Web應用程式安全(原書第3版)

Web應用程式安全(原書第3版)

《Web應用程式安全(原書第3版)》是機械工業出版社出版的圖書。

基本介紹

  • 中文名:Web應用程式安全(原書第3版)
  • 出版時間:2011年10月 
  • 出版社機械工業出版社 
  • ISBN:9787111356622 
內容簡介,圖書目錄,

內容簡介

在網路技術和電子商務飛速發展的今天,Web套用安全面臨著前所未有的挑戰。所有安全技術人員有必要掌握當今黑客們的武器和思維過程,保護Web套用免遭惡意攻擊。本書由美國公認的安全專家和精神領袖打造,對上一版做了完全的更新,覆蓋新的網路滲透方法和對策,介紹如何增強驗證和授權、彌補Firefox和IE中的漏洞、加強對注入攻擊的防禦以及加固Web 2.0安全,還介紹了如何將安全技術整合在Web開發以及更廣泛的企業信息系統中。

圖書目錄

  1. 對本書的讚譽
  2. 譯者序
  3. 序言
  4. 前言
  5. 作者簡介
  6. 致謝
  7. 第1章 Web套用入侵基礎
  8. 1.1 什麼是Web套用入侵
  9. 1.1.1 GUI Web入侵
  10. 1.1.2 URI入侵
  11. 1.1.3 方法、首部和主體
  12. 1.1.4 資源
  13. 1.1.5 驗證、會話和授權
  14. 1.1.6 Web客戶端與HTML
  15. 1.1.7 其他協定
  16. 1.2 為什麼攻擊Web套用
  17. 1.3 誰、何時、何處
  18. 1.4 Web套用是如何遭到攻擊的
  19. 1.4.1 Web瀏覽器
  20. 1.4.2 瀏覽器擴展
  21. 1.4.3 HTTP代理
  22. 1.4.4 命令行工具
  23. 1.4.5 較老的工具
  24. 1.5 小結
  25. 1.6 參考與延伸閱讀
  26. 第2章 剖析
  27. 2.1 基礎架構剖析
  28. 2.1.1 足跡法和掃描:定義範圍
  29. 2.1.2 基本的標誌獲取
  30. 2.1.3 高級HTTP指紋識別
  31. 2.1.4 基礎架構中介
  32. 2.2 套用剖析
  33. 2.2.1 手工檢查
  34. 2.2.2 剖析所用的搜尋工具
  35. 2.2.3 自動化的Web爬行
  36. 2.2.4 常見Web套用剖析
  37. 2.3 一般對策
  38. 2.3.1 警告
  39. 2.3.2 保護目錄
  40. 2.3.3 保護包含檔案
  41. 2.3.4 其他技巧
  42. 2.4 小結
  43. 2.5 參考與延伸閱讀
  44. 第3章 Web平台入侵
  45. 3.1 用Metasploit進行點擊攻擊
  46. 3.2 手工攻擊
  47. 3.3 逃避檢測
  48. 3.4 Web平台安全最佳實踐
  49. 3.4.1 通用的最佳實踐
  50. 3.4.2 IIS加固
  51. 3.4.3 Apache加固
  52. 3.4.4 PHP最佳實踐
  53. 3.5 小結
  54. 3.6 參考與延伸閱讀
  55. 第4章 攻擊Web驗證
  56. 4.1 Web驗證威脅
  57. 4.1.1 用戶名/密碼威脅
  58. 4.1.2 (更)強的Web驗證
  59. 4.1.3 Web驗證服務
  60. 4.2 繞過驗證
  61. 4.2.1 令牌重放
  62. 4.2.2 跨站請求偽造
  63. 4.2.3 身份管理
  64. 4.2.4 客戶端借道法
  65. 4.3 最後一些想法:身份盜竊
  66. 4.4 小結
  67. 4.5 參考與延伸閱讀
  68. 第5章 攻擊Web授權
  69. 5.1 授權指紋識別
  70. 5.1.1 ACL爬行
  71. 5.1.2 識別訪問令牌
  72. 5.1.3 分析會話令牌
  73. 5.1.4 差異分析
  74. 5.1.5 角色矩陣
  75. 5.2 攻擊ACL
  76. 5.3 攻擊令牌
  77. 5.3.1 人工預測
  78. 5.3.2 自動預測
  79. 5.3.3 捕捉/重放
  80. 5.3.4 會話完成
  81. 5.4 授權攻擊案例研究
  82. 5.4.1 水平許可權提升
  83. 5.4.2 垂直許可權提升
  84. 5.4.3 差異分析
  85. 5.4.4 當加密失敗時
  86. 5.4.5 使用cURL映射許可權
  87. 5.5 授權最佳實踐
  88. 5.5.1 Web ACL最佳實踐
  89. 5.5.2 Web授權/訪問令牌安全
  90. 5.5.3 安全日誌
  91. 5.6 小結
  92. 5.7 參考與延伸閱讀
  93. 第6章 輸入注入攻擊
  94. 6.1 預料到意外情況
  95. 6.2 何處尋找攻擊目標
  96. 6.3 繞過客戶端校驗例程
  97. 6.4 常見輸入注入攻擊
  98. 6.4.1 緩衝區溢出
  99. 6.4.2 規範化攻擊
  100. 6.4.3 HTML注入
  101. 6.4.4 邊界檢查
  102. 6.4.5 操縱套用行為
  103. 6.4.6 SQL注入
  104. 6.4.7 XPATH注入
  105. 6.4.8 LDAP注入
  106. 6.4.9 自定義參數注入
  107. 6.4.10 日誌注入
  108. 6.4.11 命令執行
  109. 6.4.12 編碼誤用
  110. 6.4.13 PHP全局變數
  111. 6.4.14 常見的副作用
  112. 6.5 常見對策
  113. 6.6 小結
  114. 6.7 參考與延伸閱讀
  115. 第7章 攻擊XML Web服務
  116. 7.1 Web服務是什麼
  117. 7.1.1 傳輸:SOAP over HTTP
  118. 7.1.2 WSDL
  119. 7.1.3 目錄服務:UDDI和DISCO
  120. 7.1.4 與Web套用安全的相似性
  121. 7.2 攻擊Web服務
  122. 7.3 Web服務安全基礎
  123. 7.4 小結
  124. 7.5 參考與延伸閱讀
  125. 第8章 攻擊Web套用管理
  126. 8.1 遠程伺服器管理
  127. 8.1.1 Telnet
  128. 8.1.2 SSH
  129. 8.1.3 專用管理連線埠
  130. 8.1.4 其他管理服務
  131. 8.2 Web內容管理
  132. 8.2.1 FTP
  133. 8.2.2 SSH/scp
  134. 8.2.3 FrontPage
  135. 8.2.4 WebDAV
  136. 8.3 錯誤的配置
  137. 8.3.1 不必要的Web伺服器擴展
  138. 8.3.2 引起信息泄露的錯誤配置
  139. 8.3.3 狀態管理的錯誤配置
  140. 8.4 小結
  141. 8.5 參考與延伸閱讀
  142. 第9章 入侵Web客戶端
  143. 9.1 漏洞利用
  144. 9.2 騙術
  145. 9.3 一般的對策
  146. 9.3.1 低許可權瀏覽
  147. 9.3.2 Firefox安全擴展
  148. 9.3.3 ActiveX對策
  149. 9.3.4 伺服器端對策
  150. 9.4 小結
  151. 9.5 參考與延伸閱讀
  152. 第10章 企業Web套用安全計畫
  153. 10.1 威脅建模
  154. 10.1.1 澄清安全目標
  155. 10.1.2 識別資產
  156. 10.1.3 架構概要
  157. 10.1.4 分解套用
  158. 10.1.5 識別和記錄威脅
  159. 10.1.6 威脅排名
  160. 10.1.7 開發威脅緩解策略
  161. 10.2 代碼評審
  162. 10.2.1 人工原始碼評審
  163. 10.2.2 自動化原始碼評審
  164. 10.2.3 二進制分析
  165. 10.3 Web套用代碼安全測試
  166. 10.3.1 模糊測試
  167. 10.3.2 測試工具、實用程式和框架
  168. 10.3.3 滲透測試
  169. 10.4 Web開發過程中的安全
  170. 10.4.1 人員
  171. 10.4.2 過程
  172. 10.4.3 技術
  173. 10.5 小結
  174. 10.6 參考與延伸閱讀
  175. 附錄A Web安全檢查列表
  176. 附錄B Web黑客工具和技術快速參考

相關詞條

熱門詞條

聯絡我們