基本介紹
內容簡介,編輯推薦,目錄,序言,
內容簡介
《揭秘Web應用程式攻擊技術》適合所有熱愛網路安全的人們,尤其是高等院校計算機專業的學生。
同時,《揭秘Web應用程式攻擊技術》可作為計算機安全培訓班及學校教材和參考書籍,也為Web應用程式開發人員及網路管理人員提供了不可多得的安全參考資料,有很高的實用價值。網際網路安全已經深入影響到當今社會的每一個角落,網路犯罪、網路惡意攻擊幾乎時時刻刻都在上演,而導致這些問題發生的最大安全隱患正來自於網路的核心——web應用程式
編輯推薦
《揭秘Web應用程式攻擊技術》特點:
全面著眼於Web應用程式安全,解密當今流行的黑客攻擊技術內幕;精選安全案例,深入淺出講解Web應用程式安全漏洞的發現與利用;了解Web安全的實質,學會有效的防範技術,真正帶領讀者走近Web應用程式安全研究者的神秘領域。
目錄
前言
第1章 脆弱的Web應用程式
1.1 所謂的“安全”
1.2 定義Web程式安全漏洞
1.2.1 漏洞的概念
1.2.2 漏洞的特性
1.2.3 系統的信任等級
1.2.4 漏洞與系統攻擊之間的關係
1.2.5 Web應用程式安全漏洞的引入
1.3 Web程式漏洞的分類
1.4 引發漏洞的始因
1.5 Web漏洞攻擊的趨勢
1.5.1 蠕蟲化
1.5.2 病毒化
1.5.3 惡意化
1.5.4 Oday化
第2章 基礎知識
2.1 Web——世界的奇蹟
2.1.1 什麼是Web
2.1.2 Web運行原理
2.1.3 Web技術
2.1.4 Web 2.0帶來的變革
2.2 Web程式的開發
2.2.1 服務端開發語言
2.2.2 客戶端開發語言
2.3 Web程式運行環境
2.3.1 常見的Web Servet
2.3.2 Web Server與伺服器系統
2.3.3 狀態碼
2.4 Web程式的數據通信
2.4.1 HTTP/HTTPS協定
2.4.2 Cookies的作用
2.4.3 GET與POST數據提交
2.5 Web應用程式數據加密方式
2.5.1 MD5加密
2.5.2 URL Encode
2.5.3 Base64加密
第3章 搭建攻擊平台
3.1 發掘工具的準備
3.1.1 瀏覽器
3.1.2 編碼工具
3.1.3 監視工具
3.1.4 調試工具
3.2 虛擬機
3.2.1 虛擬機的概念
3.2.2 VMware的安裝使用
3.3 安裝Web程式運行環境
3.3.1 IIS環境的搭建
3.3.2 XAMPP的使用
3.3.3 Tomcat的安裝
第4章 最廣泛的漏洞——XSS
4.1 初次接觸XSS漏洞
4.1.1 藝術化的XSS漏洞
4.1.2 Stored.XSS漏洞
4.1.3 DOM-Based XSS漏洞
4.2 手工發掘:XSS漏洞的方法
4.2.1 尋找關鍵變數
4.2.2 頁面表單測試
4.2.3 反饋信息觀察
4.3 傳統的XSS漏洞利用
4.3.1 Cookies欺騙
4.3.2 隱蔽網頁木馬
4.3.3 電子郵件中的XSS攻擊
4.4 無可匹敵的XSS木馬
4.5 可怕的XSS蠕蟲
4.6 飛天論壇XSS漏洞發掘實例
4.7 防範XSS漏洞
4.7.1 過濾與加密變型
4.7.2 客戶端的防範
第5章 針對資料庫的攻擊——SQL注入漏洞
5.1 常見的網站資料庫
5.2 SQL簡介
5.3 注入思想的誕生
5.4 IIS的“友好”幫助
.......
第6章 通過WEB控制系統系統
第7章 引用檔案帶來的危害
第8章 堪稱經典的上傳漏洞
第9章 Web應用程式做嗅探
第10章 混亂的Web程式設計師
第11章 滲透編譯型Web程式
第12章 自動化漏洞發揚技術
第13章 穿透安全防範機制
第14章 新起的Web程式攻擊
參考文獻及參考資料
序言
2008年5月29日,陝西省地震信息網遭受到了惡意的黑客攻擊,在陝西省地震信息網“四川汶川8.0級地震應急”欄目中赫然出現了一則關於“23時30分陝西各地會有強烈地震發生”的虛假信息和一條題為“網站出現重大安全漏洞”的警告信息。
相繼陝西省地震信息網被惡意攻擊後,廣東省地震信息網也遭到惡意攻擊,甚至連四川重災區的地震信息網也被非法入侵者破壞,這些網站都是屬於國家機關的政府網站,在汶川大地震這樣舉國悲痛的時刻,竟然有人利用自己的一點黑客技術去在陝西省地震信息網上惡意散布地震謠言,蠱惑人心,究竟是什麼動機讓這些“網路黑客”做出如此令人髮指的事情呢?靜下心來思考,除去那些破壞者扭曲的心理,作為網站核心的Web應用程式本身漏洞重重,加上網站管理人員脆弱的網路安全意識,這才會讓攻擊者有機可乘,網路安全的警鐘再一次對我們每一個人敲響。
後來,有新聞記者採訪了其中一位被公安機關抓獲的網路攻擊者,當問到他是利用什麼技術攻擊網站的時候,這位所謂的“黑客”說道:“其實也沒有什麼,那個網站的漏洞太明顯了。”一句簡單的回答,對於一個普通的人來說太令人感到困惑,究竟這些黑客到底是怎樣找出網站上Web應用程式中的漏洞,又是怎樣利用這些漏洞攻擊網路伺服器的,這些問題都是一個謎。而對於那些維護網站安全的管理人員來說,他們更渴望知道自己的程式究竟在哪裡出現了問題,自己怎樣做才能防止此類事情再度發生,防患於未然。正因為如此,我決定寫一本書,來揭開這些隱藏在黑暗深處的秘密,不再讓我們感到談“黑”色變。本書寫作思路
本書不同於以往的安全書籍,在這裡沒有採用教科書式的純理論化介紹,而是將實際的講解實例全面介紹給讀者。本書也沒有用那些屬於老黃曆的過時技術來進行湊數,而是將現在最流行的網路程式攻擊技術拿出來與讀者一起學習。在將這些攻擊技術原理講清楚的同時,把如何發掘Web應用程式安全漏洞的方法也一併說出來,這樣做的目的是讓每一位閱讀本書的讀者能夠全方位了解Web應用程式安全的始終。
本書也第一次讓讀者真實地扮演一位Web應用程式的“攻擊者”,從分析目標程式漏洞開始,一步步帶領讀者走進神秘的黑客世界。讓每一位閱讀本書的讀者切切實實地明白Web應用程式的安全現狀。
本書在講述網路程式如何被“黑”的同時,更加注重將如何防範Web應用程式被“黑”的安全經驗告訴讀者,讓讀者能夠對這兩者都有一個兼顧學習。Web應用程式的安全漏洞就像是計算機病毒,如果我一直告訴你安裝某某防毒軟體就可以防止病毒入侵,那么當你安裝了防毒軟體卻又中毒的時候,你很可能就不會再相信我說的任何話;相反,如果我告訴你什麼是計算機病毒、計算機病毒之所以產生的原理,以及如何全面防範被病毒感染,那么即使你下一次又中毒了,你會說這其實並不可怕,因為你知道如何對付這些病毒。