《Web入侵安全測試與對策》是2006年清華大學出版社出版的圖書,作者是安德魯(AndrewsM.),惠特克(WhittakerJ.A.)。
基本介紹
- 書名:Web入侵安全測試與對策
- 作者:安德魯、惠特克
- 譯者:汪青青
- ISBN:9787302138747
- 定價:29元
- 出版社:清華大學出版社
- 出版時間:2006-10-01
- 裝幀:平裝
- 印刷日期:2007-11-7
內容簡介,目錄,
內容簡介
Mike Andrews是Founstone的資深顧問,專攻軟體安全,並且對Web應用程式進行安全評估,對Web攻擊進行分類。他在大西洋兩岸積累了豐富的教育和商業經驗,而且還是一位著述頗豐的作者,同時又是一位出色的演講家。
在加入Foundstone之前,Mike是一名自由顧問,開發基於Web的信息系統;使用這套系統的客戶有The Economist(倫敦運輸行業的龍頭企業),以及英國的很多大學。在經歷了多年講師和研究人員的生活之後,Mike於2002年以助理教授的身份加入了佛羅里達科技研究中心。在那裡,他負責很多研究項目,同時還要為海軍研究所、空軍研究實驗室以及Microsoft進行安全方面的評定,
Mike還在英國坎特伯雷的Kent大學獲得了計算機科學專業的博士學位,主要的研究課題就是調試工具以及程式設計師心理學。
James A.Whittaker是佛羅里達科技研究中心(Florida Tech)計算機科學方面的教授,並且是安全改革的發起人。1992年,他在美國的田納西州大學獲得了博士學位。他的研究重點是軟體測試、軟體安全、軟體漏洞檢查、計算機安全等。
James是how to break software(Addison-Wesley,2002年)的作者以及how to break software security(Addison-Wesley,2003年)的合著者(另一位作者是Hugh Thompson),並且在軟體開發以及計算機安全方面發表了五十多篇論文。他在軟體測試領域和防禦性安全套用方面取得了很多專利;在佛羅里達科技研究中心做教授時,還為基金會籌集到了幾百萬美元的贊助。他還為Microsoft、IBM、Rational等很多美國公司做過測試和安全方面的顧問。
2001年,James被指派參加Microsoft的可靠性計算理論會議,並且被“系統和軟體”雜誌的編輯們稱為“頂級學者”,皆因他在軟體工程方面的造詣。他在佛羅里達科技研究中心的研究小組也因其測試技術和工具而出名,其中包括廣受稱讚的工具Holodeck,可以在程式運行的過程中注入錯誤。同時,他的團隊研究對軟體安全進行的攻擊,包括破解密碼、通過異常攻擊突破軟體防護,入侵受保護的網路等都取得了顯著的成績。
目錄
第1章 與眾不同的Web 1
1.1 本章內容 1
1.2 簡介 1
1.3 World Wide Web 2
1.4 Web世界的價值 4
1.5 Web和客戶機-伺服器 5
1.6 Web套用的一個粗略模型 7
1.6.1 Web伺服器 7
1.6.2 Web客戶機 8
1.6.3 網路 8
1.7 結論 9
第2章 獲取目標的信息 11
2.1 本章內容 11
2.2 簡介 11
2.3 攻擊1:淘金 11
2.3.1 何時使用這種攻擊 12
2.3.2 如何實施這種攻擊 12
2.3.3 如何防範這種攻擊 18
2.4 攻擊2:猜測檔案與目錄 18
2.4.1 何時使用這種攻擊 19
2.4.2 如何實施這種攻擊 19
2.4.3 如何防範這種攻擊 22
2.5 攻擊3:其他人留下的漏洞——樣例程式的缺陷 23
2.5.1 何時使用這種攻擊 23
2.5.2 如何實施這種攻擊 23
2.5.3 如何防範這種攻擊 24
第3章 攻擊客戶機 25
3.1 本章內容 25
3.2 簡介 25
3.3 攻擊4:繞過對輸入選項的限制 26
3.3.1 何時使用這種攻擊 27
3.3.2 如何實施這種攻擊 27
3.3.3 如何防範這種攻擊 30
3.4 攻擊5:繞過客戶機端的驗證 31
3.4.1 何時使用這種攻擊 32
3.4.2 如何實施這種攻擊 32
3.4.3 如何防範這種攻擊 34
第4章 基於狀態的攻擊 37
4.1 本章內容 37
4.2 簡介 37
4.3 攻擊6:隱藏域 38
4.3.1 何時使用這種攻擊 38
4.3.2 如何實施這種攻擊 40
4.3.3 如何防範這種攻擊 41
4.4 攻擊7:CGI參數 41
4.4.1 何時使用這種攻擊 42
4.4.2 如何實施這種攻擊 42
4.4.3 如何防範這種攻擊 45
4.5 攻擊8:破壞cookie 45
4.5.1 何時使用這種攻擊 46
4.5.2 如何實施這種攻擊 46
4.5.3 如何防範這種攻擊 48
4.6 攻擊9:URL跳躍 48
4.6.1 何時使用這種攻擊 48
4.6.2 如何實施這種攻擊 49
4.6.3 如何防範這種攻擊 50
4.7 攻擊10:會話劫持 51
4.7.1 何時使用這種攻擊 52
4.7.2 如何實施這種攻擊 52
4.7.3 如何防範這種攻擊 54
4.8 參考文獻 55
第5章 攻擊用戶提交的輸入數據 57
5.1 本章內容 57
5.2 簡介 57
5.3 攻擊11:跨站點腳本 57
5.3.1 何時使用這種攻擊 59
5.3.2 如何實施這種攻擊 59
5.3.3 如何防範這種攻擊 63
5.4 攻擊12:SQL注入 64
5.4.1 何時使用這種攻擊 65
5.4.2 如何實施這種攻擊 65
5.4.3 如何防範這種攻擊 68
5.5 攻擊13:目錄遍歷 69
5.5.1 何時使用這種攻擊 69
5.5.2 如何實施這種攻擊 69
5.5.3 如何防範這種攻擊 71
第6章 基於語言的攻擊 73
6.1 本章內容 73
6.2 簡介 73
6.3 攻擊14:緩衝區溢出 73
6.3.1 何時使用這種攻擊 74
6.3.2 如何實施這種攻擊 75
6.3.3 如何防範這種攻擊 77
6.4 攻擊15:公理化 78
6.4.1 何時使用這種攻擊 79
6.4.2 如何實施這種攻擊 79
6.4.3 如何防範這種攻擊 81
6.5 攻擊16:NULL字元攻擊 81
6.5.1 何時使用這種攻擊 82
6.5.2 如何實施這種攻擊 83
6.5.3 如何防範這種攻擊 83
第7章 獲取目標的信息 85
7.1 本章內容 85
7.2 簡介 85
7.3 攻擊17:SQL注入II——存儲過程 85
7.3.1 何時使用這種攻擊 86
7.3.2 如何實施這種攻擊 86
7.3.3 如何防範這種攻擊 87
7.4 攻擊18 :命令注入 88
7.4.1 何時使用這種攻擊 89
7.4.2 如何實施這種攻擊 90
7.4.3 如何防範這種攻擊 90
7.5 攻擊19:探測伺服器 90
7.5.1 何時使用這種攻擊 91
7.5.2 如何實施這種攻擊 92
7.5.3 如何防範這種攻擊 95
7.6 攻擊20:拒絕服務 96
7.6.1 何時使用這種攻擊 96
7.6.2 如何實施這種攻擊 97
7.6.3 如何防範這種攻擊 97
7.7 參考文獻 97
第8章 認證 99
8.1 本章內容 99
8.2 簡介 99
8.3 攻擊21:偽裝型加密 99
8.3.1 何時使用這種攻擊 100
8.3.2 如何實施這種攻擊 101
8.3.3 如何防範這種攻擊 103
8.4 攻擊22:認證破壞 103
8.4.1 何時使用這種攻擊 105
8.4.2 如何實施這種攻擊 105
8.4.3 如何防範這種攻擊 106
8.5 攻擊23:跨站點跟蹤 107
8.5.1 何時使用這種攻擊 109
8.5.2 如何實施這種攻擊 109
8.5.3 如何防範這種攻擊 110
8.6 攻擊24:暴力破解低強度密鑰 110
8.6.1 何時使用這種攻擊 112
8.6.2 如何實施這種攻擊 113
8.6.3 如何防範這種攻擊 113
8.7 參考文獻 115
第9章 隱私 117
9.1 本章內容 117
9.2 簡介 117
9.3 用戶代理 118
9.4 原文 120
9.5 cookie 121
9.6 Web Bugs 123
9.7 對剪下板的存取 124
9.8 頁面快取 125
9.9 ActiveX控制項 127
9.10 瀏覽器輔助對象 127
第10章 Web服務 129
10.1 本章內容 129
10.2 簡介 129
10.3 什麼是Web服務 129
10.4 XML 130
10.5 SOAP 131
10.6 WSDL 132
10.7 UDDI 132
10.8 威脅 133
10.8.1 WSDL掃描攻擊 133
10.8.2 參數篡改 134
10.8.3 XPATH注入攻擊 134
10.8.4 遞歸負載攻擊 135
10.8.5 過載攻擊 136
10.8.6 外部實體攻擊 136
附錄A 軟體產業50年:質量為先 139
A.1 1950—1959年:起源 139
A.2 1960—1969年:遠行 140
A.3 1970—1979年:混亂 141
A.4 1980—1989年:重建 142
A.4.1 CASE工具 142
A.4.2 形式方法 143
A.5 1990—1999年:發展 144
A.6 2000—2009年:工程化? 145
附錄B 電子花店的bug 149
附錄C 工具 155
C.1 TextPad 155
C.2 Nikto 156
C.3 Wikto 159
C.4 Stunnel 164
C.5 BlackWidow 165
C.6 Wget 167
C.7 cURL 169
C.8 Paros 171
C.9 SPIKEProxy 173
C.10 SSLDigger 176
C.11 大腦 177
