Web应用漏洞侦测与防御:揭秘鲜为人知的攻击手段和防御技术 (美) Mike Shema
评分(0)
- 分类:图书馆 - 网络安全
- 浏览:11 次
- 下载:0 次
- 大小:71 MB
- 版本:PDF
- 下载消耗: 15 金币
- 时间:2026-06-27
详细内容
《Web应用漏洞侦测与防御:揭秘鲜为人知的攻击手段和防御技术》作者是国际知名网络安全专家,揭示最危险的Web攻击,以及解决方案。全面讲解如何预防常见的网络攻击,包括:HTML注入及跨站脚本攻击、跨站请求伪造攻击、SQL注入攻击及数据存储操纵、攻破身份认证模式、利用设计缺陷、利用平台弱点、攻击浏览器和隐私等。书中对HTML5标准中与安全相关的主要API和特性进行了介绍,针对每一种攻击方式,不仅探究其攻击方法、机理及影响,而且还给出可能采取的应对措施。有助于读者了解如何对Web应用从多角度实施安全保护,做到防患于未然,使得网站拥有者或网站开发人员有信心面对安全相关的威胁与挑战。
作者: Mike Shema
译者: 齐宁 / 庞建民 / 张铮 / 单征
出版社: 机械工业出版社
出版年: 2014-8-20
ISBN: 9787111472537
页数: 231
装帧: 平装
定价: 69.00
原作名: Hacking Web Apps: Detecting and Preventing Web Application
目 录
译者序
前 言
第1章 HTML5
1.1 新的文档对象模型
1.2 跨域资源共享
1.3 Websocket
1.3.1 传输数据
1.3.2 数据帧
1.3.3 安全性考虑
1.4 Web存储
1.5 Web Worker
1.6 杂七杂八
1.6.1 History API
1.6.2 API草案
1.7 小结
第2章 HTML注入及跨站脚本攻击
2.1 理解HTML注入
2.1.1 确定注入点
2.1.2 确定反射类型
2.1.3 确定注入呈现位置的上下文
2.1.4 攻击汇总
2.1.5 利用字符集
2.1.6 利用失效模式
2.1.7 绕过弱的排除列表
2.1.8 利用浏览器的怪异模式
2.1.9 不寻常的攻击载体
2.1.10 XSS的影响
2.2 部署应对措施
2.2.1 确定静态字符集
2.2.2 规范化字符集及编码
2.2.3 对输出进行编码
2.2.4 当心排除列表和正则表达式
2.2.5 重用代码,不要重新实现代码
2.2.6 JavaScript沙盒
2.2.7 浏览器内置XSS防御
2.3 小结
第3章 跨站请求伪造
3.1 理解跨站请求伪造
3.1.1 CSRF实现机制
3.1.2 借助强制浏览的请求伪造
3.1.3 无需密码攻击已认证动作
3.1.4 危险关系:CSRF和HTML注入
3.1.5 当心错综复杂的Web
3.1.6 相关主题:点击劫持
3.2 部署应对措施
3.2.1 朝着正确方向努力
3.2.2 保卫Web浏览器
3.2.3 脆弱性和似真性
3.3 小结
第4章 SQL注入攻击及数据存储操纵
4.1 理解SQL注入
4.1.1 攻击路线:数学和语法
4.1.2 攻击SQL语句
4.1.3 剖析数据库
4.1.4 其他攻击向量
4.1.5 真实世界中的SQL注入攻击
4.1.6 HTML5的Web存储API
4.1.7 不使用SQL的SQL注入攻击
4.2 部署应对措施
4.2.1 验证输入
4.2.2 对语句进行保护
4.2.3 保护信息
4.2.4 给数据库打最新的补丁
4.3 小结
第5章 攻破身份认证模式
5.1 理解身份认证攻击
5.1.1 重放会话令牌
5.1.2 暴力破解
5.1.3 网络嗅探
5.1.4 重置密码
5.1.5 跨站脚本攻击
5.1.6 SQL注入
5.1.7 诈骗和易受骗性
5.2 部署应对措施
5.2.1 保护会话cookie
5.2.2 使用安全认证方案
5.2.3 借助用户的力量
5.2.4 骚扰用户
5.2.5 请求限制
5.2.6 日志与三角测量
5.2.7 击败钓鱼攻击
5.2.8 保护密码
5.3 小结
第6章 利用设计缺陷
6.1 理解逻辑攻击和设计攻击
6.1.1 利用工作流
6.1.2 漏洞利用的策略及做法
6.1.3 归纳法
6.1.4 拒绝服务
6.1.5 不安全的设计模式
6.1.6 加密中的实现错误
6.1.7 信息泄露
6.2 部署应对措施
6.2.1 记录需求
6.2.2 创建强健的测试用例
6.2.3 把策略映射到控制
6.2.4 防御性编程
6.2.5 验证客户端
6.2.6 加密指南
6.3 小结
第7章 利用平台弱点
7.1 攻击是如何实现的
7.1.1 识别模式、数据结构以及开发者癖好
7.1.2 以操作系统为攻击目标
7.1.3 攻击服务器
7.1.4 拒绝服务
7.2 部署应对措施
7.2.1 限制文件访问
7.2.2 使用对象引用
7.2.3 将不安全函数列入到黑名单
7.2.4 强制授权
7.2.5 限制网络连接
7.3 小结
第8章 攻击浏览器和隐私
8.1 理解恶意软件和浏览器攻击
8.1.1 恶意软件
8.1.2 插入到浏览器插件中
8.1.3 DNS和域
8.1.4 HTML5
8.1.5 隐私
8.2 部署应对措施
8.2.1 安全地配置SSL/TLS
8.2.2 更加安全地浏览网页
8.2.3 隔离浏览器
8.2.4 Tor
8.2.5 DNSSEC
8.3 小结
作者: Mike Shema
译者: 齐宁 / 庞建民 / 张铮 / 单征
出版社: 机械工业出版社
出版年: 2014-8-20
ISBN: 9787111472537
页数: 231
装帧: 平装
定价: 69.00
原作名: Hacking Web Apps: Detecting and Preventing Web Application
目 录
译者序
前 言
第1章 HTML5
1.1 新的文档对象模型
1.2 跨域资源共享
1.3 Websocket
1.3.1 传输数据
1.3.2 数据帧
1.3.3 安全性考虑
1.4 Web存储
1.5 Web Worker
1.6 杂七杂八
1.6.1 History API
1.6.2 API草案
1.7 小结
第2章 HTML注入及跨站脚本攻击
2.1 理解HTML注入
2.1.1 确定注入点
2.1.2 确定反射类型
2.1.3 确定注入呈现位置的上下文
2.1.4 攻击汇总
2.1.5 利用字符集
2.1.6 利用失效模式
2.1.7 绕过弱的排除列表
2.1.8 利用浏览器的怪异模式
2.1.9 不寻常的攻击载体
2.1.10 XSS的影响
2.2 部署应对措施
2.2.1 确定静态字符集
2.2.2 规范化字符集及编码
2.2.3 对输出进行编码
2.2.4 当心排除列表和正则表达式
2.2.5 重用代码,不要重新实现代码
2.2.6 JavaScript沙盒
2.2.7 浏览器内置XSS防御
2.3 小结
第3章 跨站请求伪造
3.1 理解跨站请求伪造
3.1.1 CSRF实现机制
3.1.2 借助强制浏览的请求伪造
3.1.3 无需密码攻击已认证动作
3.1.4 危险关系:CSRF和HTML注入
3.1.5 当心错综复杂的Web
3.1.6 相关主题:点击劫持
3.2 部署应对措施
3.2.1 朝着正确方向努力
3.2.2 保卫Web浏览器
3.2.3 脆弱性和似真性
3.3 小结
第4章 SQL注入攻击及数据存储操纵
4.1 理解SQL注入
4.1.1 攻击路线:数学和语法
4.1.2 攻击SQL语句
4.1.3 剖析数据库
4.1.4 其他攻击向量
4.1.5 真实世界中的SQL注入攻击
4.1.6 HTML5的Web存储API
4.1.7 不使用SQL的SQL注入攻击
4.2 部署应对措施
4.2.1 验证输入
4.2.2 对语句进行保护
4.2.3 保护信息
4.2.4 给数据库打最新的补丁
4.3 小结
第5章 攻破身份认证模式
5.1 理解身份认证攻击
5.1.1 重放会话令牌
5.1.2 暴力破解
5.1.3 网络嗅探
5.1.4 重置密码
5.1.5 跨站脚本攻击
5.1.6 SQL注入
5.1.7 诈骗和易受骗性
5.2 部署应对措施
5.2.1 保护会话cookie
5.2.2 使用安全认证方案
5.2.3 借助用户的力量
5.2.4 骚扰用户
5.2.5 请求限制
5.2.6 日志与三角测量
5.2.7 击败钓鱼攻击
5.2.8 保护密码
5.3 小结
第6章 利用设计缺陷
6.1 理解逻辑攻击和设计攻击
6.1.1 利用工作流
6.1.2 漏洞利用的策略及做法
6.1.3 归纳法
6.1.4 拒绝服务
6.1.5 不安全的设计模式
6.1.6 加密中的实现错误
6.1.7 信息泄露
6.2 部署应对措施
6.2.1 记录需求
6.2.2 创建强健的测试用例
6.2.3 把策略映射到控制
6.2.4 防御性编程
6.2.5 验证客户端
6.2.6 加密指南
6.3 小结
第7章 利用平台弱点
7.1 攻击是如何实现的
7.1.1 识别模式、数据结构以及开发者癖好
7.1.2 以操作系统为攻击目标
7.1.3 攻击服务器
7.1.4 拒绝服务
7.2 部署应对措施
7.2.1 限制文件访问
7.2.2 使用对象引用
7.2.3 将不安全函数列入到黑名单
7.2.4 强制授权
7.2.5 限制网络连接
7.3 小结
第8章 攻击浏览器和隐私
8.1 理解恶意软件和浏览器攻击
8.1.1 恶意软件
8.1.2 插入到浏览器插件中
8.1.3 DNS和域
8.1.4 HTML5
8.1.5 隐私
8.2 部署应对措施
8.2.1 安全地配置SSL/TLS
8.2.2 更加安全地浏览网页
8.2.3 隔离浏览器
8.2.4 Tor
8.2.5 DNSSEC
8.3 小结
标签:
Web
相关截图添加图片
暂无截图
帮助说明
点评
热门下载more
-
Kali Linux大揭秘:深入掌握渗透测试平台 pdf
71浏览:257 次下载:10 次 -
Kali Linux渗透测试的艺术-大学霸
71浏览:210 次下载:1 次 -
Kail Linux 中文指南
71浏览:235 次下载:1 次 -
Kali渗透测试技术实战 [美] 布鲁德 IDF实验室
71浏览:160 次下载:1 次 -
从实践中学习Kali Linux网络扫描
71浏览:194 次下载:1 次 -
Backtrack渗透测试学习笔记.pdf
71浏览:207 次下载:1 次
-
Web渗透测试使用kali linux.pdf
71浏览:255 次下载:1 次 -
Metasploit渗透测试指南(修订版).pdf
71浏览:260 次下载:1 次
专题more
-
Asuswrt-Merlin梅林固件专题汇集
加拿大人Eric Sauvageau在华硕开源的Asuswrt代码基础之上,个人进行二次开发以后,对外发布的第三方固件。最早是针对ASUS RT-N66U路由器进行开发,后来也移植到了华硕其他路由器机型。 Merlin原作者官网:https://www.asuswrt-merlin.net 国内所提供的梅林固件均源上述。 -
Aruba控制器固件
Aruba 6xx/7xxxx控制器固件下载