簡體書 » 黑客大曝光︰Web應用程序安全

黑客大曝光︰Web應用程序安全

定價：~~390~~ 元

NT $ 339

作者：[美]斯坎布雷劉西瑪
譯者：姚軍
出版社：機械工業出版社
出版日期：2011-10-01
語言：簡體中文
ISBN10：7111356624
ISBN13：9787111356622
裝訂：平裝 / 319頁 / 普通級 / 3版

內容簡介

在網絡技術和電子商務飛速發展的今天，web應用安全面臨著前所未有的挑戰。所有安全技術人員有必要掌握當今黑客們的武器和思維過程，保護web應用免遭惡意攻擊。本書由美國公認的安全專家和精神領袖打造，對上一版做了完全的更新，覆蓋新的網絡滲透方法和對策，介紹如何增強驗證和授權、彌補firefox和ie中的漏洞、加強對注入攻擊的防御以及加固web 2.0安全，還介紹了如何將安全技術整合在web開發以及更廣泛的企業信息系統中。

主要內容︰

黑客足跡跟蹤、掃描和剖析工具，包括shodan、maltego和owasp dirbuster

流行平台（如sun java system web server和oracle weblogic）上新的漏洞攻擊

攻擊者如何挫敗常用的web驗證技術

實際的會話攻擊泄漏敏感數據的方法，以及加固應用的途徑

當今黑客使用的最具毀滅性的方法，包括sql注入、xss、xsrf、網絡釣魚和xml注入技術

尋找和修復asp.net、php和j2ee執行環境中的漏洞

安全部署xml、社交網絡、雲計算和web2.0服務

防御ria、ajax、ugc和基于瀏覽器的客戶端漏洞利用

實現可伸縮的威脅建模、代碼評審、應用掃描、模糊測試和安全測試規程

Joel Scambray，CISSP、戰略安全咨詢服務供應商Consciere的共同創始人和CEO。他曾經在Microsoft、Foundstone、Ernst & Young以及其他機構從事互聯網安全評估和防御將近15年之久，是國際知名的演說家和多本安全書籍的作者。

對本書的贊譽
譯者序
序言
前言
作者簡介
致謝
第1章 web應用入侵基礎
1.1 什麼是web應用入侵
1.1.1 gui web入侵
1.1.2 uri入侵
1.1.3 方法、首部和主體
1.1.4 資源
1.1.5 驗證、會話和授權
1.1.6 web客戶端與html
1.1.7 其他協議
1.2 為什麼攻擊web應用
1.3 誰、何時、何處
1.4 web應用是如何遭到攻擊的
1.4.1 web瀏覽器
1.4.2 瀏覽器擴展
1.4.3 http代理
1.4.4 命令行工具
1.4.5 較老的工具
1.5 小結
1.6 參考與延伸閱讀
第2章剖析
2.1 基礎架構剖析
2.1.1 足跡法和掃描︰定義範圍
2.1.2 基本的標志獲取
2.1.3 高級http指紋識別
2.1.4 基礎架構中介
2.2 應用剖析
2.2.1 手工檢查
2.2.2 剖析所用的搜索工具
2.2.3 自動化的web爬行
2.2.4 常見web應用剖析
2.3 一般對策
2.3.1 警告
2.3.2 保護目錄
2.3.3 保護包含文件
2.3.4 其他技巧
2.4 小結
2.5 參考與延伸閱讀
第3章 web平台入侵
3.1 用metasploit進行點擊攻擊
3.2 手工攻擊
3.3 逃避檢測
3.4 web平台安全最佳實踐
3.4.1 通用的最佳實踐
3.4.2 iis加固
3.4.3 apache加固
3.4.4 php最佳實踐
3.5 小結
3.6 參考與延伸閱讀
第4章攻擊web驗證
4.1 web驗證威脅
4.1.1 用戶名/密碼威脅
4.1.2 （更）強的web驗證
4.1.3 web驗證服務
4.2 繞過驗證
4.2.1 令牌重放
4.2.2 跨站請求偽造
4.2.3 身份管理
4.2.4 客戶端借道法
4.3 最後一些想法︰身份盜竊
4.4 小結
4.5 參考與延伸閱讀
第5章攻擊web授權
5.1 授權指紋識別
5.1.1 acl爬行
5.1.2 識別訪問令牌
5.1.3 分析會話令牌
5.1.4 差異分析
5.1.5 角色矩陣
5.2 攻擊acl
5.3 攻擊令牌
5.3.1 人工預測
5.3.2 自動預測
5.3.3 捕捉/重放
5.3.4 會話完成
5.4 授權攻擊案例研究
5.4.1 水平權限提升
5.4.2 垂直權限提升
5.4.3 差異分析
5.4.4 當加密失敗時
5.4.5 使用curl映射權限
5.5 授權最佳實踐
5.5.1 web acl最佳實踐
5.5.2 web授權/訪問令牌安全
5.5.3 安全日志
5.6 小結
5.7 參考與延伸閱讀
第6章輸入注入攻擊
6.1 預料到意外情況
6.2 何處尋找攻擊目標
6.3 繞過客戶端校驗例程
6.4 常見輸入注入攻擊
6.4.1 緩沖區溢出
6.4.2 規範化攻擊
6.4.3 html注入
6.4.4 邊界檢查
6.4.5 操縱應用行為
6.4.6 sql注入
6.4.7 xpath注入
6.4.8 ldap注入
6.4.9 自定義參數注入
6.4.10 日志注入
6.4.11 命令執行
6.4.12 編碼誤用
6.4.13 php全局變量
6.4.14 常見的副作用
6.5 常見對策
6.6 小結
6.7 參考與延伸閱讀
第7章攻擊xml web服務
7.1 web服務是什麼
7.1.1 傳輸︰soap over http
7.1.2 wsdl
7.1.3 目錄服務︰uddi和disco
7.1.4 與web應用安全的相似性
7.2 攻擊web服務
7.3 web服務安全基礎
7.4 小結
7.5 參考與延伸閱讀
第8章攻擊web應用管理
8.1 遠程服務器管理
8.1.1 telnet
8.1.2 ssh
8.1.3 專用管理端口
8.1.4 其他管理服務
8.2 web內容管理
8.2.1 ftp
8.2.2 ssh/scp
8.2.3 frontpage
8.2.4 webdav
8.3 錯誤的配置
8.3.1 不必要的web服務器擴展
8.3.2 引起信息泄露的錯誤配置
8.3.3 狀態管理的錯誤配置
8.4 小結
8.5 參考與延伸閱讀
第9章入侵web客戶端
9.1 漏洞利用
9.2 騙術
9.3 一般的對策
9.3.1 低權限瀏覽
9.3.2 firefox安全擴展
9.3.3 activex對策
9.3.4 服務器端對策
9.4 小結
9.5 參考與延伸閱讀
第10章企業web應用安全計劃
10.1 威脅建模
10.1.1 澄清安全目標
10.1.2 識別資產
10.1.3 架構概要
10.1.4 分解應用
10.1.5 識別和記錄威脅
10.1.6 威脅排名
10.1.7 開發威脅緩解策略
10.2 代碼評審
10.2.1 人工源代碼評審
10.2.2 自動化源代碼評審
10.2.3 二進制分析
10.3 web應用代碼安全測試
10.3.1 模糊測試
10.3.2 測試工具、實用程序和框架
10.3.3 滲透測試
10.4 web開發過程中的安全
10.4.1 人員
10.4.2 過程
10.4.3 技術
10.5 小結
10.6 參考與延伸閱讀
附錄a web安全檢查列表
附錄b web黑客工具和技術快速參考

看更多