Web應用漏洞偵測與防禦 pdf epub mobi txt 電子書 下載2025

想要找書就要到 小美書屋

立刻按 ctrl+D收藏本頁

你會得到大驚喜!!

本書由國際知名網絡安全專傢親筆撰寫，全麵講解如何預防常見的網絡攻擊，包括HTML注入及跨站腳本攻擊、跨站請求僞造攻擊、SQL注入攻擊及數據存儲操縱、攻破身份認證模式、利用設計缺陷、利用平颱弱點、攻擊瀏覽器和隱私等，

全書共8章：第1章介紹HTML5的新增特性及使用和濫用HTML5的安全考慮；第2章展示瞭如何隻通過瀏覽器和最基本的HTML知識就可以利用Web中最常見的漏洞；第3章詳細講解CSRF（跨站請求僞造）攻擊的實現機製及應對策略；第4章介紹如何執行SQL注入攻擊，並探究瞭類似攻擊的實現機製，提供一些阻止這些攻擊的對策；第5章介紹Web站點保護密碼失敗的常見方式以及阻止這些攻擊所能采取的步驟；第6章主要探討網站底層設計中會導緻漏洞的錯誤；第7章不僅介紹瞭應用程序代碼可能引發的錯誤，還介紹瞭除此之外不應當忽略的其他安全性問題；第8章將探討更多瀏覽器麵臨的來自惡意設計的網頁或者已經感染瞭惡意內容網頁的風險。

Mike Shema 國際知名的網絡安全專傢，現就職於Qualys，專注於自動化Web評估服務。之前曾是Foundstone信息安全谘詢公司首席谘詢師和培訓師，在網絡滲透測試、無綫網絡安全、代碼審核、Web安全等方麵有豐富的經驗，撰寫瞭多部信息安全技術圖書，如《黑客大曝光：Web應用安全機密與解決方案》、《反黑客工具箱》和《黑客劄記：Web安全手冊》，並經常在世界範圍的安全技術大會上演講。

譯者簡介

齊寜 解放軍信息工程大學博士，曾講授課程有“信息安全”“網絡原理與實踐”等，曾參研國傢重大專項611工程、國傢863項目等，涉及漏洞發現技術、逆嚮分析技術、高性能計算機體係結構等領域。

譯者序
前言
第1章 HTML5 1
1.1 新的文檔對象模型 2
1.2 跨域資源共享 3
1.3 Websocket 6
1.3.1 傳輸數據 9
1.3.2 數據幀 10
1.3.3 安全性考慮 12
1.4 Web存儲 13
1.5 Web Worker 15
1.6 雜七雜八 18
1.6.1 History API 18
1.6.2 API草案 18
1.7 小結 18
第2章 HTML注入及跨站腳本攻擊 20
2.1 理解HTML注入 21
2.1.1 確定注入點 26
2.1.2 確定反射類型 33
2.1.3 確定注入呈現位置的上下文 36
2.1.4 攻擊匯總 40
2.1.5 利用字符集 42
2.1.6 利用失效模式 49
2.1.7 繞過弱的排除列錶 52
2.1.8 利用瀏覽器的怪異模式 53
2.1.9 不尋常的攻擊載體 55
2.1.10 XSS的影響 58
2.2 部署應對措施 59
2.2.1 確定靜態字符集 60
2.2.2 規範化字符集及編碼 61
2.2.3 對輸齣進行編碼 62
2.2.4 當心排除列錶和正則錶達式 63
2.2.5 重用代碼，不要重新實現代碼 64
2.2.6 JavaScript沙盒 65
2.2.7 瀏覽器內置XSS防禦 67
2.3 小結 69
第3章 跨站請求僞造 70
3.1 理解跨站請求僞造 71
3.1.1 CSRF實現機製 73
3.1.2 藉助強製瀏覽的請求僞造 76
3.1.3 無需密碼攻擊已認證動作 79
3.1.4 危險關係：CSRF和HTML注入 79
3.1.5 當心錯綜復雜的Web 80
3.1.6 相關主題：點擊劫持 81
3.2 部署應對措施 82
3.2.1 朝著正確方嚮努力 83
3.2.2 保衛Web瀏覽器 91
3.2.3 脆弱性和似真性 92
3.3 小結 92
第4章 SQL注入攻擊及數據存儲操縱 94
4.1 理解SQL注入 96
4.1.1 攻擊路綫：數學和語法 99
4.1.2 攻擊SQL語句 99
4.1.3 剖析數據庫 107
4.1.4 其他攻擊嚮量 110
4.1.5 真實世界中的SQL注入攻擊 111
4.1.6 HTML5的Web存儲API 112
4.1.7 不使用SQL的SQL注入攻擊 113
4.2 部署應對措施 114
4.2.1 驗證輸入 115
4.2.2 對語句進行保護 115
4.2.3 保護信息 121
4.2.4 給數據庫打最新的補丁 123
4.3 小結 123
第5章 攻破身份認證模式 125
5.1 理解身份認證攻擊 126
5.1.1 重放會話令牌 126
5.1.2 暴力破解 129
5.1.3 網絡嗅探 130
5.1.4 重置密碼 132
5.1.5 跨站腳本攻擊 133
5.1.6 SQL注入 133
5.1.7 詐騙和易受騙性 134
5.2 部署應對措施 135
5.2.1 保護會話cookie 135
5.2.2 使用安全認證方案 137
5.2.3 藉助用戶的力量 144
5.2.4 騷擾用戶 145
5.2.5 請求限製 146
5.2.6 日誌與三角測量 147
5.2.7 擊敗釣魚攻擊 147
5.2.8 保護密碼 148
5.3 小結 148
第6章 利用設計缺陷 150
6.1 理解邏輯攻擊和設計攻擊 153
6.1.1 利用工作流 153
6.1.2 漏洞利用的策略及做法 154
6.1.3 歸納法 158
6.1.4 拒絕服務 160
6.1.5 不安全的設計模式 161
6.1.6 加密中的實現錯誤 165
6.1.7 信息泄露 177
6.2 部署應對措施 178
6.2.1 記錄需求 178
6.2.2 創建強健的測試用例 178
6.2.3 把策略映射到控製 180
6.2.4 防禦性編程 180
6.2.5 驗證客戶端 181
6.2.6 加密指南 181
6.3 小結 182
第7章 利用平颱弱點 183
7.1 攻擊是如何實現的 184
7.1.1 識彆模式、數據結構以及開發者癖好 184
7.1.2 以操作係統為攻擊目標 197
7.1.3 攻擊服務器 202
7.1.4 拒絕服務 202
7.2 部署應對措施 206
7.2.1 限製文件訪問 207
7.2.2 使用對象引用 207
7.2.3 將不安全函數列入到黑名單 208
7.2.4 強製授權 208
7.2.5 限製網絡連接 208
7.3 小結 209
第8章 攻擊瀏覽器和隱私 210
8.1 理解惡意軟件和瀏覽器攻擊 211
8.1.1 惡意軟件 211
8.1.2 插入到瀏覽器插件中 215
8.1.3 DNS和域 217
8.1.4 HTML5 217
8.1.5 隱私 219
8.2 部署應對措施 227
8.2.1 安全地配置SSL/TLS 227
8.2.2 更加安全地瀏覽網頁 228
8.2.3 隔離瀏覽器 229
8.2.4 Tor 229
8.2.5 DNSSEC 230
8.3 小結 230
· · · · · · (收起)