网志栈编辑推荐
暂无
内容简介
毫无疑问:黑客们会对你的Web网站、应用程序和服务器进行残忍的攻击。如果网站存在漏洞,那么最好在这些黑客之前自己先发现这些攻击。现在就有了一本对基于Web的软件进行安全性测试的权威的随身指南。
在本书中,两位资深专家介绍了各种针对Web软件的攻击:对于客户机、服务器、状态、用户输入等方面的攻击。随着对Web架构和代码当中大量关键的和经常遭到攻击的漏洞的深入了解,你将逐步掌握强大的攻击工具和技术。
作者揭示了如何发现潜在的威胁和攻击的方向,怎样对它们一一进行严格的测试,以及如何消除这些发现的问题。所涵盖的内容包括:
·客户机的漏洞,包括对客户端验证的攻击;
·基于状态的攻击:隐藏域.CGI参数、破坏cookie,URL跳跃以及会话劫持;
·针对用户提交的输入数据的攻击:跨页面脚本,SQL注入以及目录遍历;
·基于语言和技术的攻击:缓冲区溢出、公理化和NULL字符串攻击;
作者简介
Mike Andrews,软件安全方面的资源顾问,领导了Foundstone的Web应用程序安全评估以及对*的Web攻击的分类。作为一位著作颇丰的作者,他还为财富500强中的多家公司进行过独立的安全测评。
目录
第1章 与众不同的Web
1.1 本章内容
1.2 简介
1.3 World Wide Web
1.4 Web世界的价值
1.5 Web和客户机-服务器
1.6 Web应用的一个粗略模型
1.7 结论
第2章 获取目标的信息
2.1 本章内容
2.2 简介
2.3 攻击1:淘金
2.4 攻击2:猜测文件与目录
2.5 攻击3:其他人留下的漏洞——样例程序的缺陷
第3章 攻击客户机
3.1 本章内容
3.2 简介
3.3 攻击4:绕过对输入选项的限制
3.4 攻击5:绕过客户机端的验证
第4章 基于状态的攻击
4.1 本章内容
4.2 简介
4.3 攻击6:隐藏域
4.4 攻击7:CGI参数
4.5 攻击8:破坏cookie
4.6 攻击9:URL跳跃
4.7 攻击10:会话劫持
4.8 参考文献
第5章 攻击用户提交的输入数据
5.1 本章内容
5.2 简介
5.3 攻击11:跨站点脚本
5.4 攻击12:SQL注入
5.5 攻击13:目录遍历
第6章 基于语言的攻击
6.1 本章内容
6.2 简介
6.3 攻击14:缓冲区溢出
6.4 攻击15:公理化
6.5 攻击16:NULL字符攻击
第7章 获取目标的信息
7.1 本章内容
7.2 简介
7.3 攻击17:SQL注入Ⅱ——存储过程
7.4 攻击18 :命令注入
7.5 攻击19:探测服务器
7.6 攻击20:拒绝服务
7.7 参考文献
第8章 认证
8.1 本章内容
8.2 简介
8.3 攻击21:伪装型加密
8.4 攻击22:认证破坏
8.5 攻击23:跨站点跟踪
8.6 攻击24:暴力破解低强度密钥
8.7 参考文献
第9章 隐私
9.1 本章内容
9.2 简介
9.3 用户代理
9.4 原文
9.5 cookie
9.6 Web Bugs
9.7 对剪切板的存取
9.8 页面缓存
9.9 ActiveX控件
9.10 浏览器辅助对象
第10章 Web服务
10.1 本章内容
10.2 简介
10.3 什么是Web服务
10.4 XML
10.5 SOAP
10.6 WSDL
10.7 UDDI
10.8 威胁
附录A 软件产业50年:质量为先
A.1 1950—1959年:起源
A.2 1960—1969年:远行
A.3 1970—1979年:混乱
A.4 1980—1989年:重建
A.5 1990—1999年:发展
A.6 2000—2009年:工程化?
附录B 电子花店的bug
附录C 工具
C.1 TextPad
C.2 Nikto
C.3 Wikto
C.4 Stunnel
C.5 BlackWidow
C.6 Wget
C.7 cURL
C.8 Paros
C.9 SPIKEProxy
C.10 SSLDigger
C.11 大脑
Web入侵安全测试与对策(附CD-ROM光盘一张) pdf下载声明
本pdf资料下载仅供个人学习和研究使用,不能用于商业用途,请在下载后24小时内删除。如果喜欢,请购买正版
![Flash CS3动画制作基础与项目实训[高职教材] PDF下载-网志栈](https://img3m7.ddimg.cn/83/34/21044117-1_b_2.jpg)