黑客大曝光 pdf epub mobi txt 電子書 下載2025

想要找書就要到 圖書目錄大全

立刻按 ctrl+D收藏本頁

你會得到大驚喜!!

在網絡技術和電子商務飛速發展的今天，Web應用安全麵臨著前所未有的挑戰。所有安全技術人員有必要掌握當今黑客們的武器和思維過程，保護Web應用免遭惡意攻擊。本書由美國公認的安全專傢和精神領袖打造，對上一版做瞭完全的更新，覆蓋新的網絡滲透方法和對策，介紹如何增強驗證和授權、彌補Firefox和IE中的漏洞、加強對注入攻擊的防禦以及加固Web 2.0安全，還介紹瞭如何將安全技術整閤在Web開發以及更廣泛的企業信息係統中。

主要內容：

黑客足跡跟蹤、掃描和剖析工具，包括SHODAN、Maltego和OWASP DirBuster

流行平颱（如Sun Java System Web Server和Oracle WebLogic）上新的漏洞攻擊

攻擊者如何挫敗常用的Web驗證技術

實際的會話攻擊泄漏敏感數據的方法，以及加固應用的途徑

當今黑客使用的最具毀滅性的方法，包括SQL注入、XSS、XSRF、網絡釣魚和XML注入技術

尋找和修復ASP.NET、PHP和J2EE執行環境中的漏洞

安全部署XML、社交網絡、雲計算和Web2.0服務

防禦RIA、Ajax、UGC和基於瀏覽器的客戶端漏洞利用

實現可伸縮的威脅建模、代碼評審、應用掃描、模糊測試和安全測試規程

Joel Scambray，CISSP、戰略安全谘詢服務供應商Consciere的共同創始人和CEO。他曾經在Microsoft、Foundstone、Ernst & Young以及其他機構從事互聯網安全評估和防禦將近15年之久，是國際知名的演說傢和多本安全書籍的作者。

Vincent Liu，CISSP、Stach & Liu的任事股東。他曾經領導Honeywell國際公司全球安全單位的攻擊與滲透及逆嚮工程團隊，曾經是Ernst & Young高級安全中心的顧問和美國國傢安全局的分析師，曾經在Black Hat、ToorCon和 Microsoft BlueHat等業界會議上發錶演說。

Caleb Sima，集成Web應用安全解決方案提供商Armorize Technologies的CEO。他創立瞭Web安全技術公司SPI Dynamic，也是Internet Security Systems/IBM精銳的X-Force團隊的早期創新者，經常齣席安全業界的重要會議，如RSA和Black Hat等。

對本書的贊譽
譯者序
序言
前言
作者簡介
緻謝
第1章　Web應用入侵基礎1
1.1　什麼是Web應用入侵1
1.1.1　GUI Web入侵1
1.1.2　URI入侵2
1.1.3　方法、首部和主體3
1.1.4　資源4
1.1.5　驗證、會話和授權5
1.1.6　Web客戶端與HTML5
1.1.7　其他協議6
1.2　為什麼攻擊Web應用7
1.3　誰、何時、何處8
1.4　Web應用是如何遭到攻擊的9
1.4.1　Web瀏覽器9
1.4.2　瀏覽器擴展10
1.4.3　HTTP代理14
1.4.4　命令行工具19
1.4.5　較老的工具20
1.5　小結20
1.6　參考與延伸閱讀20
第2章　剖析23
2.1　基礎架構剖析23
2.1.1　足跡法和掃描：定義範圍23
2.1.2　基本的標誌獲取24
2.1.3　高級HTTP指紋識彆25
2.1.4　基礎架構中介28
2.2　應用剖析34
2.2.1　手工檢查34
2.2.2　剖析所用的搜索工具50
2.2.3　自動化的Web爬行55
2.2.4　常見Web應用剖析60
2.3　一般對策63
2.3.1　警告63
2.3.2　保護目錄63
2.3.3　保護包含文件64
2.3.4　其他技巧64
2.4　小結65
2.5　參考與延伸閱讀65
第3章　Web平颱入侵67
3.1　用Metasploit進行點擊攻擊68
3.2　手工攻擊70
3.3　逃避檢測80
3.4　Web平颱安全最佳實踐82
3.4.1　通用的最佳實踐82
3.4.2　IIS加固84
3.4.3　Apache加固87
3.4.4　PHP最佳實踐90
3.5　小結91
3.6　參考與延伸閱讀92
第4章　攻擊Web驗證94
4.1　Web驗證威脅94
4.1.1　用戶名/密碼威脅94
4.1.2　（更）強的Web驗證108
4.1.3　Web驗證服務111
4.2　繞過驗證114
4.2.1　令牌重放114
4.2.2　跨站請求僞造116
4.2.3　身份管理118
4.2.4　客戶端藉道法121
4.3　最後一些想法：身份盜竊122
4.4　小結122
4.5　參考與延伸閱讀123
第5章　攻擊Web授權126
5.1　授權指紋識彆127
5.1.1　ACL爬行127
5.1.2　識彆訪問令牌128
5.1.3　分析會話令牌129
5.1.4　差異分析131
5.1.5　角色矩陣132
5.2　攻擊ACL132
5.3　攻擊令牌134
5.3.1　人工預測134
5.3.2　自動預測140
5.3.3　捕捉/重放145
5.3.4　會話完成146
5.4　授權攻擊案例研究147
5.4.1　水平權限提升147
5.4.2　垂直權限提升151
5.4.3　差異分析153
5.4.4　當加密失敗時155
5.4.5　使用cURL映射權限155
5.5　授權最佳實踐158
5.5.1　Web ACL最佳實踐158
5.5.2　Web授權/訪問令牌安全161
5.5.3　安全日誌163
5.6　小結163
5.7　參考與延伸閱讀164
第6章　輸入注入攻擊166
6.1　預料到意外情況167
6.2　何處尋找攻擊目標167
6.3　繞過客戶端校驗例程168
6.4　常見輸入注入攻擊169
6.4.1　緩衝區溢齣169
6.4.2　規範化攻擊170
6.4.3　HTML注入174
6.4.4　邊界檢查177
6.4.5　操縱應用行為178
6.4.6　SQL注入179
6.4.7　XPATH注入189
6.4.8　LDAP注入191
6.4.9　自定義參數注入192
6.4.10　日誌注入193
6.4.11　命令執行193
6.4.12　編碼誤用195
6.4.13　PHP全局變量195
6.4.14　常見的副作用196
6.5　常見對策196
6.6　小結197
6.7　參考與延伸閱讀198
第7章　攻擊XML Web服務200
7.1　Web服務是什麼200
7.1.1　傳輸：SOAP over HTTP201
7.1.2　WSDL204
7.1.3　目錄服務：UDDI和DISCO205
7.1.4　與Web應用安全的相似性209
7.2　攻擊Web服務209
7.3　Web服務安全基礎216
7.4　小結219
7.5　參考與延伸閱讀219
第8章　攻擊Web應用管理221
8.1　遠程服務器管理221
8.1.1　Telnet221
8.1.2　SSH222
8.1.3　專用管理端口222
8.1.4　其他管理服務223
8.2　Web內容管理224
8.2.1　FTP224
8.2.2　SSH/scp224
8.2.3　FrontPage225
8.2.4　WebDAV226
8.3　錯誤的配置231
8.3.1　不必要的Web服務器擴展232
8.3.2　引起信息泄露的錯誤配置234
8.3.3　狀態管理的錯誤配置245
8.4　小結249
8.5　參考與延伸閱讀250
第9章　入侵Web客戶端251
9.1　漏洞利用251
9.2　騙術264
9.3　一般的對策269
9.3.1　低權限瀏覽269
9.3.2　Firefox安全擴展271
9.3.3　ActiveX對策271
9.3.4　服務器端對策273
9.4　小結274
9.5　參考與延伸閱讀274
第10章　企業Web應用安全計劃277
10.1　威脅建模277
10.1.1　澄清安全目標278
10.1.2　識彆資産279
10.1.3　架構概要279
10.1.4　分解應用280
10.1.5　識彆和記錄威脅280
10.1.6　威脅排名282
10.1.7　開發威脅緩解策略283
10.2　代碼評審284
10.2.1　人工源代碼評審284
10.2.2　自動化源代碼評審288
10.2.3　二進製分析288
10.3　Web應用代碼安全測試296
10.3.1　模糊測試296
10.3.2　測試工具、實用程序和框架298
10.3.3　滲透測試298
10.4　Web開發過程中的安全299
10.4.1　人員299
10.4.2　過程301
10.4.3　技術303
10.5　小結305
10.6　參考與延伸閱讀305
附錄A　Web安全檢查列錶308
附錄B　Web黑客工具和技術快速參考312
· · · · · · (收起)