书籍详情
Web入侵安全测试与对策
作者:(美)安德鲁(Andrews,M.),(美)惠特克(Whittaker,J.A.) 著,汪青青 译
出版社:清华大学出版社
出版时间:2006-10-01
ISBN:9787302138747
定价:¥29.00
购买这本书可以去
内容简介
毫无疑问:黑客们会对你的Web网站、应用程序和服务器进行残忍的攻击。如果网站存在漏洞,那么最好在这些黑客之前自己先发现这些攻击。现在就有了一本对基于Web的软件进行安全性测试的权威的随身指南。.在本书中,两位资深专家介绍了各种针对Web软件的攻击:对于客户机、服务器、状态、用户输入等方面的攻击。随着对Web架构和代码当中大量关键的和经常遭到攻击的漏洞的深入了解,你将逐步掌握强大的攻击工具和技术。..作者揭示了如何发现潜在的威胁和攻击的方向,怎样对它们一一进行严格的测试,以及如何消除这些发现的问题。所涵盖的内容包括:客户机的漏洞,包括对客户端验证的攻击;基于状态的攻击:隐藏域、CGI参数、破坏cookie、URL跳跃以及会话劫持;针对用户提交的输入数据的攻击:跨页面脚本、SQL注入以及目录遍历;基于语言和技术的攻击:缓冲区溢出、公理化和NULL字符串攻击;对服务器的攻击:存储过程的SQL注入、命令注入以及服务器鉴别;加密、隐私以及针对Web服务的攻击。Web软件的运作足最关键的,绝不能有丝毫马虎。无论你足一名开发人员、测试人员、QA专家,或足IT经理,本书都会帮助你保护好你的软件产品——而且是系统性的。...
作者简介
本书提供作译者介绍Mike Andrews是Founstone的资深顾问,专攻软件安全,并且对Web应用程序进行安全评估,对Web攻击进行分类。他在大西洋两岸积累了丰富的教育和商业经验,而且还是一位著述颇丰的作者,同时又是一位出色的演讲家。.在加入Foundstone之前,Mike是一名自由顾问,开发基于Web的信息系统;使用这套系统的客户有The Economist(伦敦运输行业的龙头企业),以及英国的很多大学。在经历了多年讲师和研究人员的生活之后,Mike于2002年以助理教授的身份加入了佛罗里达科技研究中心。在那里,他...
目录
第1章 与众不同的Web 1
1.1 本章内容 1
1.2 简介 1
1.3 World Wide Web 2
1.4 Web世界的价值 4
1.5 Web和客户机-服务器 5
1.6 Web应用的一个粗略模型 7
1.6.1 Web服务器 7
1.6.2 Web客户机 8
1.6.3 网络 8
1.7 结论 9
第2章 获取目标的信息 11
2.1 本章内容 11
2.2 简介 11
2.3 攻击1:淘金 11
2.3.1 何时使用这种攻击 12
2.3.2 如何实施这种攻击 12
2.3.3 如何防范这种攻击 18
2.4 攻击2:猜测文件与目录 18
2.4.1 何时使用这种攻击 19
2.4.2 如何实施这种攻击 19
2.4.3 如何防范这种攻击 22
2.5 攻击3:其他人留下的漏洞——样例程序的缺陷 23
2.5.1 何时使用这种攻击 23
2.5.2 如何实施这种攻击 23
2.5.3 如何防范这种攻击 24
第3章 攻击客户机 25
3.1 本章内容 25
3.2 简介 25
3.3 攻击4:绕过对输入选项的限制 26
3.3.1 何时使用这种攻击 27
3.3.2 如何实施这种攻击 27
3.3.3 如何防范这种攻击 30
3.4 攻击5:绕过客户机端的验证 31
3.4.1 何时使用这种攻击 32
3.4.2 如何实施这种攻击 32
3.4.3 如何防范这种攻击 34
第4章 基于状态的攻击 37
4.1 本章内容 37
4.2 简介 37
4.3 攻击6:隐藏域 38
4.3.1 何时使用这种攻击 38
4.3.2 如何实施这种攻击 40
4.3.3 如何防范这种攻击 41
4.4 攻击7:CGI参数 41
4.4.1 何时使用这种攻击 42
4.4.2 如何实施这种攻击 42
4.4.3 如何防范这种攻击 45
4.5 攻击8:破坏cookie 45
4.5.1 何时使用这种攻击 46
4.5.2 如何实施这种攻击 46
4.5.3 如何防范这种攻击 48
4.6 攻击9:URL跳跃 48
4.6.1 何时使用这种攻击 48
4.6.2 如何实施这种攻击 49
4.6.3 如何防范这种攻击 50
4.7 攻击10:会话劫持 51
4.7.1 何时使用这种攻击 52
4.7.2 如何实施这种攻击 52
4.7.3 如何防范这种攻击 54
4.8 参考文献 55
第5章 攻击用户提交的输入数据 57
5.1 本章内容 57
5.2 简介 57
5.3 攻击11:跨站点脚本 57
5.3.1 何时使用这种攻击 59
5.3.2 如何实施这种攻击 59
5.3.3 如何防范这种攻击 63
5.4 攻击12:SQL注入 64
5.4.1 何时使用这种攻击 65
5.4.2 如何实施这种攻击 65
5.4.3 如何防范这种攻击 68
5.5 攻击13:目录遍历 69
5.5.1 何时使用这种攻击 69
5.5.2 如何实施这种攻击 69
5.5.3 如何防范这种攻击 71
第6章 基于语言的攻击 73
6.1 本章内容 73
6.2 简介 73
6.3 攻击14:缓冲区溢出 73
6.3.1 何时使用这种攻击 74
6.3.2 如何实施这种攻击 75
6.3.3 如何防范这种攻击 77
6.4 攻击15:公理化 78
6.4.1 何时使用这种攻击 79
6.4.2 如何实施这种攻击 79
6.4.3 如何防范这种攻击 81
6.5 攻击16:NULL字符攻击 81
6.5.1 何时使用这种攻击 82
6.5.2 如何实施这种攻击 83
6.5.3 如何防范这种攻击 83
第7章 获取目标的信息 85
7.1 本章内容 85
7.2 简介 85
7.3 攻击17:SQL注入II——存储过程 85
7.3.1 何时使用这种攻击 86
7.3.2 如何实施这种攻击 86
7.3.3 如何防范这种攻击 87
7.4 攻击18 :命令注入 88
7.4.1 何时使用这种攻击 89
7.4.2 如何实施这种攻击 90
7.4.3 如何防范这种攻击 90
7.5 攻击19:探测服务器 90
7.5.1 何时使用这种攻击 91
7.5.2 如何实施这种攻击 92
7.5.3 如何防范这种攻击 95
7.6 攻击20:拒绝服务 96
7.6.1 何时使用这种攻击 96
7.6.2 如何实施这种攻击 97
7.6.3 如何防范这种攻击 97
7.7 参考文献 97
第8章 认证 99
8.1 本章内容 99
8.2 简介 99
8.3 攻击21:伪装型加密 99
8.3.1 何时使用这种攻击 100
8.3.2 如何实施这种攻击 101
8.3.3 如何防范这种攻击 103
8.4 攻击22:认证破坏 103
8.4.1 何时使用这种攻击 105
8.4.2 如何实施这种攻击 105
8.4.3 如何防范这种攻击 106
8.5 攻击23:跨站点跟踪 107
8.5.1 何时使用这种攻击 109
8.5.2 如何实施这种攻击 109
8.5.3 如何防范这种攻击 110
8.6 攻击24:暴力破解低强度密钥 110
8.6.1 何时使用这种攻击 112
8.6.2 如何实施这种攻击 113
8.6.3 如何防范这种攻击 113
8.7 参考文献 115
第9章 隐私 117
9.1 本章内容 117
9.2 简介 117
9.3 用户代理 118
9.4 原文 120
9.5 cookie 121
9.6 Web Bugs 123
9.7 对剪切板的存取 124
9.8 页面缓存 125
9.9 ActiveX控件 127
9.10 浏览器辅助对象 127
第10章 Web服务 129
10.1 本章内容 129
10.2 简介 129
10.3 什么是Web服务 129
10.4 XML 130
10.5 SOAP 131
10.6 WSDL 132
10.7 UDDI 132
10.8 威胁 133
10.8.1 WSDL扫描攻击 133
10.8.2 参数篡改 134
10.8.3 XPATH注入攻击 134
10.8.4 递归负载攻击 135
10.8.5 过载攻击 136
10.8.6 外部实体攻击 136
附录A 软件产业50年:质量为先 139
A.1 1950—1959年:起源 139
A.2 1960—1969年:远行 140
A.3 1970—1979年:混乱 141
A.4 1980—1989年:重建 142
A.4.1 CASE工具 142
A.4.2 形式方法 143
A.5 1990—1999年:发展 144
A.6 2000—2009年:工程化? 145
附录B 电子花店的bug 149
附录C 工具 155
C.1 TextPad 155
C.2 Nikto 156
C.3 Wikto 159
C.4 Stunnel 164
C.5 BlackWidow 165
C.6 Wget 167
C.7 cURL 169
C.8 Paros 171
C.9 SPIKEProxy 173
C.10 SSLDigger 176
C.11 大脑 177
1.1 本章内容 1
1.2 简介 1
1.3 World Wide Web 2
1.4 Web世界的价值 4
1.5 Web和客户机-服务器 5
1.6 Web应用的一个粗略模型 7
1.6.1 Web服务器 7
1.6.2 Web客户机 8
1.6.3 网络 8
1.7 结论 9
第2章 获取目标的信息 11
2.1 本章内容 11
2.2 简介 11
2.3 攻击1:淘金 11
2.3.1 何时使用这种攻击 12
2.3.2 如何实施这种攻击 12
2.3.3 如何防范这种攻击 18
2.4 攻击2:猜测文件与目录 18
2.4.1 何时使用这种攻击 19
2.4.2 如何实施这种攻击 19
2.4.3 如何防范这种攻击 22
2.5 攻击3:其他人留下的漏洞——样例程序的缺陷 23
2.5.1 何时使用这种攻击 23
2.5.2 如何实施这种攻击 23
2.5.3 如何防范这种攻击 24
第3章 攻击客户机 25
3.1 本章内容 25
3.2 简介 25
3.3 攻击4:绕过对输入选项的限制 26
3.3.1 何时使用这种攻击 27
3.3.2 如何实施这种攻击 27
3.3.3 如何防范这种攻击 30
3.4 攻击5:绕过客户机端的验证 31
3.4.1 何时使用这种攻击 32
3.4.2 如何实施这种攻击 32
3.4.3 如何防范这种攻击 34
第4章 基于状态的攻击 37
4.1 本章内容 37
4.2 简介 37
4.3 攻击6:隐藏域 38
4.3.1 何时使用这种攻击 38
4.3.2 如何实施这种攻击 40
4.3.3 如何防范这种攻击 41
4.4 攻击7:CGI参数 41
4.4.1 何时使用这种攻击 42
4.4.2 如何实施这种攻击 42
4.4.3 如何防范这种攻击 45
4.5 攻击8:破坏cookie 45
4.5.1 何时使用这种攻击 46
4.5.2 如何实施这种攻击 46
4.5.3 如何防范这种攻击 48
4.6 攻击9:URL跳跃 48
4.6.1 何时使用这种攻击 48
4.6.2 如何实施这种攻击 49
4.6.3 如何防范这种攻击 50
4.7 攻击10:会话劫持 51
4.7.1 何时使用这种攻击 52
4.7.2 如何实施这种攻击 52
4.7.3 如何防范这种攻击 54
4.8 参考文献 55
第5章 攻击用户提交的输入数据 57
5.1 本章内容 57
5.2 简介 57
5.3 攻击11:跨站点脚本 57
5.3.1 何时使用这种攻击 59
5.3.2 如何实施这种攻击 59
5.3.3 如何防范这种攻击 63
5.4 攻击12:SQL注入 64
5.4.1 何时使用这种攻击 65
5.4.2 如何实施这种攻击 65
5.4.3 如何防范这种攻击 68
5.5 攻击13:目录遍历 69
5.5.1 何时使用这种攻击 69
5.5.2 如何实施这种攻击 69
5.5.3 如何防范这种攻击 71
第6章 基于语言的攻击 73
6.1 本章内容 73
6.2 简介 73
6.3 攻击14:缓冲区溢出 73
6.3.1 何时使用这种攻击 74
6.3.2 如何实施这种攻击 75
6.3.3 如何防范这种攻击 77
6.4 攻击15:公理化 78
6.4.1 何时使用这种攻击 79
6.4.2 如何实施这种攻击 79
6.4.3 如何防范这种攻击 81
6.5 攻击16:NULL字符攻击 81
6.5.1 何时使用这种攻击 82
6.5.2 如何实施这种攻击 83
6.5.3 如何防范这种攻击 83
第7章 获取目标的信息 85
7.1 本章内容 85
7.2 简介 85
7.3 攻击17:SQL注入II——存储过程 85
7.3.1 何时使用这种攻击 86
7.3.2 如何实施这种攻击 86
7.3.3 如何防范这种攻击 87
7.4 攻击18 :命令注入 88
7.4.1 何时使用这种攻击 89
7.4.2 如何实施这种攻击 90
7.4.3 如何防范这种攻击 90
7.5 攻击19:探测服务器 90
7.5.1 何时使用这种攻击 91
7.5.2 如何实施这种攻击 92
7.5.3 如何防范这种攻击 95
7.6 攻击20:拒绝服务 96
7.6.1 何时使用这种攻击 96
7.6.2 如何实施这种攻击 97
7.6.3 如何防范这种攻击 97
7.7 参考文献 97
第8章 认证 99
8.1 本章内容 99
8.2 简介 99
8.3 攻击21:伪装型加密 99
8.3.1 何时使用这种攻击 100
8.3.2 如何实施这种攻击 101
8.3.3 如何防范这种攻击 103
8.4 攻击22:认证破坏 103
8.4.1 何时使用这种攻击 105
8.4.2 如何实施这种攻击 105
8.4.3 如何防范这种攻击 106
8.5 攻击23:跨站点跟踪 107
8.5.1 何时使用这种攻击 109
8.5.2 如何实施这种攻击 109
8.5.3 如何防范这种攻击 110
8.6 攻击24:暴力破解低强度密钥 110
8.6.1 何时使用这种攻击 112
8.6.2 如何实施这种攻击 113
8.6.3 如何防范这种攻击 113
8.7 参考文献 115
第9章 隐私 117
9.1 本章内容 117
9.2 简介 117
9.3 用户代理 118
9.4 原文 120
9.5 cookie 121
9.6 Web Bugs 123
9.7 对剪切板的存取 124
9.8 页面缓存 125
9.9 ActiveX控件 127
9.10 浏览器辅助对象 127
第10章 Web服务 129
10.1 本章内容 129
10.2 简介 129
10.3 什么是Web服务 129
10.4 XML 130
10.5 SOAP 131
10.6 WSDL 132
10.7 UDDI 132
10.8 威胁 133
10.8.1 WSDL扫描攻击 133
10.8.2 参数篡改 134
10.8.3 XPATH注入攻击 134
10.8.4 递归负载攻击 135
10.8.5 过载攻击 136
10.8.6 外部实体攻击 136
附录A 软件产业50年:质量为先 139
A.1 1950—1959年:起源 139
A.2 1960—1969年:远行 140
A.3 1970—1979年:混乱 141
A.4 1980—1989年:重建 142
A.4.1 CASE工具 142
A.4.2 形式方法 143
A.5 1990—1999年:发展 144
A.6 2000—2009年:工程化? 145
附录B 电子花店的bug 149
附录C 工具 155
C.1 TextPad 155
C.2 Nikto 156
C.3 Wikto 159
C.4 Stunnel 164
C.5 BlackWidow 165
C.6 Wget 167
C.7 cURL 169
C.8 Paros 171
C.9 SPIKEProxy 173
C.10 SSLDigger 176
C.11 大脑 177
猜您喜欢
