《Web攻防之業務安全實戰指南》是2018年3月電子工業出版社出版的圖書,作者是陳曉光、胡兵、張作峰。
基本介紹
- 書名:Web攻防之業務安全實戰指南
- 作者:陳曉光、胡兵、張作峰
- ISBN:ISBN 978-7-121-33581-5
- 頁數:220頁
- 定價:69.00元
- 出版社:電子工業出版社
- 出版時間:2018年3月出版
- 開本:16開
內容簡介,目錄,作者簡介,媒體評論,
內容簡介
業務安全漏洞作為常見的Web安全漏洞,在各大漏洞平台時有報導,《Web攻防之業務安全實戰指南》是一本從原理到案例分析,系統性地介紹這門技術的書籍。撰寫團隊具有10年大型網站業務安全測試經驗,成員們對常見業務安全漏洞進行梳理,總結出了全面、詳細的適用於電商、銀行、金融、證券、保險、遊戲、社交、招聘等業務系統的測試理論、工具、方法及案例。
《Web攻防之業務安全實戰指南》共15章,包括理論篇、技術篇和實踐篇。理論篇首先介紹從事網路安全工作涉及的相關法律法規,請大家一定要做一個遵紀守法的白帽子,然後介紹業務安全引發的一些安全問題和業務安全測試相關的方法論,以及怎么去學好業務安全。技術篇和實踐篇選取的內容都是這些白帽子多年在電商、金融、證券、保險、遊戲、社交、招聘、O2O等不同行業、不同的業務系統存在的各種類型業務邏輯漏洞進行安全測試總結而成的,能夠幫助讀者理解不同行業的業務系統涉及的業務安全漏洞的特點。具體來說,技術篇主要介紹登錄認證模組測試、業務辦理模組測試、業務授權訪問模組測試、輸入/輸出模組測試、回退模組測試、驗證碼機制測試、業務數據安全測試、業務流程亂序測試、密碼找回模組測試、業務接口模組調用測試等內容。實踐篇主要針對技術篇中的測試方法進行相關典型案例的測試總結,包括賬號安全案例總結、密碼找回案例總結、越權訪問案例、OAuth 2.0案例總結、線上支付安全案例總結等。
通過對《Web攻防之業務安全實戰指南》的學習,讀者可以很好地掌握業務安全層面的安全測試技術,並且可以協助企業規避業務安全層面的安全風險。《Web攻防之業務安全實戰指南》比較適合作為企業專職安全人員、研發人員、普通高等院校網路空間安全學科的教學用書和參考書,以及作為網路安全愛好者的自學用書。
目錄
理論篇
第1章 網路安全法律法規 2
第2章 業務安全引發的思考 8
2.1 行業安全問題的思考 8
2.2 如何更好地學習業務安全 9
第3章 業務安全測試理論 11
3.1 業務安全測試概述 11
3.2 業務安全測試模型 12
3.3 業務安全測試流程 13
3.4 業務安全測試參考標準 18
3.5 業務安全測試要點 18
技術篇
第4章 登錄認證模組測試 22
4.1 暴力破解測試 22
4.1.1 測試原理和方法 22
4.1.2 測試過程 22
4.1.3 修復建議 30
4.2 本地加密傳輸測試 30
4.2.1 測試原理和方法 30
4.2.2 測試過程 30
4.2.3 修復建議 32
4.3 Session測試 32
4.3.1 Session會話固定測試 32
4.3.2 Seesion會話註銷測試 35
4.3.3 Seesion會話逾時時間測試 39
4.4 Cookie仿冒測試 42
4.4.1 測試原理和方法 42
4.4.2 測試過程 42
4.4.3 修復建議 45
4.5 密文比對認證測試 45
4.5.1 測試原理和方法 45
4.5.2 測試過程 45
4.5.3 修復建議 48
4.6 登錄失敗信息測試 48
4.6.1 測試原理和方法 48
4.6.2 測試過程 49
4.6.3 修復建議 50
第5章 業務辦理模組測試 51
5.1 訂單ID篡改測試 51
5.1.1 測試原理和方法 51
5.1.2 測試過程 51
5.1.3 修復建議 55
5.2 手機號碼篡改測試 55
5.2.1 測試原理和方法 55
5.2.2 測試過程 56
5.2.3 修復建議 57
5.3 用戶ID篡改測試 58
5.3.1 測試原理和方法 58
5.3.2 測試過程 58
5.3.3 修復建議 60
5.4 信箱和用戶篡改測試 60
5.4.1 測試原理和方法 60
5.4.2 測試過程 61
5.4.3 修復建議 62
5.5 商品編號篡改測試 63
5.5.1 測試原理和方法 63
5.5.2 測試過程 63
5.5.3 修復建議 65
5.6 競爭條件測試 66
5.6.1 測試原理和方法 66
5.6.2 測試過程 67
5.6.3 修復建議 69
第6章 業務授權訪問模組 70
6.1 非授權訪問測試 70
6.1.1 測試原理和方法 70
6.1.2 測試過程 70
6.1.3 修復建議 71
6.2 越權測試 72
6.2.1 測試原理和方法 72
6.2.2 測試過程 72
6.2.3 修復建議 76
第7章 輸入/輸出模組測試 77
7.1 SQL注入測試 77
7.1.1 測試原理和方法 77
7.1.2 測試過程 78
7.1.3 修復建議 84
7.2 XSS測試 84
7.2.1 測試原理和方法 84
7.2.2 測試過程 85
7.2.3 修復建議 88
7.3 命令執行測試 89
7.3.1 測試原理和方法 89
7.3.2 測試過程 89
7.3.3 修復建議 91
第8章 回退模組測試 92
8.1 回退測試 92
8.1.1 測試原理和方法 92
8.1.2 測試過程 92
8.1.3 修復建議 93
第9章 驗證碼機制測試 94
9.1 驗證碼暴力破解測試 94
9.1.1 測試原理和方法 94
9.1.2 測試過程 94
9.1.3 修復建議 97
9.2 驗證碼重複使用測試 97
9.2.1 測試原理和方法 97
9.2.2 測試過程 98
9.2.3 修復建議 100
9.3 驗證碼客戶端回顯測試 101
9.3.1 測試原理和方法 101
9.3.2 測試過程 101
9.3.3 修復建議 104
9.4 驗證碼繞過測試 104
9.4.1 測試原理和方法 104
9.4.2 測試過程 104
9.4.3 修復建議 106
9.5 驗證碼自動識別測試 106
9.5.1 測試原理和方法 106
9.5.2 測試過程 107
9.5.3 修復建議 111
第10章 業務數據安全測試 112
10.1 商品支付金額篡改測試 112
10.1.1 測試原理和方法 112
10.1.2 測試過程 112
10.1.3 修復建議 115
10.2 商品訂購數量篡改測試 115
10.2.1 測試原理和方法 115
10.2.2 測試過程 115
10.2.3 修復建議 120
10.3 前端JS限制繞過測試 121
10.3.1 測試原理和方法 121
10.3.2 測試過程 121
10.3.3 修復建議 123
10.4 請求重放測試 123
10.4.1 測試原理和方法 123
10.4.2 測試過程 123
10.4.3 修復建議 125
10.5 業務上限測試 126
10.5.1 測試原理和方法 126
10.5.2 測試過程 126
10.5.3 修復建議 128
第11章 業務流程亂序測試 129
11.1 業務流程繞過測試 129
11.1.1 測試原理和方法 129
11.1.2 測試過程 129
11.1.3 修復建議 133
第12章 密碼找回模組測試 134
12.1 驗證碼客戶端回顯測試 134
12.1.1 測試原理和方法 134
12.1.2 測試流程 134
12.1.3 修復建議 137
12.2 驗證碼暴力破解測試 137
12.2.1 測試原理和方法 137
12.2.2 測試流程 137
12.2.3 修復建議 140
12.3 接口參數賬號修改測試 140
12.3.1 測試原理和方法 140
12.3.2 測試流程 141
12.3.3 修復建議 144
12.4 Response狀態值修改測試 144
12.4.1 測試原理和方法 144
12.4.2 測試流程 144
12.4.3 修復建議 147
12.5 Session覆蓋測試 147
12.5.1 測試原理和方法 147
12.5.2 測試流程 148
12.5.3 修復建議 150
12.6 弱Token設計缺陷測試 150
12.6.1 測試原理和方法 150
12.6.2 測試流程 151
12.6.3 修復建議 153
12.7 密碼找回流程繞過測試 153
12.7.1 測試原理和方法 153
12.7.2 測試流程 154
12.7.3 修復建議 157
第13章 業務接口調用模組測試 158
13.1 接口調用重放測試 158
13.1.1 測試原理和方法 158
13.1.2 測試過程 158
13.1.3 修復建議 160
13.2 接口調用遍歷測試 160
13.2.1 測試原理和方法 160
13.2.2 測試過程 161
13.2.3 修復建議 166
13.3 接口調用參數篡改測試 167
13.3.1 測試原理和方法 167
13.3.2 測試過程 167
13.3.3 修復建議 169
13.4 接口未授權訪問/調用測試 169
13.4.1 測試原理和方法 169
13.4.2 測試過程 170
13.4.3 修復建議 172
13.5 Callback自定義測試 172
13.5.1 測試原理和方法 172
13.5.2 測試過程 173
13.5.3 修復建議 177
13.6 WebService測試 177
13.6.1 測試原理和方法 177
13.6.2 測試過程 177
13.6.3 修復建議 184
實踐篇
第14章 賬號安全案例總結 186
14.1 賬號安全歸納 186
14.2 賬號安全相關案例 187
14.1.1 賬號密碼直接暴露在網際網路上 187
14.1.2 無限制登錄任意賬號 189
14.1.3 電子郵件賬號泄露事件 192
14.1.4 中間人攻擊 195
14.1.5 撞庫攻擊 197
14.3 防範賬號泄露的相關手段 199
第15章 密碼找回安全案例總結 200
15.1 密碼找回憑證可被暴力破解 200
15.1.1 某社交軟體任意密碼修改案例 201
15.2 密碼找回憑證直接返回給客戶端 203
15.2.1 密碼找回憑證暴露在請求連結中 204
15.2.2 加密驗證字元串返回給客戶端 205
15.2.3 網頁原始碼中隱藏著密保答案 206
15.2.4 簡訊驗證碼返回給客戶端 207
15.3 密碼重置連結存在弱Token 209
15.3.1 使用時間戳的md5作為密碼重置Token 209
15.3.2 使用伺服器時間作為密碼重置Token 210
15.4 密碼重置憑證與用戶賬戶關聯不嚴 211
15.4.1 使用簡訊驗證碼找回密碼 212
15.4.2 使用信箱Token找回密碼 213
15.5 重新綁定用戶手機或信箱 213
15.5.1 重新綁定用戶手機 214
15.5.2 重新綁定用戶信箱 215
15.6 服務端驗證邏輯缺陷 216
15.6.1 刪除參數繞過驗證 217
15.6.2 信箱地址可被操控 218
15.6.3 身份驗證步驟可被繞過 219
15.7 在本地驗證服務端的返回信息——修改返回包繞過驗證 221
15.8 註冊覆蓋——已存在用戶可被重複註冊 222
15.9 Session覆蓋——某電商網站可通過Session覆蓋方式重置他人密碼 223
15.10 防範密碼找回漏洞的相關手段 225
第16章 越權訪問安全案例總結 227
16.1 平行越權 227
16.1.1 某高校教務系統用戶可越權查看其他用戶個人信息 227
16.1.2 某電商網站用戶可越權查看或修改其他用戶信息 229
16.1.3 某手機APP普通用戶可越權查看其他用戶個人信息 232
16.2 縱向越權 233
16.2.1 某辦公系統普通用戶許可權越權提升為系統許可權 233
16.2.2 某中學網站管理後台可越權添加管理員賬號 235
16.2.3 某智慧型機頂盒低許可權用戶可越權修改超級管理員配置信息 240
16.2.4 某Web防火牆通過修改用戶對應選單類別可提升許可權 244
16.3 防範越權訪問漏洞的相關手段 247
第17章 OAuth 2.0安全案例總結 248
17.1 OAuth 2.0認證原理 248
17.2 OAuth 2.0漏洞總結 250
17.2.1 某社交網站CSRF漏洞導致綁定劫持 250
17.2.2 某社區劫持授權 251
17.3 防範OAuth 2.0漏洞的相關手段 253
第18章 線上支付安全案例總結 254
18.1 某快餐連鎖店官網訂單金額篡改 254
18.2 某網上商城訂單數量篡改 256
18.3 某伺服器供應商平台訂單請求重放測試 257
18.4 某培訓機構官網訂單其他參數干擾測試 259
18.5 防範線上支付漏洞的相關手段 261
作者簡介
陳曉光
恆安嘉新(北京)科技股份公司執行總裁,資深安全專家,畢業於北京郵電大學信息安全專業。長期從事網路與信息安全方面的技術研究、項目管理和市場拓展工作。曾主導和參與多項重大國家標準、國家863 項目和242 安全課題;建設了多個全國性安全系統工程;為電信、金融和政府等多個行業提供安全建議。在安全風險評估、安全管理體系、安全標準、移動網際網路安全和通信安全等領域有著豐富的實踐經驗。擁有CISSP、CISA、ISO27001 LA 等多項國際安全從業資質。
胡兵恆
安嘉新(北京)科技股份公司安全攻防與應急回響中心總經理。負責公司安全產品解決方案、安全攻防技術研究、安全諮詢服務等工作。多年來,一直致力於安全攻防技術的研究,曾參與國家信息安全有關部門、各大電信運營商、高校多個課題研究項目。帶領安全研究團隊支撐“中國反網路病毒聯盟平台ANVA”、“國家信息安全漏洞共享平台CNVD”運營工作,以及承擔國家重要活動期間的安全保障工作。
張作峰(Rce)
恆安嘉新(北京)科技股份公司安全攻防與應急回響中心副總經理、軒轅攻防實驗室團隊負責人、安全專家、網際網路白帽子,原啟明星辰資深安全研究員。十餘年網路安全服務、安全研究、應急保障工作經驗,在職期間參與完成了多個大型安全服務、集成、安全課題項目,以及多次國家重要活動的網路安全應急保障任務。
媒體評論
網際網路安全問題帶來的危害日益嚴重。本書作者長期從事網路安全漏洞分析的相關工作。全書貼近網路安全實際工作,系統地介紹了業務邏輯安全測試的相關技術。一經閱讀,引人入勝。詳細閱讀本書的讀者,一定會獲益匪淺。
——國家網際網路應急中心運行部主任 嚴寒冰
隨著網路安全的發展,越來越多的人開始關注注入、跨站、上傳等Web 安全問題,鮮有專業人士對業務安全做深入的研究和總結,作者結合多年的實戰經驗詳細介紹了從登錄到業務流程再到越權訪問等各個環節可能存在的業務安全問題,對網站開發人員和安全測試人員來說本書都是一本很好的教材。
——公安部第三研究所主任 徐凱
近年來,業務安全日益成為網路安全的重要風險來源,業務安全也受到廣泛關注,但其安全風險的測試與評估方法一直比較欠缺。本書立足於實踐,再現了典型業務安全場景,總結了業務安全風險評估的過程和方法,推薦具有一定安全基礎的人員閱讀,同時也適合信息系統運營者參閱。
——中國信息安全測評中心繫統評估處 任望
企業經營的核心命脈是業務,一切以業務可持續發展為優先安全保障,基於業務做安全一直也都是安全專家的核心競爭力,此書清晰地闡述了做業務安全所需要的戰略、戰法,讀起來通俗易懂,可操作性強,值得擁有。
——威客安全董事長兼CEO 陳新龍
這本書以業務安全測試為出發點,由淺入深實踐了業務各環節的安全攻防。對於安全攻防人員來說是一本很值得參考的書籍;對於業務及開發人員來說這本書里的實踐可以讓你的團隊開發出的業務更安全、更可靠。
——Joinsec 創始人 餘弦
非常實用的一本書,堪稱網路安全技術人員的寶典!該書詳細介紹了各種類型的網際網路業務漏洞如何復現和利用,給出了翔實有效的修復建議,同時又結合了大量實際案例,很有借鑑與啟發意義。
——補天漏洞回響平台 白掌門
攻防之戰永不停歇,在與黑色產業的對抗中,安全從業者需要不斷學習新的知識和技能,本書介紹的業務安全知識正好補充了傳統安全的缺失部分。
——漏洞盒子創始人 袁勁松