揭秘 Web 应用程序攻击技术 (计算机信息及网络安全系列)
点此进入淘宝搜索页搜索分類: 图书,计算机/网络,信息安全,
作者: 王继刚编著
出 版 社: 水利水电出版社
出版时间: 2009-5-1字数:版次: 1页数: 288印刷时间:开本: 16开印次:纸张:I S B N : 9787508464497包装: 平装编辑推荐
本书特点:
全面着眼于Web应用程序安全,解密当今流行的黑客攻击技术内幕;精选安全案例,深入浅出讲解Web应用程序安全漏洞的发现与利用;了解Web安全的实质,学会有效的防范技术,真正带领读者走近Web应用程序安全研究者的神秘领域。
内容简介
互联网安全已经深入影响到当今社会的每一个角落,网络犯罪、网络恶意攻击几乎时时刻刻都在上演,而导致这些问题发生的最大安全隐患正来自于网络的核心——web应用程序。本书以实例与理论相结合的方法,带领读者一同进入Web应用程序安全领域,让读者亲身扮演一位安全研究人员,从认识Web应用程序、理解Web结构开始,一步一步进入Web应用程序的漏洞分析及攻击技术剖析。本书详细讲述了各种Web应用程序攻击技术的分类及来由,第一次为读者揭开了Web应用程序漏洞的发掘技术,同时,列举了许多真实的Web应用程序攻击案例,供读者参考。
本书适合所有热爱网络安全的人们,尤其是高等院校计算机专业的学生。同时,本书可作为计算机安全培训班及学校教材和参考书籍,也为Web应用程序开发人员及网络管理人员提供了不可多得的安全参考资料,有很高的实用价值。
目录
前言
第1章脆弱的Web应用程序
1.1所谓的“安全”
1.2定义Web程序安全漏洞
1.2.1漏洞的概念
1.2.2漏洞的特性
1.2.3系统的信任等级
1.2.4漏洞与系统攻击之间的关系
1.2.5Web应用程序安全漏洞的引入
1.3Web程序漏洞的分类
1.4引发漏洞的始因
1.5Web漏洞攻击的趋势
1.5.1蠕虫化
1.5.2病毒化
1.5.3恶意化
1.5.4 Oday化
第2章基础知识
2.1Web——世界的奇迹
2.1.1什么是Web
2.1.2 Web运行原理
2.1.3 Web技术
2.1.4 Web 2.0带来的变革
2.2 Web程序的开发
2.2.1服务端开发语言
2.2.2客户端开发语言
2.3 Web程序运行环境
2.3.1 常见的Web Servet
2.3.2 Web Server与服务器系统
2.3.3 状态码
2.4 Web程序的数据通信
2.4.1 HTTP/HTTPS协议
2.4.2 Cookies的作用
2.4.3 GET与POST数据提交
2.5Web应用程序数据加密方式
2.5.1MD5加密
2.5.2 URL Encode
2.5.3Base64加密
第3章搭建攻击平台
3.1发掘工具的准备
3.1.1浏览器
3.1.2编码工具
3.1.3监视工具
3.1.4调试工具
3.2虚拟机
3.2.1虚拟机的概念
3.2.2VMware的安装使用
3.3安装Web程序运行环境
3.3.1IIS环境的搭建
3.3.2XAMPP的使用
3.3.3Tomcat的安装
第4章最广泛的漏洞——XSS
4.1初次接触XSS漏洞
4.1.1 艺术化的XSS漏洞
4.1.2 Stored.XSS漏洞
4.1.3DOM—Based XSS漏洞
4.2手工发掘:XSS漏洞的方法
4.2.1寻找关键变量
4.2.2页面表单测试
4.2.3反馈信息观察
4.3传统的XSS漏洞利用
4.3.1 Cookies欺骗
4.3.2隐蔽网页木马
4.3.3 电子邮件中的XSS攻击
4.4无可匹敌的XSS木马
4.5可怕的XSS蠕虫
4.6飞天论坛XSS漏洞发掘实例
4.7防范XSS漏洞
4.7.1过滤与加密变型
4.7.2客户端的防范
第5章针对数据库的攻击——SQL注入漏洞
5.1常见的网站数据库
5.2SQL简介
5.3注入思想的诞生
5.4IIS的“友好”帮助
……
第6章通过WEB控制系统系统
第7章引用文件带来的危害
第8章堪称经典的上传漏洞
第9章Web应用程序做嗅探
第10章混乱的Web程序员
第11章渗透编译型Web程序
第12章自动化漏洞发扬技术
第13章穿透安全防范机制
第14章新起的Web程序攻击
参考文献及参考资料
书摘插图
第1章脆弱的Web应用程序
不知道在你上网的时候,有没有看见过如图1.1所示的画面。
这是一张被恶意攻击者渗透进入后的网站截图,攻击者篡改了网站的首页内容,图1—1中那挑衅的字眼似乎在告诉每一个看到它的人说:“这个网站并不安全。”在互联网上,这些用来为广大网民提供信息服务的网站,几乎每一个时刻都在面I临着如此恶意的攻击。当网站服务器的开发者竭尽全力加强网站安全的时候,Web应用程序却成为了网络这个安全木桶上最短的一块挡板。
管理学中的木桶原理告诉我们:一个木桶由许多块木板组成,如果组成木桶的这些木板长短不一,那么木桶的最大容量不取决于长的木板,而取决于最短的那块木板。这个原理同样适用于信息安全。一个结构的信息安全水平将由与信息安全有关的所有环节中最薄弱的环节决定。安全就像是水,木桶就像是需要安全保护的网络环境,一个可以用来装水的木桶,必须保证木桶上的每一块挡板长度都要一样,不然,一旦我们想要给木桶装满水的时候,水就会从最短的那一块挡板上面流出,那就意味着安全问题将会从木桶上最短的一块挡板上发生。
在本章里,我将把它作为一个引子,告诉大家为什么我们要谈论.Web应用程序的安全问题,它真的严重到我们需要整整一本书的版面来说明这个问题吗?也许,我们谁都不希望在每天打开计算机上网的时候,映入眼帘的画面全部都像图1.1那样令人不安。至于那些具体的安全理论和方法,会在后面的章节详细讲述。
……
