓讀者真實(shí)地扮演一位Web應(yīng)用程序的“攻擊者”，從分析目標(biāo)程序漏洞開始，一步步帶領(lǐng)讀者走進(jìn)神秘的黑客世界。讓每一位閱讀本書的讀者切切實(shí)實(shí)地明白Web應(yīng)用程序的安全現(xiàn)狀。本書在講述網(wǎng)絡(luò)程序如何被“黑”的同時(shí)，更加注重將如何防范Web應(yīng)用程序被“黑”的安全經(jīng)驗(yàn)告訴讀者，讓讀者能夠?qū)@兩者都有一個(gè)兼顧學(xué)習(xí)。Web應(yīng)用程序的安全漏洞就像是計(jì)算機(jī)病毒，如果我一直告訴你安裝某某殺毒軟件就可以防止病毒入侵，那么當(dāng)你安裝了殺毒軟件卻又中毒的時(shí)候，你很可能就不會(huì)再相信我說的任何話；相反，如果我告訴你什么是計(jì)算機(jī)病毒、計(jì)算機(jī)病毒之所以產(chǎn)生的原理，以及如何全面防范被病毒感染，那么即使你下一次又中毒了，你會(huì)說這其實(shí)并不可怕，因?yàn)槟阒廊绾螌?duì)付這些病毒。

內(nèi)容概要

互聯(lián)網(wǎng)安全已經(jīng)深入影響到當(dāng)今社會(huì)的每一個(gè)角落，網(wǎng)絡(luò)犯罪、網(wǎng)絡(luò)惡意攻擊幾乎時(shí)時(shí)刻刻都在上演，而導(dǎo)致這些問題發(fā)生的最大安全隱患正來自于網(wǎng)絡(luò)的核心——web應(yīng)用程序。本書以實(shí)例與理論相結(jié)合的方法，帶領(lǐng)讀者一同進(jìn)入Web應(yīng)用程序安全領(lǐng)域，讓讀者親身扮演一位安全研究人員，從認(rèn)識(shí)Web應(yīng)用程序、理解Web結(jié)構(gòu)開始，一步一步進(jìn)入Web應(yīng)用程序的漏洞分析及攻擊技術(shù)剖析。本書詳細(xì)講述了各種Web應(yīng)用程序攻擊技術(shù)的分類及來由，第一次為讀者揭開了Web應(yīng)用程序漏洞的發(fā)掘技術(shù)，同時(shí)，列舉了許多真實(shí)的Web應(yīng)用程序攻擊案例，供讀者參考。    本書適合所有熱愛網(wǎng)絡(luò)安全的人們，尤其是高等院校計(jì)算機(jī)專業(yè)的學(xué)生。同時(shí)，本書可作為計(jì)算機(jī)安全培訓(xùn)班及學(xué)校教材和參考書籍，也為Web應(yīng)用程序開發(fā)人員及網(wǎng)絡(luò)管理人員提供了不可多得的安全參考資料，有很高的實(shí)用價(jià)值。

書籍目錄

前言第1章　脆弱的Web應(yīng)用程序  1.1　所謂的“安全”  1.2　定義Web程序安全漏洞    1.2.1　漏洞的概念    1.2.2　漏洞的特性    1.2.3　系統(tǒng)的信任等級(jí)    1.2.4　漏洞與系統(tǒng)攻擊之間的關(guān)系    1.2.5　Web應(yīng)用程序安全漏洞的引入  1.3　Web程序漏洞的分類  1.4　引發(fā)漏洞的始因  1.5　Web漏洞攻擊的趨勢(shì)    1.5.1　蠕蟲化    1.5.2　病毒化    1.5.3　惡意化    1.5.4  Oday化第2章　基礎(chǔ)知識(shí)  2.1　Web——世界的奇跡    2.1.1　什么是Web    2.1.2  Web運(yùn)行原理    2.1.3  Web技術(shù)    2.1.4  Web 2.0帶來的變革  2.2  Web程序的開發(fā)    2.2.1　服務(wù)端開發(fā)語(yǔ)言　　2.2.2　客戶端開發(fā)語(yǔ)言  2.3  Web程序運(yùn)行環(huán)境    2.3.1  常見的Web Servet    2.3.2  Web Server與服務(wù)器系統(tǒng)    2.3.3  狀態(tài)碼  2.4  Web程序的數(shù)據(jù)通信    2.4.1  HTTP／HTTPS協(xié)議    2.4.2  Cookies的作用    2.4.3  GET與POST數(shù)據(jù)提交  2.5　Web應(yīng)用程序數(shù)據(jù)加密方式    2.5.1　MD5加密    2.5.2  URL Encode    2.5.3　Base64加密第3章　搭建攻擊平臺(tái)  3.1　發(fā)掘工具的準(zhǔn)備    3.1.1　瀏覽器    3.1.2　編碼工具    3.1.3　監(jiān)視工具    3.1.4　調(diào)試工具  3.2　虛擬機(jī)    3.2.1　虛擬機(jī)的概念    3.2.2　VMware的安裝使用  3.3　安裝Web程序運(yùn)行環(huán)境    3.3.1　IIS環(huán)境的搭建    3.3.2　XAMPP的使用    3.3.3　Tomcat的安裝第4章　最廣泛的漏洞——XSS  4.1　初次接觸XSS漏洞    4.1.1  藝術(shù)化的XSS漏洞    4.1.2  Stored.XSS漏洞    4.1.3　DOM—Based XSS漏洞  4.2　手工發(fā)掘：XSS漏洞的方法    4.2.1　尋找關(guān)鍵變量    4.2.2　頁(yè)面表單測(cè)試    4.2.3　反饋信息觀察  4.3　傳統(tǒng)的XSS漏洞利用    4.3.1  Cookies欺騙    4.3.2　隱蔽網(wǎng)頁(yè)木馬    4.3.3  電子郵件中的XSS攻擊  4.4　無可匹敵的XSS木馬  4.5　可怕的XSS蠕蟲  4.6　飛天論壇XSS漏洞發(fā)掘?qū)嵗? 4.7　防范XSS漏洞    4.7.1　過濾與加密變型    4.7.2　客戶端的防范第5章　針對(duì)數(shù)據(jù)庫(kù)的攻擊——SQL注入漏洞  5.1　常見的網(wǎng)站數(shù)據(jù)庫(kù)  5.2　SQL簡(jiǎn)介  5.3　注入思想的誕生  5.4　IIS的“友好”幫助　……第6章　通過WEB控制系統(tǒng)系統(tǒng)第7章　引用文件帶來的危害第8章　堪稱經(jīng)典的上傳漏洞第9章　Web應(yīng)用程序做嗅探第10章　混亂的Web程序員第11章　滲透編譯型Web程序第12章　自動(dòng)化漏洞發(fā)揚(yáng)技術(shù)第13章　穿透安全防范機(jī)制第14章　新起的Web程序攻擊　參考文獻(xiàn)及參考資料

章節(jié)摘錄

插圖：第1章　脆弱的Web應(yīng)用程序不知道在你上網(wǎng)的時(shí)候，有沒有看見過如圖1．1所示的畫面。這是一張被惡意攻擊者滲透進(jìn)入后的網(wǎng)站截圖，攻擊者篡改了網(wǎng)站的首頁(yè)內(nèi)容，圖1-1中那挑釁的字眼似乎在告訴每一個(gè)看到它的人說：“這個(gè)網(wǎng)站并不安全?！痹诨ヂ?lián)網(wǎng)上，這些用來為廣大網(wǎng)民提供信息服務(wù)的網(wǎng)站，幾乎每一個(gè)時(shí)刻都在面I臨著如此惡意的攻擊。當(dāng)網(wǎng)站服務(wù)器的開發(fā)者竭盡全力加強(qiáng)網(wǎng)站安全的時(shí)候，Web應(yīng)用程序卻成為了網(wǎng)絡(luò)這個(gè)安全木桶上最短的一塊擋板。管理學(xué)中的木桶原理告訴我們：一個(gè)木桶由許多塊木板組成，如果組成木桶的這些木板長(zhǎng)短不一，那么木桶的最大容量不取決于長(zhǎng)的木板，而取決于最短的那塊木板。這個(gè)原理同樣適用于信息安全。一個(gè)結(jié)構(gòu)的信息安全水平將由與信息安全有關(guān)的所有環(huán)節(jié)中最薄弱的環(huán)節(jié)決定。安全就像是水，木桶就像是需要安全保護(hù)的網(wǎng)絡(luò)環(huán)境，一個(gè)可以用來裝水的木桶，必須保證木桶上的每一塊擋板長(zhǎng)度都要一樣，不然，一旦我們想要給木桶裝滿水的時(shí)候，水就會(huì)從最短的那一塊擋板上面流出，那就意味著安全問題將會(huì)從木桶上最短的一塊擋板上發(fā)生。在本章里，我將把它作為一個(gè)引子，告訴大家為什么我們要談?wù)摚甒eb應(yīng)用程序的安全問題，它真的嚴(yán)重到我們需要整整一本書的版面來說明這個(gè)問題嗎?也許，我們誰(shuí)都不希望在每天打開計(jì)算機(jī)上網(wǎng)的時(shí)候，映入眼簾的畫面全部都像圖1．1那樣令人不安。至于那些具體的安全理論和方法，會(huì)在后面的章節(jié)詳細(xì)講述。

編輯推薦

《揭秘Web應(yīng)用程序攻擊技術(shù)》特點(diǎn)：全面著眼于Web應(yīng)用程序安全，解密當(dāng)今流行的黑客攻擊技術(shù)內(nèi)幕；精選安全案例，深入淺出講解Web應(yīng)用程序安全漏洞的發(fā)現(xiàn)與利用；了解Web安全的實(shí)質(zhì)，學(xué)會(huì)有效的防范技術(shù)，真正帶領(lǐng)讀者走近Web應(yīng)用程序安全研究者的神秘領(lǐng)域。

圖書封面

圖書標(biāo)簽Tags

無

評(píng)論、評(píng)分、閱讀與下載

---

    揭秘Web應(yīng)用程序攻擊技術(shù) PDF格式下載

---