书籍详情
Web应用程序的黑客防范
作者:(美)Jeff Forristal等著;耿亦兵,秦凯等译
出版社:机械工业出版社
出版时间:2002-01-01
ISBN:9787111099482
定价:¥42.00
购买这本书可以去
内容简介
本书从黑客技术发展、入侵原因和攻击类型人手,深入介绍了在开发Web应用程序时存在的安全隐患,着重从代码磨工和移动代码的角度阐述了产生安全问题的实质;通过对Java、JavaScript、XML、ActiveX和ColdFusion等常见语言的剖析,强调了可采取的安全预防措施;总结了开发安全Web应用程序的方法,并指导读者如何制订全面的安全计划。 本书结构合理、内容详实,既可以作为开发人员开发Web安全系统的参考书,又可以为网络管理员、系统管理员在管理网络、预防黑客方面提供有效的安全策略,同时也可以作为网络安全和Web安全的普及性读物。本书附有光盘,光盘包含原书(本书英文版)中的主要内容。
作者简介
Chris Broomes(MCSE、MCT、MCP+I、CCNA),是DevonIT(www.devionitnet.com)的一位资深网络分析员,DevonIT是一家专注于网络安全和VPN解决方案的网络服务提供商。Chris致力于IT业八年之久,积累了丰富的技术经验,他是地处Lansdowne的网络咨询公司Infinite Solution集团公司(www.infinitesols.com)的创始人和首席执行官,同时又是网络设计、系统集成、安全服务、技术编写和培训方面的产品分析员。Chris精通Cisco和Netscreen的VPN和安全设备,目前,他正在争取CCDA和CCNP证书。Jeff Forristal是Neohapsis公司的安全开发主管,Neohapsis是一家基地设在芝加哥的安全解决方案的咨询公司。Jeff除了致力于网络安全评估和应用程序安全检查(包括源代码检查)外,同时又是Security Alert Consensus(安全报警舆论)的核心,这是由Neohapsis、Network Computing(网络计算)和SANS协会出版的有关安全报警通信的周刊。等等。
目录
第1章 黑客方法论
1. l 概过
1. 2 黑客简史
1. 2. 1 电话系统黑客
1. 2. 2 计算机黑客
1. 3 产生黑客的原因
1. 3. l 黑客的两面性
1. 3. 2 与安全专家共事
1. 4 当前存在的几种攻击类型
1. 4. 1 DoS/DDoS
1. 4. 2 病毒攻击
1. 4. 3 窃取
1. 5 Web应用程序面临的安全威胁
1. 5. l 隐藏操作
1. 5. 2 参数篡改
1. 5. 3 站际脚本
1. 5. 4 缓冲区溢出
1. 5. 5 cookie毒药
1. 6 预防黑客人侵
1. 7 小结
1. 8 解决方案快速检索
1. 9 常见问题
第2章 代码磨工
2. l 概述
2. 2 代码磨工简介
2. 3 创造性地编码
2. 4 从代码磨工的角度考虑安全问题
2. 5 创建功能安全的Web应用程序
2. 5. l 代码实现了它的功能
2. 5. 2 比功能更重要的安全问题
2. 5. 3 安全和功能兼得
2. 6 小结
2. 7 解决方案快速检索
2. 8 常见问题
第3章 移动代码的危害性
3. 1 概述
3. 2 移动代码攻击产生的影响
3. 2. l 测览器攻击
3. 2. 2 客户端邮件系统攻击
3. 2. 3 恶意脚本或者宏
3. 3 认识基本形式的移动代码
3. 3. 1 宏语言:VBA
3. 3. 2 JavaScript
3. 3. 3 VBScript
3. 3. 4 Java小程序
3. 3. 5 ActiveX控件
3. 3. 6 电子邮件附件和下载的可执行程序
3. 4 保护系统免受移动代码攻击
3. 4. 1 安全软件
3. 4. 2 基于Web的工具
3. 5 小结
3. 6 解决方案快速检索
3. 7 常见问题
第4章 易受攻击的CGI脚本
4. 1 概述
4. 2 认识CGI脚本
4. 2. 1 CGI脚本的典型用法
4. 2. 2 何时选择CGI
4. 2. 3 CGI脚本的主机问题
4. 3 蹩脚的CGI脚本导致的非法入侵
4. 3. l 编写牢固的CGI脚本
4. 3. 2 可搜索索引命令
4. 3. 3 CGI封装程序
4. 4 tol脚本的编程语言
4. 4. 1 UNIX Shell
4. 4. 2 Perl
4. 4. 3 C/C++
4. 4. 4 Visual Basic
4. 5 CGI脚本的优点
4. 6 编写安全的CGI脚本的规则
4. 7 小结
4. 8 解决方案快速检索
4. 9 常见问题
第5章 黑窑技术和工具
5. 1 概述
5. 2 黑客的目标
5. 2. l 减小被检测到的可能性
5, 2. 2 扩大访问权限
5. 2. 3 损失, 损失, 损失
5. 2. 4 反败为胜
5. 3 黑客攻击的五个阶段
5. 3. 1 勾画攻击地图
5. 3. 2 制订可行计划
5. 3. 3 寻找突破口
5. 3. 4 持续深人访问
5. 3. 5 攻击
5. 4 社会工程术
5. 5 恶意的"后门"攻击
5. 6 利用代码或编程环境的先天性缺陷
5. 7 行业工具
5. 7. 1 十六进制编辑器
5. 7. 2 调试器
5. 7. 3 反汇编器
5. 8 小结
5. 9 解决方案快速检索
5. 10 常见问题
第6章 代码审计与逆向工程
6. 1 概述
6. 2 如何有效跟踪程序
6. 3 审计和评估几种程序设计语言
6. 3. 1 Java
6. 3. 2 Java Server Puges
6. 3. 3 Active Server Pages
6. 3. 4 Server Side Includes
6. 3. 5 Pytnon
6. 3. 6 Tool Command Language
6. 3. 7 PracticalExtraction and ReportingLanguage
6. 3. 8 PHP:Hypertext Preprocessor
6. 3. 9 C/C++
6. 3. 10 ColdFusion
6. 4 寻找弱点
6. 4. l 从用户那里获得数据
6. 4. 2 查找缓冲区溢出
6. 4. 3 检查对用户的输出
6. 4. 4 检查文件系统的存取歧互
6. 4. 5 检查外部程序和代码的执行情况
6. 4. 6 检查结构化查询语言(SQL)/数据库查询
6. 4. 7 检查网络和通信报文流
6. 5 综合考虑
6. 6 小结
6. 7 解决方案快速检索
6. 8 常见问题
第7章 保护Java代码
7. l 概述
7. 2 Java安全体系概述
7. 2. 1 Java安全模型
7. 2. 2 沙盘
7. 3 Java的安全处理机制
7. 3. 1 类加载器
7. 3. 2 字节码校验器
7. 3. 3 Java保护域
7. 4 Java的潜在弱点
7. 4. 1 DoS攻击用医务降级攻击
7. 4. 2 第三方特洛伊木马攻击
7. 5 编写安全而有效的Java applet
7. 5. 1 消息文摘
7. 5. 2 数字签名
7. 5. 3 身份识别
7. 5. 4 使用JAN签名来保证安全
7. 5. 5 加密
7. 5. 6 Sun Microsystems对Java的安全建议
7. 6 小结
7. 7 解决方案快速检索
7. 8 常见问题
第8章 保护XML
8. 1 概述
8. 2 XML的定义
8. 2. 1 逻辑结构
8. 2. 2 元素
8. 2. 3 XML和XSL/DTD文档
8. 2. 4 XSL模板的使用
8. 2. 5 XSL模式的使用
8. 2. 6 DTD
8. 3 使用XML创建Web应用程序
8. 4 使用XML伴随的风险
8. 5 保护XML
8. 5. 1 XML加密
8. 5. 2 XML数字签名
8. 6 小结
8. 7 解决方案快速检索
8. 8 常见问题
第9章 保护ActiveX网络控件
9. 1 概述
9. 2 使用ActiveX伴随的危险
9. 2. 1 避免ActiveX的常见弱点
9. 2. 2 减少ActiveX弱点的影响
9. 3 编写安全ActiveX控件的方法
9. 4 保护ActiveX控件
9. 4. 1 控件签名
9. 4. 2 标记控件
9. 5 小结
9. 6 解决方案快速检索
9. 7 常见问题
第10章 保护ColdFusion
10. l 概述
10. 2 ColdFusion的工作方式
10. 2. l 充分利用快速开发的优点
10. 2. 2 ColdFusion标记语言
10. 3 保护ColdFusion的安全
10. 3. l 安全开发
10. 3. 2 安全配置
10. 4 ColdFusion应用程序处理
10. 4. 1 数据存在性检验
10. 4. 2 数据类型检验
10. 4. 3 数据赋值
1O. 5 使用ChldFusion伴随的危险
10. 6 使用逐个会话跟踪
10. 7 小结
10. 8 解决方案快速检索
10. 9 常见问题
第11章 开发安全的应用程序
11. 1 概述
11. 2 使用安全应用程序的好处
11. 3 应用程序中使用的安全类型
11. 3. 1 数字签名
11. 3. 2 Pretty Good Privacy
11. 3. 3 安全多用途网际邮件扩充协议
11. 3. 4 安全套按字协议层
11. 3. 5 数字证书
11. 4 PKI基础知识回顾
11. 5 使用PKI保护Web应用程序
11. 6 在Web基础结构中实现PKI
11. 6. 1 Microsoft的证书服务
11. 6. 2 Netscape证书服务
11. 6. 3 Apache服务器的PKI
11. 6. 4 PKI和安全软件包
11. 7 测试安全实现
11. 8 小结
11. 9 解决方案快速检索
11. 10 常见问题
第12章 制订安全计划指导工作
12. 1 概述
12. 2 代码审查
12. 2. l 代码审查
12. 2. 2 对等代码审查
12. 3 意识到代码的脆弱性
12. 4 编码时使用常识
12. 4. 1 计划编制
12. 4. 2 编码标准
12. 4. 3 工具
12. 5 制订安全计划
12. 5. l 网络级安全计划
12. 5. 2 应用程序级安全计划
12. 5. 3 桌面级安全计划
12. 5. 4 Web应用程序安全处理
12. 6 小结
12. 7 解决方案快速检索
12. 8 常见问题
1. l 概过
1. 2 黑客简史
1. 2. 1 电话系统黑客
1. 2. 2 计算机黑客
1. 3 产生黑客的原因
1. 3. l 黑客的两面性
1. 3. 2 与安全专家共事
1. 4 当前存在的几种攻击类型
1. 4. 1 DoS/DDoS
1. 4. 2 病毒攻击
1. 4. 3 窃取
1. 5 Web应用程序面临的安全威胁
1. 5. l 隐藏操作
1. 5. 2 参数篡改
1. 5. 3 站际脚本
1. 5. 4 缓冲区溢出
1. 5. 5 cookie毒药
1. 6 预防黑客人侵
1. 7 小结
1. 8 解决方案快速检索
1. 9 常见问题
第2章 代码磨工
2. l 概述
2. 2 代码磨工简介
2. 3 创造性地编码
2. 4 从代码磨工的角度考虑安全问题
2. 5 创建功能安全的Web应用程序
2. 5. l 代码实现了它的功能
2. 5. 2 比功能更重要的安全问题
2. 5. 3 安全和功能兼得
2. 6 小结
2. 7 解决方案快速检索
2. 8 常见问题
第3章 移动代码的危害性
3. 1 概述
3. 2 移动代码攻击产生的影响
3. 2. l 测览器攻击
3. 2. 2 客户端邮件系统攻击
3. 2. 3 恶意脚本或者宏
3. 3 认识基本形式的移动代码
3. 3. 1 宏语言:VBA
3. 3. 2 JavaScript
3. 3. 3 VBScript
3. 3. 4 Java小程序
3. 3. 5 ActiveX控件
3. 3. 6 电子邮件附件和下载的可执行程序
3. 4 保护系统免受移动代码攻击
3. 4. 1 安全软件
3. 4. 2 基于Web的工具
3. 5 小结
3. 6 解决方案快速检索
3. 7 常见问题
第4章 易受攻击的CGI脚本
4. 1 概述
4. 2 认识CGI脚本
4. 2. 1 CGI脚本的典型用法
4. 2. 2 何时选择CGI
4. 2. 3 CGI脚本的主机问题
4. 3 蹩脚的CGI脚本导致的非法入侵
4. 3. l 编写牢固的CGI脚本
4. 3. 2 可搜索索引命令
4. 3. 3 CGI封装程序
4. 4 tol脚本的编程语言
4. 4. 1 UNIX Shell
4. 4. 2 Perl
4. 4. 3 C/C++
4. 4. 4 Visual Basic
4. 5 CGI脚本的优点
4. 6 编写安全的CGI脚本的规则
4. 7 小结
4. 8 解决方案快速检索
4. 9 常见问题
第5章 黑窑技术和工具
5. 1 概述
5. 2 黑客的目标
5. 2. l 减小被检测到的可能性
5, 2. 2 扩大访问权限
5. 2. 3 损失, 损失, 损失
5. 2. 4 反败为胜
5. 3 黑客攻击的五个阶段
5. 3. 1 勾画攻击地图
5. 3. 2 制订可行计划
5. 3. 3 寻找突破口
5. 3. 4 持续深人访问
5. 3. 5 攻击
5. 4 社会工程术
5. 5 恶意的"后门"攻击
5. 6 利用代码或编程环境的先天性缺陷
5. 7 行业工具
5. 7. 1 十六进制编辑器
5. 7. 2 调试器
5. 7. 3 反汇编器
5. 8 小结
5. 9 解决方案快速检索
5. 10 常见问题
第6章 代码审计与逆向工程
6. 1 概述
6. 2 如何有效跟踪程序
6. 3 审计和评估几种程序设计语言
6. 3. 1 Java
6. 3. 2 Java Server Puges
6. 3. 3 Active Server Pages
6. 3. 4 Server Side Includes
6. 3. 5 Pytnon
6. 3. 6 Tool Command Language
6. 3. 7 PracticalExtraction and ReportingLanguage
6. 3. 8 PHP:Hypertext Preprocessor
6. 3. 9 C/C++
6. 3. 10 ColdFusion
6. 4 寻找弱点
6. 4. l 从用户那里获得数据
6. 4. 2 查找缓冲区溢出
6. 4. 3 检查对用户的输出
6. 4. 4 检查文件系统的存取歧互
6. 4. 5 检查外部程序和代码的执行情况
6. 4. 6 检查结构化查询语言(SQL)/数据库查询
6. 4. 7 检查网络和通信报文流
6. 5 综合考虑
6. 6 小结
6. 7 解决方案快速检索
6. 8 常见问题
第7章 保护Java代码
7. l 概述
7. 2 Java安全体系概述
7. 2. 1 Java安全模型
7. 2. 2 沙盘
7. 3 Java的安全处理机制
7. 3. 1 类加载器
7. 3. 2 字节码校验器
7. 3. 3 Java保护域
7. 4 Java的潜在弱点
7. 4. 1 DoS攻击用医务降级攻击
7. 4. 2 第三方特洛伊木马攻击
7. 5 编写安全而有效的Java applet
7. 5. 1 消息文摘
7. 5. 2 数字签名
7. 5. 3 身份识别
7. 5. 4 使用JAN签名来保证安全
7. 5. 5 加密
7. 5. 6 Sun Microsystems对Java的安全建议
7. 6 小结
7. 7 解决方案快速检索
7. 8 常见问题
第8章 保护XML
8. 1 概述
8. 2 XML的定义
8. 2. 1 逻辑结构
8. 2. 2 元素
8. 2. 3 XML和XSL/DTD文档
8. 2. 4 XSL模板的使用
8. 2. 5 XSL模式的使用
8. 2. 6 DTD
8. 3 使用XML创建Web应用程序
8. 4 使用XML伴随的风险
8. 5 保护XML
8. 5. 1 XML加密
8. 5. 2 XML数字签名
8. 6 小结
8. 7 解决方案快速检索
8. 8 常见问题
第9章 保护ActiveX网络控件
9. 1 概述
9. 2 使用ActiveX伴随的危险
9. 2. 1 避免ActiveX的常见弱点
9. 2. 2 减少ActiveX弱点的影响
9. 3 编写安全ActiveX控件的方法
9. 4 保护ActiveX控件
9. 4. 1 控件签名
9. 4. 2 标记控件
9. 5 小结
9. 6 解决方案快速检索
9. 7 常见问题
第10章 保护ColdFusion
10. l 概述
10. 2 ColdFusion的工作方式
10. 2. l 充分利用快速开发的优点
10. 2. 2 ColdFusion标记语言
10. 3 保护ColdFusion的安全
10. 3. l 安全开发
10. 3. 2 安全配置
10. 4 ColdFusion应用程序处理
10. 4. 1 数据存在性检验
10. 4. 2 数据类型检验
10. 4. 3 数据赋值
1O. 5 使用ChldFusion伴随的危险
10. 6 使用逐个会话跟踪
10. 7 小结
10. 8 解决方案快速检索
10. 9 常见问题
第11章 开发安全的应用程序
11. 1 概述
11. 2 使用安全应用程序的好处
11. 3 应用程序中使用的安全类型
11. 3. 1 数字签名
11. 3. 2 Pretty Good Privacy
11. 3. 3 安全多用途网际邮件扩充协议
11. 3. 4 安全套按字协议层
11. 3. 5 数字证书
11. 4 PKI基础知识回顾
11. 5 使用PKI保护Web应用程序
11. 6 在Web基础结构中实现PKI
11. 6. 1 Microsoft的证书服务
11. 6. 2 Netscape证书服务
11. 6. 3 Apache服务器的PKI
11. 6. 4 PKI和安全软件包
11. 7 测试安全实现
11. 8 小结
11. 9 解决方案快速检索
11. 10 常见问题
第12章 制订安全计划指导工作
12. 1 概述
12. 2 代码审查
12. 2. l 代码审查
12. 2. 2 对等代码审查
12. 3 意识到代码的脆弱性
12. 4 编码时使用常识
12. 4. 1 计划编制
12. 4. 2 编码标准
12. 4. 3 工具
12. 5 制订安全计划
12. 5. l 网络级安全计划
12. 5. 2 应用程序级安全计划
12. 5. 3 桌面级安全计划
12. 5. 4 Web应用程序安全处理
12. 6 小结
12. 7 解决方案快速检索
12. 8 常见问题
猜您喜欢