本書(shū)主要介紹Web安全理論及實(shí)戰(zhàn)應(yīng)用,從Web安全基礎(chǔ)入手,深入剖析Web安全漏洞的原理,并通過(guò)實(shí)戰(zhàn)分析對(duì)Web安全漏洞的原理進(jìn)行深度刻畫(huà),加深讀者對(duì)Web安全漏洞原理的認(rèn)識(shí),進(jìn)而幫讀者全方位了解Web安全漏洞原理的本質(zhì)。
本書(shū)以獨(dú)特的角度對(duì)Web安全漏洞的原理進(jìn)行刻畫(huà),使讀者能融會(huì)貫通、舉一反三。本書(shū)主要面向高校計(jì)算機(jī)專業(yè)、信息安全專業(yè)、網(wǎng)絡(luò)空間安全專業(yè)的學(xué)生及熱愛(ài)網(wǎng)絡(luò)安全的讀者。
1.從基礎(chǔ)出發(fā),循序漸進(jìn)詳細(xì)講解Web安全入門(mén)知識(shí);
2.理論聯(lián)系實(shí)際,全面介紹常見(jiàn)漏洞原理和實(shí)戰(zhàn)案例;
3.詳細(xì)介紹各個(gè)領(lǐng)域內(nèi)的安全工具,更好地防御漏洞;
4.多位業(yè)內(nèi)知名人士聯(lián)袂推薦。
田貴輝
網(wǎng)絡(luò)安全技術(shù)專家,信息安全顧問(wèn),曾護(hù)航G20峰會(huì)安保,曾獲全國(guó)網(wǎng)絡(luò)與信息安全競(jìng)賽獎(jiǎng)、全國(guó)計(jì)算機(jī)設(shè)計(jì)競(jìng)賽獎(jiǎng)。
第 1章 黑客的世界1
1.1 黑客歷史1
1.2 黑客守則2
1.3 黑客術(shù)語(yǔ)2
1.4 黑客命令10
1.5 舊兵器與舊漏洞 11
第 2章 Web 安全基礎(chǔ) 14
2.1 Web 安全歷史 14
2.2 Web 安全定義 15
2.3 滲透測(cè)試17
2.3.1 滲透測(cè)試概念 18
2.3.2 滲透測(cè)試流程 18
2.3.3 滲透測(cè)試思路 19
2.4 信息收集21
2.5 語(yǔ)言基礎(chǔ)22
2.5.1 ASP 22
2.5.2 PHP 24
2.5.3 JSP 28
2.6 數(shù)據(jù)庫(kù) 28
2.7 Web 應(yīng)用搭建的安全 29
第3章 Web 安全特性 31
3.1 register_globals 的安全特性 31
3.2 magic_quotes_gpc 的安全特性 36
3.3 magic_quotes_runtime 的安全特性 40
3.4 magic_quotes_sybase 的安全特性 43
3.5 disable_functions 的安全特性 47
3.6 safe_mode 的安全特性 53
3.7 display_errors 與error_reporting 的安全特性 61
第4章 Web 安全主流漏洞 64
4.1 弱口令 64
4.1.1 理論敘述 64
4.1.2 實(shí)戰(zhàn)分析 65
4.2 跨站腳本漏洞 67
4.2.1 理論敘述 67
4.2.2 實(shí)戰(zhàn)分析 68
4.3 SQL 注入漏洞 75
4.3.1 理論敘述 75
4.3.2 實(shí)戰(zhàn)分析 79
4.4 文件上傳漏洞 81
4.4.1 理論敘述 81
4.4.2 實(shí)戰(zhàn)分析 82
4.5 文件解析漏洞 105
4.5.1 理論敘述 105
4.5.2 實(shí)戰(zhàn)分析 107
4.6 跨站請(qǐng)求偽造漏洞 108
4.6.1 理論敘述 108
4.6.2 實(shí)戰(zhàn)分析 110
4.7 服務(wù)器請(qǐng)求偽造漏洞 112
4.7.1 理論敘述 112
4.7.2 實(shí)戰(zhàn)分析 113
4.8 代碼執(zhí)行漏洞 115
4.8.1 理論敘述 115
4.8.2 實(shí)戰(zhàn)分析 115
4.9 命令執(zhí)行漏洞 116
4.9.1 理論敘述 116
4.9.2 實(shí)戰(zhàn)分析 117
4.10 邏輯漏洞119
4.10.1 理論敘述 119
4.10.2 實(shí)戰(zhàn)分析 120
4.11 越權(quán)訪問(wèn)漏洞124
4.11.1 理論敘述 124
4.11.2 實(shí)戰(zhàn)分析 124
4.12 XML 外部實(shí)體注入 126
4.12.1 理論敘述 126
4.12.2 實(shí)戰(zhàn)分析 127
第5章 Web 安全非主流漏洞 129
5.1 點(diǎn)擊劫持129
5.1.1 理論敘述 129
5.1.2 實(shí)戰(zhàn)分析 130
5.2 文件包含漏洞 131
5.2.1 理論敘述 131
5.2.2 實(shí)戰(zhàn)分析 131
5.3 暴力破解133
5.3.1 理論敘述 133
5.3.2 實(shí)戰(zhàn)分析 134
5.4 目錄瀏覽137
5.4.1 理論敘述 137
5.4.2 實(shí)戰(zhàn)分析 138
5.5 目錄穿越139
5.5.1 理論敘述 139
5.5.2 實(shí)戰(zhàn)分析 140
5.6 JSON 注入 141
5.6.1 理論敘述 141
5.6.2 實(shí)戰(zhàn)分析 142
5.7 服務(wù)器包含注入 144
5.7.1 理論敘述 144
5.7.2 實(shí)戰(zhàn)分析 145
5.8 Hibernate 查詢語(yǔ)言注入 146
5.8.1 理論敘述 146
5.8.2 實(shí)戰(zhàn)分析 146
5.9 明文密碼漏洞 148
5.9.1 理論敘述 148
5.9.2 實(shí)戰(zhàn)分析 149
5.10 代碼泄露151
5.10.1 理論敘述 151
5.10.2 實(shí)戰(zhàn)分析 151
5.11 中間件漏洞 154
5.11.1 理論敘述 154
5.11.2 實(shí)戰(zhàn)分析 155
5.12 敏感信息泄露 156
5.12.1 理論敘述 156
5.12.2 實(shí)戰(zhàn)分析 157
5.13 其他漏洞敘述 161
5.14 安全意識(shí)敘述 162
5.14.1 理論敘述 162
5.14.2 實(shí)戰(zhàn)分析 163
第6章 工具一覽168
6.1 安全掃描工具 168
6.1.1 系統(tǒng)掃描工具 168
6.1.2 應(yīng)用掃描工具 170
6.2 目錄掃描工具 172
6.3 端口掃描工具 174
6.4 SQL 注入工具 177
6.5 編解碼工具 183
6.6 CSRFTester 測(cè)試工具 184
6.7 截包工具185
6.8 弱口令猜解工具 188
6.9 綜合管理工具 188
6.10 信息收集工具 189
6.11 內(nèi)網(wǎng)滲透工具195