书籍详情

Web应用程序的黑客防范

Web应用程序的黑客防范

作者:(美)Jeff Forristal等著;耿亦兵,秦凯等译

出版社:机械工业出版社

出版时间:2002-01-01

ISBN:9787111099482

定价:¥42.00

购买这本书可以去
内容简介
  本书从黑客技术发展、入侵原因和攻击类型人手,深入介绍了在开发Web应用程序时存在的安全隐患,着重从代码磨工和移动代码的角度阐述了产生安全问题的实质;通过对Java、JavaScript、XML、ActiveX和ColdFusion等常见语言的剖析,强调了可采取的安全预防措施;总结了开发安全Web应用程序的方法,并指导读者如何制订全面的安全计划。 本书结构合理、内容详实,既可以作为开发人员开发Web安全系统的参考书,又可以为网络管理员、系统管理员在管理网络、预防黑客方面提供有效的安全策略,同时也可以作为网络安全和Web安全的普及性读物。本书附有光盘,光盘包含原书(本书英文版)中的主要内容。
作者简介
  Chris Broomes(MCSE、MCT、MCP+I、CCNA),是DevonIT(www.devionitnet.com)的一位资深网络分析员,DevonIT是一家专注于网络安全和VPN解决方案的网络服务提供商。Chris致力于IT业八年之久,积累了丰富的技术经验,他是地处Lansdowne的网络咨询公司Infinite Solution集团公司(www.infinitesols.com)的创始人和首席执行官,同时又是网络设计、系统集成、安全服务、技术编写和培训方面的产品分析员。Chris精通Cisco和Netscreen的VPN和安全设备,目前,他正在争取CCDA和CCNP证书。Jeff Forristal是Neohapsis公司的安全开发主管,Neohapsis是一家基地设在芝加哥的安全解决方案的咨询公司。Jeff除了致力于网络安全评估和应用程序安全检查(包括源代码检查)外,同时又是Security Alert Consensus(安全报警舆论)的核心,这是由Neohapsis、Network Computing(网络计算)和SANS协会出版的有关安全报警通信的周刊。等等。
目录
第1章  黑客方法论                  
 1. l  概过                  
 1. 2  黑客简史                  
 1. 2. 1  电话系统黑客                  
 1. 2. 2  计算机黑客                  
 1. 3  产生黑客的原因                  
 1. 3. l  黑客的两面性                  
 1. 3. 2  与安全专家共事                  
 1. 4  当前存在的几种攻击类型                  
 1. 4. 1  DoS/DDoS                  
 1. 4. 2  病毒攻击                  
 1. 4. 3  窃取                  
 1. 5  Web应用程序面临的安全威胁                  
 1. 5. l  隐藏操作                  
 1. 5. 2  参数篡改                  
 1. 5. 3  站际脚本                  
 1. 5. 4  缓冲区溢出                  
 1. 5. 5  cookie毒药                  
 1. 6  预防黑客人侵                  
 1. 7  小结                  
 1. 8  解决方案快速检索                  
 1. 9  常见问题                  
 第2章  代码磨工                  
 2. l  概述                  
 2. 2  代码磨工简介                  
 2. 3  创造性地编码                  
 2. 4  从代码磨工的角度考虑安全问题                  
 2. 5  创建功能安全的Web应用程序                  
 2. 5. l  代码实现了它的功能                  
 2. 5. 2  比功能更重要的安全问题                  
 2. 5. 3  安全和功能兼得                  
 2. 6  小结                  
 2. 7  解决方案快速检索                  
 2. 8  常见问题                  
 第3章  移动代码的危害性                  
 3. 1  概述                  
 3. 2  移动代码攻击产生的影响                  
 3. 2. l  测览器攻击                  
 3. 2. 2  客户端邮件系统攻击                  
 3. 2. 3  恶意脚本或者宏                  
 3. 3  认识基本形式的移动代码                  
 3. 3. 1  宏语言:VBA                  
 3. 3. 2  JavaScript                  
 3. 3. 3  VBScript                  
 3. 3. 4  Java小程序                  
 3. 3. 5  ActiveX控件                  
 3. 3. 6  电子邮件附件和下载的可执行程序                  
 3. 4  保护系统免受移动代码攻击                  
 3. 4. 1  安全软件                  
 3. 4. 2  基于Web的工具                  
 3. 5  小结                  
 3. 6  解决方案快速检索                  
 3. 7  常见问题                  
 第4章  易受攻击的CGI脚本                  
 4. 1  概述                  
 4. 2  认识CGI脚本                  
 4. 2. 1  CGI脚本的典型用法                  
 4. 2. 2  何时选择CGI                  
 4. 2. 3  CGI脚本的主机问题                  
 4. 3  蹩脚的CGI脚本导致的非法入侵                  
 4. 3. l  编写牢固的CGI脚本                  
 4. 3. 2  可搜索索引命令                  
 4. 3. 3  CGI封装程序                  
 4. 4   tol脚本的编程语言                  
 4. 4. 1  UNIX Shell                  
 4. 4. 2  Perl                  
 4. 4. 3  C/C++                  
 4. 4. 4   Visual Basic                  
 4. 5  CGI脚本的优点                  
 4. 6  编写安全的CGI脚本的规则                  
 4. 7  小结                  
 4. 8  解决方案快速检索                  
 4. 9  常见问题                  
 第5章  黑窑技术和工具                  
 5. 1  概述                  
 5. 2  黑客的目标                  
 5. 2. l  减小被检测到的可能性                  
 5, 2. 2  扩大访问权限                  
 5. 2. 3  损失, 损失, 损失                  
 5. 2. 4  反败为胜                  
 5. 3  黑客攻击的五个阶段                  
 5. 3. 1  勾画攻击地图                  
 5. 3. 2  制订可行计划                  
 5. 3. 3  寻找突破口                  
 5. 3. 4  持续深人访问                  
 5. 3. 5  攻击                  
 5. 4  社会工程术                  
 5. 5  恶意的"后门"攻击                  
 5. 6  利用代码或编程环境的先天性缺陷                  
 5. 7  行业工具                  
 5. 7. 1  十六进制编辑器                  
 5. 7. 2  调试器                  
 5. 7. 3  反汇编器                  
 5. 8  小结                  
 5. 9  解决方案快速检索                  
 5. 10  常见问题                  
 第6章  代码审计与逆向工程                  
 6. 1  概述                  
 6. 2  如何有效跟踪程序                  
 6. 3  审计和评估几种程序设计语言                  
 6. 3. 1  Java                  
 6. 3. 2  Java Server Puges                  
 6. 3. 3  Active Server  Pages                  
 6. 3. 4  Server Side  Includes                  
 6. 3. 5  Pytnon                  
 6. 3. 6  Tool Command Language                  
 6. 3. 7  PracticalExtraction and ReportingLanguage                  
 6. 3. 8  PHP:Hypertext Preprocessor                  
 6. 3. 9  C/C++                  
 6. 3. 10  ColdFusion                  
 6. 4  寻找弱点                  
 6. 4. l  从用户那里获得数据                  
 6. 4. 2  查找缓冲区溢出                  
 6. 4. 3  检查对用户的输出                  
 6. 4. 4  检查文件系统的存取歧互                  
 6. 4. 5  检查外部程序和代码的执行情况                  
 6. 4. 6  检查结构化查询语言(SQL)/数据库查询                  
 6. 4. 7  检查网络和通信报文流                  
 6. 5  综合考虑                  
 6. 6  小结                  
 6. 7  解决方案快速检索                  
 6. 8  常见问题                  
 第7章  保护Java代码                  
 7. l  概述                  
 7. 2  Java安全体系概述                  
 7. 2. 1  Java安全模型                  
 7. 2. 2  沙盘                  
 7. 3  Java的安全处理机制                  
 7. 3. 1  类加载器                  
 7. 3. 2  字节码校验器                  
 7. 3. 3  Java保护域                  
 7. 4  Java的潜在弱点                  
 7. 4. 1  DoS攻击用医务降级攻击                  
 7. 4. 2  第三方特洛伊木马攻击                  
 7. 5  编写安全而有效的Java applet                  
 7. 5. 1  消息文摘                  
 7. 5. 2  数字签名                  
 7. 5. 3  身份识别                  
 7. 5. 4  使用JAN签名来保证安全                  
 7. 5. 5  加密                  
 7. 5. 6  Sun Microsystems对Java的安全建议                  
 7. 6  小结                  
 7. 7  解决方案快速检索                  
 7. 8  常见问题                  
 第8章  保护XML                  
 8. 1  概述                  
 8. 2  XML的定义                  
 8. 2. 1  逻辑结构                  
 8. 2. 2  元素                  
 8. 2. 3  XML和XSL/DTD文档                  
 8. 2. 4  XSL模板的使用                  
 8. 2. 5  XSL模式的使用                  
 8. 2. 6  DTD                  
 8. 3  使用XML创建Web应用程序                  
 8. 4  使用XML伴随的风险                  
 8. 5  保护XML                  
 8. 5. 1  XML加密                  
 8. 5. 2  XML数字签名                  
 8. 6  小结                  
 8. 7  解决方案快速检索                  
 8. 8  常见问题                  
 第9章  保护ActiveX网络控件                  
 9. 1  概述                  
 9. 2  使用ActiveX伴随的危险                  
 9. 2. 1  避免ActiveX的常见弱点                  
 9. 2. 2  减少ActiveX弱点的影响                  
 9. 3  编写安全ActiveX控件的方法                  
 9. 4  保护ActiveX控件                  
 9. 4. 1  控件签名                  
 9. 4. 2  标记控件                  
 9. 5  小结                  
 9. 6  解决方案快速检索                  
 9. 7  常见问题                  
 第10章  保护ColdFusion                  
 10. l  概述                  
 10. 2  ColdFusion的工作方式                  
 10. 2. l  充分利用快速开发的优点                  
 10. 2. 2  ColdFusion标记语言                  
 10. 3  保护ColdFusion的安全                  
 10. 3. l  安全开发                  
 10. 3. 2  安全配置                  
 10. 4  ColdFusion应用程序处理                  
 10. 4. 1  数据存在性检验                  
 10. 4. 2  数据类型检验                  
 10. 4. 3  数据赋值                  
 1O. 5  使用ChldFusion伴随的危险                  
 10. 6  使用逐个会话跟踪                  
 10. 7  小结                  
 10. 8  解决方案快速检索                  
 10. 9  常见问题                  
 第11章  开发安全的应用程序                  
 11. 1  概述                  
 11. 2  使用安全应用程序的好处                  
 11. 3  应用程序中使用的安全类型                  
 11. 3. 1  数字签名                  
 11. 3. 2  Pretty  Good Privacy                  
 11. 3. 3  安全多用途网际邮件扩充协议                  
 11. 3. 4  安全套按字协议层                  
 11. 3. 5  数字证书                  
 11. 4  PKI基础知识回顾                  
 11. 5  使用PKI保护Web应用程序                  
 11. 6  在Web基础结构中实现PKI                  
 11. 6. 1  Microsoft的证书服务                  
 11. 6. 2  Netscape证书服务                  
 11. 6. 3  Apache服务器的PKI                  
 11. 6. 4  PKI和安全软件包                  
 11. 7  测试安全实现                  
 11. 8  小结                  
 11. 9  解决方案快速检索                  
 11. 10  常见问题                  
 第12章  制订安全计划指导工作                  
 12. 1  概述                  
 12. 2  代码审查                  
 12. 2. l  代码审查                  
 12. 2. 2  对等代码审查                  
 12. 3  意识到代码的脆弱性                  
 12. 4  编码时使用常识                  
 12. 4. 1  计划编制                  
 12. 4. 2  编码标准                  
 12. 4. 3  工具                  
 12. 5  制订安全计划                  
 12. 5. l  网络级安全计划                  
 12. 5. 2  应用程序级安全计划                  
 12. 5. 3  桌面级安全计划                  
 12. 5. 4  Web应用程序安全处理                  
 12. 6  小结                  
 12. 7  解决方案快速检索                  
 12. 8  常见问题                  
                   
                   

猜您喜欢

读书导航