Web入侵安全測試與對策

定　價：￥29.00

作　者：	（美）安德魯（Andrews,M.），（美）惠特克（Whittaker,J.A.）著，汪青青譯
出版社：	清華大學(xué)出版社
叢編項：
標　簽：	網(wǎng)絡(luò)安全

購買這本書可以去

ISBN：	9787302138747	出版時間：	2006-10-01	包裝：	膠版紙
開本：	16	頁數(shù)：	177	字數(shù)：

內(nèi)容簡介

　　毫無疑問：黑客們會對你的Web網(wǎng)站、應(yīng)用程序和服務(wù)器進行殘忍的攻擊。如果網(wǎng)站存在漏洞，那么最好在這些黑客之前自己先發(fā)現(xiàn)這些攻擊?，F(xiàn)在就有了一本對基于Web的軟件進行安全性測試的權(quán)威的隨身指南。.在本書中，兩位資深專家介紹了各種針對Web軟件的攻擊：對于客戶機、服務(wù)器、狀態(tài)、用戶輸入等方面的攻擊。隨著對Web架構(gòu)和代碼當中大量關(guān)鍵的和經(jīng)常遭到攻擊的漏洞的深入了解，你將逐步掌握強大的攻擊工具和技術(shù)。..作者揭示了如何發(fā)現(xiàn)潛在的威脅和攻擊的方向，怎樣對它們一一進行嚴格的測試，以及如何消除這些發(fā)現(xiàn)的問題。所涵蓋的內(nèi)容包括：客戶機的漏洞，包括對客戶端驗證的攻擊；基于狀態(tài)的攻擊：隱藏域、CGI參數(shù)、破壞cookie、URL跳躍以及會話劫持；針對用戶提交的輸入數(shù)據(jù)的攻擊：跨頁面腳本、SQL注入以及目錄遍歷；基于語言和技術(shù)的攻擊：緩沖區(qū)溢出、公理化和NULL字符串攻擊；對服務(wù)器的攻擊：存儲過程的SQL注入、命令注入以及服務(wù)器鑒別；加密、隱私以及針對Web服務(wù)的攻擊。Web軟件的運作足最關(guān)鍵的，絕不能有絲毫馬虎。無論你足一名開發(fā)人員、測試人員、QA專家，或足IT經(jīng)理，本書都會幫助你保護好你的軟件產(chǎn)品——而且是系統(tǒng)性的。...

作者簡介

　　本書提供作譯者介紹Mike Andrews是Founstone的資深顧問，專攻軟件安全，并且對Web應(yīng)用程序進行安全評估，對Web攻擊進行分類。他在大西洋兩岸積累了豐富的教育和商業(yè)經(jīng)驗，而且還是一位著述頗豐的作者，同時又是一位出色的演講家。.在加入Foundstone之前，Mike是一名自由顧問，開發(fā)基于Web的信息系統(tǒng)；使用這套系統(tǒng)的客戶有The Economist（倫敦運輸行業(yè)的龍頭企業(yè)），以及英國的很多大學(xué)。在經(jīng)歷了多年講師和研究人員的生活之后，Mike于2002年以助理教授的身份加入了佛羅里達科技研究中心。在那里，他...

圖書目錄

第1章  與眾不同的Web    1
1.1  本章內(nèi)容    1
1.2  簡介    1
1.3  World Wide Web    2
1.4  Web世界的價值    4
1.5  Web和客戶機－服務(wù)器    5
1.6  Web應(yīng)用的一個粗略模型    7
1.6.1  Web服務(wù)器    7
1.6.2  Web客戶機    8
1.6.3  網(wǎng)絡(luò)    8
1.7  結(jié)論    9
第2章  獲取目標的信息    11
2.1  本章內(nèi)容    11
2.2  簡介    11
2.3  攻擊1：淘金    11
2.3.1  何時使用這種攻擊    12
2.3.2  如何實施這種攻擊    12
2.3.3  如何防范這種攻擊    18
2.4  攻擊2：猜測文件與目錄    18
2.4.1  何時使用這種攻擊    19
2.4.2  如何實施這種攻擊    19
2.4.3  如何防范這種攻擊    22
2.5  攻擊3：其他人留下的漏洞——樣例程序的缺陷    23
2.5.1  何時使用這種攻擊    23
2.5.2  如何實施這種攻擊    23
2.5.3  如何防范這種攻擊    24
第3章  攻擊客戶機    25
3.1  本章內(nèi)容    25
3.2  簡介    25
3.3  攻擊4：繞過對輸入選項的限制    26
3.3.1  何時使用這種攻擊    27
3.3.2  如何實施這種攻擊    27
3.3.3  如何防范這種攻擊    30
3.4  攻擊5：繞過客戶機端的驗證    31
3.4.1  何時使用這種攻擊    32
3.4.2  如何實施這種攻擊    32
3.4.3  如何防范這種攻擊    34
第4章  基于狀態(tài)的攻擊    37
4.1  本章內(nèi)容    37
4.2  簡介    37
4.3  攻擊6：隱藏域    38
4.3.1  何時使用這種攻擊    38
4.3.2  如何實施這種攻擊    40
4.3.3  如何防范這種攻擊    41
4.4  攻擊7：CGI參數(shù)    41
4.4.1  何時使用這種攻擊    42
4.4.2  如何實施這種攻擊    42
4.4.3  如何防范這種攻擊    45
4.5  攻擊8：破壞cookie    45
4.5.1  何時使用這種攻擊    46
4.5.2  如何實施這種攻擊    46
4.5.3  如何防范這種攻擊    48
4.6  攻擊9：URL跳躍    48
4.6.1  何時使用這種攻擊    48
4.6.2  如何實施這種攻擊    49
4.6.3  如何防范這種攻擊    50
4.7  攻擊10：會話劫持    51
4.7.1  何時使用這種攻擊    52
4.7.2  如何實施這種攻擊    52
4.7.3  如何防范這種攻擊    54
4.8  參考文獻    55
第5章  攻擊用戶提交的輸入數(shù)據(jù)    57
5.1  本章內(nèi)容    57
5.2  簡介    57
5.3  攻擊11：跨站點腳本    57
5.3.1  何時使用這種攻擊    59
5.3.2  如何實施這種攻擊    59
5.3.3  如何防范這種攻擊    63
5.4  攻擊12：SQL注入    64
5.4.1  何時使用這種攻擊    65
5.4.2  如何實施這種攻擊    65
5.4.3  如何防范這種攻擊    68
5.5  攻擊13：目錄遍歷    69
5.5.1  何時使用這種攻擊    69
5.5.2  如何實施這種攻擊    69
5.5.3  如何防范這種攻擊    71
第6章  基于語言的攻擊    73
6.1  本章內(nèi)容    73
6.2  簡介    73
6.3  攻擊14：緩沖區(qū)溢出    73
6.3.1  何時使用這種攻擊    74
6.3.2  如何實施這種攻擊    75
6.3.3  如何防范這種攻擊    77
6.4  攻擊15：公理化    78
6.4.1  何時使用這種攻擊    79
6.4.2  如何實施這種攻擊    79
6.4.3  如何防范這種攻擊    81
6.5  攻擊16：NULL字符攻擊    81
6.5.1  何時使用這種攻擊    82
6.5.2  如何實施這種攻擊    83
6.5.3  如何防范這種攻擊    83
第7章  獲取目標的信息    85
7.1  本章內(nèi)容    85
7.2  簡介    85
7.3  攻擊17：SQL注入II——存儲過程    85
7.3.1  何時使用這種攻擊    86
7.3.2  如何實施這種攻擊    86
7.3.3  如何防范這種攻擊    87
7.4  攻擊18 ：命令注入    88
7.4.1  何時使用這種攻擊    89
7.4.2  如何實施這種攻擊    90
7.4.3  如何防范這種攻擊    90
7.5  攻擊19：探測服務(wù)器    90
7.5.1  何時使用這種攻擊    91
7.5.2  如何實施這種攻擊    92
7.5.3  如何防范這種攻擊    95
7.6  攻擊20：拒絕服務(wù)    96
7.6.1  何時使用這種攻擊    96
7.6.2  如何實施這種攻擊    97
7.6.3  如何防范這種攻擊    97
7.7  參考文獻    97
第8章  認證    99
8.1  本章內(nèi)容    99
8.2  簡介    99
8.3  攻擊21：偽裝型加密    99
8.3.1  何時使用這種攻擊    100
8.3.2  如何實施這種攻擊    101
8.3.3  如何防范這種攻擊    103
8.4  攻擊22：認證破壞    103
8.4.1  何時使用這種攻擊    105
8.4.2  如何實施這種攻擊    105
8.4.3  如何防范這種攻擊    106
8.5  攻擊23：跨站點跟蹤    107
8.5.1  何時使用這種攻擊    109
8.5.2  如何實施這種攻擊    109
8.5.3  如何防范這種攻擊    110
8.6  攻擊24：暴力破解低強度密鑰    110
8.6.1  何時使用這種攻擊    112
8.6.2  如何實施這種攻擊    113
8.6.3  如何防范這種攻擊    113
8.7  參考文獻    115
第9章  隱私    117
9.1  本章內(nèi)容    117
9.2  簡介    117
9.3  用戶代理    118
9.4  原文    120
9.5  cookie    121
9.6  Web Bugs    123
9.7  對剪切板的存取    124
9.8  頁面緩存    125
9.9  ActiveX控件    127
9.10  瀏覽器輔助對象    127
第10章  Web服務(wù)    129
10.1  本章內(nèi)容    129
10.2  簡介    129
10.3  什么是Web服務(wù)    129
10.4  XML    130
10.5  SOAP    131
10.6  WSDL    132
10.7  UDDI    132
10.8  威脅    133
10.8.1  WSDL掃描攻擊    133
10.8.2  參數(shù)篡改    134
10.8.3  XPATH注入攻擊    134
10.8.4  遞歸負載攻擊    135
10.8.5  過載攻擊    136
10.8.6  外部實體攻擊    136
附錄A  軟件產(chǎn)業(yè)50年：質(zhì)量為先    139
A.1  1950—1959年：起源    139
A.2  1960—1969年：遠行    140
A.3  1970—1979年：混亂    141
A.4  1980—1989年：重建    142
A.4.1  CASE工具    142
A.4.2  形式方法    143
A.5  1990—1999年：發(fā)展    144
A.6  2000—2009年：工程化？    145
附錄B  電子花店的bug    149
附錄C  工具    155
C.1  TextPad    155
C.2  Nikto    156
C.3  Wikto    159
C.4  Stunnel    164
C.5  BlackWidow    165
C.6  Wget    167
C.7  cURL    169
C.8  Paros    171
C.9  SPIKEProxy    173
C.10  SSLDigger    176
C.11  大腦    177