WEB應(yīng)用黑客大曝光：Web應(yīng)用安全機密與解決方案

定　價：￥39.00

作　者：	（美）Joel Scambray，（美）Mike Sheam著；田芳，陳紅譯；田芳譯
出版社：	清華大學(xué)出版社
叢編項：	《黑客大曝光》暢銷書系列
標　簽：	網(wǎng)絡(luò)安全

購買這本書可以去

ISBN：	9787302074861	出版時間：	2003-11-01	包裝：	簡裝本
開本：	23cm	頁數(shù)：	362	字數(shù)：

內(nèi)容簡介

　　揭開黑客的秘密武器庫，保護你的Web應(yīng)用程序！Web架構(gòu)師和操作員的必讀之作?！狤rikOlson，微軟程序經(jīng)理，安全專家在Internet大眾化及Web技術(shù)飛速演變的今天，在線安全所面臨的挑戰(zhàn)日益嚴峻。伴隨著在線信息和服務(wù)的可用性的提升，以及基子Web的攻擊和破壞的增長，安全風(fēng)險達到了前所未有的高度?！禬eb應(yīng)用黑客大曝光》一書以stepbystep的方式教授你如何防御最新的基于Web的攻擊，讓你理解黑客的邪惡方法和思考過程書中揭示了入侵者收集信息、鎖定目標、標識脆弱點、獲取控制及掩蓋蹤跡的全過程。你將目睹真實世界中的黑客事件（從簡單到復(fù)雜一應(yīng)俱全）并學(xué)習(xí)相應(yīng)的對策。"本書在致力于使Web變成一個更安全的商業(yè)環(huán)境方面做出了巨大貢獻。"——MarkCurphey，開放Web應(yīng)用安全工程主席在Web技術(shù)飛速演變、電子商務(wù)蓬勃發(fā)展的今天，在線安全風(fēng)險達到了前所未有的高度。本書詳細剖析了Web應(yīng)用中的常見漏洞，并解釋了當安全威脅到來時你應(yīng)該如何正確行事。本書分為3個部分：1．偵察，備戰(zhàn)網(wǎng)絡(luò)大盜，羅列各種抗拒敵人的有用信息；2．攻擊，綜合考慮所搜集的所有信息，針對獲取Web應(yīng)用非授權(quán)訪問的企圖，精心編制出應(yīng)對方法；3．附錄，是參考文獻的集合（包括Web應(yīng)用安全檢查列表、Web黑客工具和技術(shù)的列表、如何配置與安裝UrlScan，等等）。全書以step-by-step的方式教授你如何防御最新的基于Web的攻擊，讓你深入理解黑客的邪惡方法和思考過程。本書是Web應(yīng)用安全的寶典，是負責網(wǎng)絡(luò)安全保障工作的網(wǎng)絡(luò)管理員和系統(tǒng)管理員的必需品，電子商務(wù)從業(yè)者、網(wǎng)絡(luò)愛好者及企業(yè)和組織的管理層也可以從中獲益。

作者簡介

　　JoelScambray是全球最暢銷的網(wǎng)絡(luò)安全圖書HackingEzposed即《黑客大曝光》的作者之一。他還是HackingEzposedWindows2000即《Windows2000黑客大曝光》一書的第一作者，該書是洞悉Microsoft產(chǎn)品安全性的寶典。Joel多年的IT安全顧問經(jīng)歷是其寫作的主要來源，他的客戶既包括“財富50強”中的企業(yè)，也有新成立的公司，從中他獲得了關(guān)于各種安全技術(shù)的大量經(jīng)過實踐檢驗的知識，他曾經(jīng)設(shè)計和分析過各種應(yīng)用程序和產(chǎn)品的安全架構(gòu)。Joel的顧問生涯也使他具有了很強的商業(yè)和管理背景，他曾參與過數(shù)個大型跨國項目的管理；

圖書目錄

第1部分偵察
第1章 Web應(yīng)用及其安全性導(dǎo)論
1.1 Web應(yīng)用程序的體系結(jié)構(gòu)
1.2 潛在的弱點
1.3 Web黑客的方法學(xué)
1.4 小結(jié)
1.5 參考文獻和進一步的閱讀材料
第2章剖析
2.1 服務(wù)器發(fā)現(xiàn)
2.2 服務(wù)發(fā)現(xiàn)
2.3 服務(wù)器標識
2.4 小結(jié)
2.5 參考文獻和進一步閱讀材料
第3章攻擊Web服務(wù)器
3.1 平臺的常見脆弱點
3.2 自動脆弱點掃描軟件
3.3 Web服務(wù)器拒絕服務(wù)攻擊
3.4 小結(jié)
3.5參考文獻和進一步閱讀材料
第4章調(diào)查應(yīng)用程序
4.1 將應(yīng)用程序的結(jié)構(gòu)歸檔
4.2 手動審查應(yīng)用程序
4.3 自動調(diào)查工具
4.4 常用對策
4.5 小結(jié)
4.6參考文獻和進一步閱讀材料
第2部分攻擊
第5章認證
5.1 認證機制
5.2 攻擊Web認證
5.3 旁路認證
5.4 小結(jié)
5.5參考文獻和進一步閱讀材料
第6章授權(quán)
6.1 攻擊種類
6.2 方法學(xué)
6.3 案例研究: 使用curl映射許可
6.4 小結(jié)
6.5 參考文獻和進一步閱讀材料
第7章攻擊會話狀態(tài)管理
7.1 客戶端技術(shù)
7.2 服務(wù)器端技術(shù)
7.3 會話ID分析
7.5 小結(jié)
7.6 參考文獻和進一步閱讀材料
第8章輸入驗證攻擊
8.1 預(yù)見意外情況
8.2 輸入驗證的最后階段
8.3去哪里尋找潛在的目標
8.4 繞過客戶端驗證例程
8.5 普通的輸入驗證攻擊
8.6 通用對策
8.7 小結(jié)
8.8 參考文獻和進一步閱讀材料
第9章攻擊Web數(shù)據(jù)存儲
9.1 SQL入門
9.2 SQL注入
9.3 小結(jié)
9.4 參考文獻和進一步閱讀材料
第10章攻擊Web服務(wù)
10.1 什么是Web服務(wù)
10.2 Web服務(wù)攻擊的實例
10.3 Web服務(wù)安全的基礎(chǔ)
10.4 小結(jié)
10.5 參考文獻和進一步閱讀材料
第11章攻擊Web應(yīng)用程序管理
11.1 Web服務(wù)器管理
11.2 Web內(nèi)容管理
11.3 基于Web的網(wǎng)絡(luò)和系統(tǒng)管理
11.4 小結(jié)
11.5參考文獻和進一步閱讀材料
第12章 Web客戶端攻擊
12.1 客戶端安全問題
12.2 動態(tài)內(nèi)容攻擊
12.3 跨站腳本攻擊
12.4 Cookie劫持
12.5 小結(jié)
12.6參考文獻和進一步閱讀材料
第13章案例研究
13.1 案例研究1: 從URL到命令行及相反的操作
13.2 案例研究2: 異或(XOR)操作并不等于安全
13.3 案例研究3: 跨站腳本日歷
13.4 小結(jié)
13.5參考文獻和進一步閱讀材料
第3部分附錄
附錄A  Web站點安全檢查列表
附錄B  Web攻擊工具和技術(shù)清單
附錄C  使用libwhisker
C.1 libwhisker內(nèi)幕
附錄D  UrlScan的安裝與配置
D.1 UrlScan概述
D.2 獲得UrlScan
D.3 升級Windows系列產(chǎn)品
D.4 UrlScan基本配置
D.5 UrlScan高級配置
D.6 UrlScan.ini命令參考
D.7 小結(jié)
D.8 參考文獻和進一步的閱讀材料
附錄E  關(guān)于配書的Web站點