書籍信息,內容簡介,圖書目錄,
書籍信息
作譯者:陳雲志,宣樂飛,郝阜平
出版時間:2019-01千 字 數:460版次:01-01頁 數:288
開本:16開裝幀:I S B N :9787121344169
換版:
紙質書定價:¥43.0
內容簡介
本書以常見的Web安全漏洞為對象,詳細介紹了這些Web安全漏洞的漏洞成因、檢測方法以及防範技術,這些漏洞都是OWASP TOP 10中所列舉的主要風險,為學習和研究Web安全漏洞檢測及防範技術提供了有價值的參考。全書共有6章,分別介紹Web系統安全概論、Web協定分析、Web漏洞檢測工具、Web漏洞實驗平台、Web常見漏洞分析、Web套用安全防護與部署等內容,所涉及的漏洞基本涵蓋了OWASP TOP 10中所列舉的主要風險。
圖書目錄
項目一 Web安全概述 1
1.1 Web安全現狀與發展趨勢 1
1.1.1 Web安全現狀 1
1.1.2 Web安全發展趨勢 4
1.2 Web系統介紹 5
1.2.1 Web的發展歷程 5
1.2.2 Web系統的構成 6
1.2.3 Web系統的套用架構 7
1.2.4 Web的訪問方法 8
1.2.5 Web程式語言 8
1.2.6 Web資料庫訪問技術 10
1.2.7 Web伺服器 11
實例 十大安全漏洞比較分析 13
項目二 Web協定與分析 14
2.1 HTTP 14
2.1.1 HTTP通信過程 14
2.1.2 統一資源定位符(URL) 15
2.1.3 HTTP的連線方式和無狀態性 15
2.1.4 HTTP請求報文 16
2.1.5 HTTP回響報文 19
2.1.6 HTTP報文結構匯總 21
2.1.7 HTTP會話管理 22
2.2 HTTPS 23
2.2.1 HTTPS和 HTTP的主要區別 24
2.2.2 HTTPS與Web伺服器通信過程 24
2.2.3 HTTPS的優點 25
2.2.4 HTTPS的缺點 25
2.3 網路嗅探工具 25
2.3.1 Wireshark簡介 25
2.3.2 Wireshark 工具的界面 26
實例1 Wireshark套用實例 35
實例1.1 捕捉數據包 35
實例1.2 處理捕捉後的數據包 39
項目三 Web漏洞檢測工具 44
3.1 Web漏洞檢測工具AppScan 44
3.1.1 AppScan簡介 44
3.1.2 AppScan的安裝 45
3.1.3 AppScan的基本工作流程 48
3.1.4 AppScan界面介紹 51
3.2 HTTP分析工具WebScarab 54
3.3 網路漏洞檢測工具Nmap 56
3.3.1 Nmap簡介 56
3.3.2 Nmap的安裝 57
3.4 集成化的漏洞掃描工具Nessus 59
3.4.1 Nessus簡介 59
3.4.2 Nessus的安裝 60
實例1 掃描實例 63
實例2 WebScarab的運行 75
實例3 Nmap套用實例 82
實例3.1 利用Nmap圖形界面進行掃描探測 82
實例3.2 利用Nmap命令行界面進行掃描探測 95
實例4 利用Nessus掃描Web應用程式 103
項目四 Web漏洞實驗平台 108
4.1 DVWA的安裝與配置 108
4.2 WebGoat簡介 109
實例1 DVWA v1.9的平台搭建 109
實例2 WebGoat的安裝與配置 117
項目五 Web常見漏洞分析 122
5.1 SQL注入漏洞分析 122
5.2 XSS漏洞分析 126
5.3 CSRF漏洞分析 130
5.4 任意檔案下載漏洞 132
5.5 檔案包含漏洞分析 133
5.6 邏輯漏洞 137
5.6.1 用戶相關的邏輯漏洞 137
5.6.2 交易相關的邏輯漏洞 140
5.6.3 惡意攻擊相關的邏輯漏洞 141
5.7 任意檔案上傳漏洞 142
5.8 暴力破解 142
5.9 命令注入 142
5.10 不安全的驗證碼機制 143
實例1 SQL注入漏洞實例 145
實例1.1 手工SQL注入 145
實例1.2 使用工具進行SQL注入 149
實例1.3 手工注入(1) 151
實例1.4 手工注入(2) 154
實例1.5 布爾盲注 157
實例1.6 時間盲注 160
實例2 XSS漏洞攻擊實例 165
實例2.1 反射型XSS漏洞挖掘與利用(1) 165
實例2.2 反射型XSS漏洞挖掘與利用(2) 167
實例2.3 反射型XSS漏洞挖掘與利用(3) 168
實例2.4 存儲型XSS漏洞挖掘與利用(1) 169
實例2.5 存儲型XSS漏洞挖掘與利用(2) 170
實例2.6 存儲型XSS漏洞挖掘與利用(3) 172
實例2.7 DOM型XSS漏洞挖掘與利用(1) 174
實例2.8 DOM型XSS漏洞挖掘與利用(2) 175
實例2.9 DOM型XSS漏洞挖掘與利用(3) 176
實例3 CSRF漏洞攻擊實例 177
實例3.1 CSRF漏洞挖掘與利用(1) 177
實例3.2 CSRF漏洞挖掘與利用(2) 179
實例3.3 CSRF漏洞挖掘與利用(3) 180
實例4 CMS任意檔案下載實例 183
實例5 檔案包含漏洞攻擊實例 185
實例5.1 檔案包含漏洞挖掘與利用(1) 185
實例5.2 檔案包含漏洞挖掘與利用(2) 187
實例5.3 檔案包含漏洞挖掘與利用(3) 188
實例6 邏輯漏洞攻擊實例 190
實例6.1 某網站任意密碼修改漏洞 190
實例6.2 某電商平台許可權跨越漏洞 192
實例6.3 某交易支付相關漏洞 195
實例6.4 某電商平台郵件炸彈攻擊漏洞 196
實例7 檔案上傳漏洞利用實例 197
實例7.1 檔案上傳漏洞利用(1) 197
實例7.2 檔案上傳漏洞利用(2) 199
實例7.3 檔案上傳漏洞利用(3) 203
實例7.4 檔案上傳漏洞防護 205
實例8 Web口令暴力破解實例 207
實例8.1 Web口令暴力破解(1) 207
實例8.2 Web口令暴力破解(2) 211
實例8.3 Web口令暴力破解(3) 213
實例8.4 Web口令暴力破解防護 217
實例9 命令注入漏洞利用實例 219
實例9.1 命令注入漏洞利用(1) 219
實例9.2 命令注入漏洞利用(2) 223
實例9.3 命令注入漏洞利用(3) 226
實例9.4 命令注入漏洞防護 230
實例10 驗證碼繞過攻擊實例 232
實例10.1 驗證碼繞過攻擊(1) 232
實例10.2 驗證碼繞過攻擊(2) 235
實例10.3 驗證碼繞過攻擊(3) 237
實例10.4 驗證碼繞過漏洞防護 239
項目六 Web套用安全防護與部署 241
6.1 伺服器系統與網路服務 241
6.1.1 伺服器系統主要技術 241
6.1.2 網路作業系統常用的網路服務 242
6.2 Apache技術介紹 245
6.2.1 Apache工作原理 245
6.2.2 配置Apache伺服器 246
6.3 Web套用防護系統(WAF) 248
6.3.1 WAF的主要功能 248
6.3.2 常見的WAF產品 249
實例1 Linux安全部署 250
實例2 Windows安全部署 255
實例3 IIS加固設定 265
實例4 Apache加固設定 266
實例5 Tomcat加固設定 269
實例6 WAF配置與套用 272