Web入侵安全測試與對(duì)策

定　價(jià)：￥29.00

作　者：	（美）安德魯（Andrews,M.），（美）惠特克（Whittaker,J.A.）著，汪青青譯
出版社：	清華大學(xué)出版社
叢編項(xiàng)：
標(biāo)　簽：	網(wǎng)絡(luò)安全

購買這本書可以去

ISBN：	9787302138747	出版時(shí)間：	2006-10-01	包裝：	膠版紙
開本：	16	頁數(shù)：	177	字?jǐn)?shù)：

內(nèi)容簡介

　　毫無疑問：黑客們會(huì)對(duì)你的Web網(wǎng)站、應(yīng)用程序和服務(wù)器進(jìn)行殘忍的攻擊。如果網(wǎng)站存在漏洞，那么最好在這些黑客之前自己先發(fā)現(xiàn)這些攻擊。現(xiàn)在就有了一本對(duì)基于Web的軟件進(jìn)行安全性測試的權(quán)威的隨身指南。.在本書中，兩位資深專家介紹了各種針對(duì)Web軟件的攻擊：對(duì)于客戶機(jī)、服務(wù)器、狀態(tài)、用戶輸入等方面的攻擊。隨著對(duì)Web架構(gòu)和代碼當(dāng)中大量關(guān)鍵的和經(jīng)常遭到攻擊的漏洞的深入了解，你將逐步掌握強(qiáng)大的攻擊工具和技術(shù)。..作者揭示了如何發(fā)現(xiàn)潛在的威脅和攻擊的方向，怎樣對(duì)它們一一進(jìn)行嚴(yán)格的測試，以及如何消除這些發(fā)現(xiàn)的問題。所涵蓋的內(nèi)容包括：客戶機(jī)的漏洞，包括對(duì)客戶端驗(yàn)證的攻擊；基于狀態(tài)的攻擊：隱藏域、CGI參數(shù)、破壞cookie、URL跳躍以及會(huì)話劫持；針對(duì)用戶提交的輸入數(shù)據(jù)的攻擊：跨頁面腳本、SQL注入以及目錄遍歷；基于語言和技術(shù)的攻擊：緩沖區(qū)溢出、公理化和NULL字符串攻擊；對(duì)服務(wù)器的攻擊：存儲(chǔ)過程的SQL注入、命令注入以及服務(wù)器鑒別；加密、隱私以及針對(duì)Web服務(wù)的攻擊。Web軟件的運(yùn)作足最關(guān)鍵的，絕不能有絲毫馬虎。無論你足一名開發(fā)人員、測試人員、QA專家，或足IT經(jīng)理，本書都會(huì)幫助你保護(hù)好你的軟件產(chǎn)品——而且是系統(tǒng)性的。...

作者簡介

　　本書提供作譯者介紹Mike Andrews是Founstone的資深顧問，專攻軟件安全，并且對(duì)Web應(yīng)用程序進(jìn)行安全評(píng)估，對(duì)Web攻擊進(jìn)行分類。他在大西洋兩岸積累了豐富的教育和商業(yè)經(jīng)驗(yàn)，而且還是一位著述頗豐的作者，同時(shí)又是一位出色的演講家。.在加入Foundstone之前，Mike是一名自由顧問，開發(fā)基于Web的信息系統(tǒng)；使用這套系統(tǒng)的客戶有The Economist（倫敦運(yùn)輸行業(yè)的龍頭企業(yè)），以及英國的很多大學(xué)。在經(jīng)歷了多年講師和研究人員的生活之后，Mike于2002年以助理教授的身份加入了佛羅里達(dá)科技研究中心。在那里，他...

圖書目錄

第1章  與眾不同的Web    1
1.1  本章內(nèi)容    1
1.2  簡介    1
1.3  World Wide Web    2
1.4  Web世界的價(jià)值    4
1.5  Web和客戶機(jī)－服務(wù)器    5
1.6  Web應(yīng)用的一個(gè)粗略模型    7
1.6.1  Web服務(wù)器    7
1.6.2  Web客戶機(jī)    8
1.6.3  網(wǎng)絡(luò)    8
1.7  結(jié)論    9
第2章  獲取目標(biāo)的信息    11
2.1  本章內(nèi)容    11
2.2  簡介    11
2.3  攻擊1：淘金    11
2.3.1  何時(shí)使用這種攻擊    12
2.3.2  如何實(shí)施這種攻擊    12
2.3.3  如何防范這種攻擊    18
2.4  攻擊2：猜測文件與目錄    18
2.4.1  何時(shí)使用這種攻擊    19
2.4.2  如何實(shí)施這種攻擊    19
2.4.3  如何防范這種攻擊    22
2.5  攻擊3：其他人留下的漏洞——樣例程序的缺陷    23
2.5.1  何時(shí)使用這種攻擊    23
2.5.2  如何實(shí)施這種攻擊    23
2.5.3  如何防范這種攻擊    24
第3章  攻擊客戶機(jī)    25
3.1  本章內(nèi)容    25
3.2  簡介    25
3.3  攻擊4：繞過對(duì)輸入選項(xiàng)的限制    26
3.3.1  何時(shí)使用這種攻擊    27
3.3.2  如何實(shí)施這種攻擊    27
3.3.3  如何防范這種攻擊    30
3.4  攻擊5：繞過客戶機(jī)端的驗(yàn)證    31
3.4.1  何時(shí)使用這種攻擊    32
3.4.2  如何實(shí)施這種攻擊    32
3.4.3  如何防范這種攻擊    34
第4章  基于狀態(tài)的攻擊    37
4.1  本章內(nèi)容    37
4.2  簡介    37
4.3  攻擊6：隱藏域    38
4.3.1  何時(shí)使用這種攻擊    38
4.3.2  如何實(shí)施這種攻擊    40
4.3.3  如何防范這種攻擊    41
4.4  攻擊7：CGI參數(shù)    41
4.4.1  何時(shí)使用這種攻擊    42
4.4.2  如何實(shí)施這種攻擊    42
4.4.3  如何防范這種攻擊    45
4.5  攻擊8：破壞cookie    45
4.5.1  何時(shí)使用這種攻擊    46
4.5.2  如何實(shí)施這種攻擊    46
4.5.3  如何防范這種攻擊    48
4.6  攻擊9：URL跳躍    48
4.6.1  何時(shí)使用這種攻擊    48
4.6.2  如何實(shí)施這種攻擊    49
4.6.3  如何防范這種攻擊    50
4.7  攻擊10：會(huì)話劫持    51
4.7.1  何時(shí)使用這種攻擊    52
4.7.2  如何實(shí)施這種攻擊    52
4.7.3  如何防范這種攻擊    54
4.8  參考文獻(xiàn)    55
第5章  攻擊用戶提交的輸入數(shù)據(jù)    57
5.1  本章內(nèi)容    57
5.2  簡介    57
5.3  攻擊11：跨站點(diǎn)腳本    57
5.3.1  何時(shí)使用這種攻擊    59
5.3.2  如何實(shí)施這種攻擊    59
5.3.3  如何防范這種攻擊    63
5.4  攻擊12：SQL注入    64
5.4.1  何時(shí)使用這種攻擊    65
5.4.2  如何實(shí)施這種攻擊    65
5.4.3  如何防范這種攻擊    68
5.5  攻擊13：目錄遍歷    69
5.5.1  何時(shí)使用這種攻擊    69
5.5.2  如何實(shí)施這種攻擊    69
5.5.3  如何防范這種攻擊    71
第6章  基于語言的攻擊    73
6.1  本章內(nèi)容    73
6.2  簡介    73
6.3  攻擊14：緩沖區(qū)溢出    73
6.3.1  何時(shí)使用這種攻擊    74
6.3.2  如何實(shí)施這種攻擊    75
6.3.3  如何防范這種攻擊    77
6.4  攻擊15：公理化    78
6.4.1  何時(shí)使用這種攻擊    79
6.4.2  如何實(shí)施這種攻擊    79
6.4.3  如何防范這種攻擊    81
6.5  攻擊16：NULL字符攻擊    81
6.5.1  何時(shí)使用這種攻擊    82
6.5.2  如何實(shí)施這種攻擊    83
6.5.3  如何防范這種攻擊    83
第7章  獲取目標(biāo)的信息    85
7.1  本章內(nèi)容    85
7.2  簡介    85
7.3  攻擊17：SQL注入II——存儲(chǔ)過程    85
7.3.1  何時(shí)使用這種攻擊    86
7.3.2  如何實(shí)施這種攻擊    86
7.3.3  如何防范這種攻擊    87
7.4  攻擊18 ：命令注入    88
7.4.1  何時(shí)使用這種攻擊    89
7.4.2  如何實(shí)施這種攻擊    90
7.4.3  如何防范這種攻擊    90
7.5  攻擊19：探測服務(wù)器    90
7.5.1  何時(shí)使用這種攻擊    91
7.5.2  如何實(shí)施這種攻擊    92
7.5.3  如何防范這種攻擊    95
7.6  攻擊20：拒絕服務(wù)    96
7.6.1  何時(shí)使用這種攻擊    96
7.6.2  如何實(shí)施這種攻擊    97
7.6.3  如何防范這種攻擊    97
7.7  參考文獻(xiàn)    97
第8章  認(rèn)證    99
8.1  本章內(nèi)容    99
8.2  簡介    99
8.3  攻擊21：偽裝型加密    99
8.3.1  何時(shí)使用這種攻擊    100
8.3.2  如何實(shí)施這種攻擊    101
8.3.3  如何防范這種攻擊    103
8.4  攻擊22：認(rèn)證破壞    103
8.4.1  何時(shí)使用這種攻擊    105
8.4.2  如何實(shí)施這種攻擊    105
8.4.3  如何防范這種攻擊    106
8.5  攻擊23：跨站點(diǎn)跟蹤    107
8.5.1  何時(shí)使用這種攻擊    109
8.5.2  如何實(shí)施這種攻擊    109
8.5.3  如何防范這種攻擊    110
8.6  攻擊24：暴力破解低強(qiáng)度密鑰    110
8.6.1  何時(shí)使用這種攻擊    112
8.6.2  如何實(shí)施這種攻擊    113
8.6.3  如何防范這種攻擊    113
8.7  參考文獻(xiàn)    115
第9章  隱私    117
9.1  本章內(nèi)容    117
9.2  簡介    117
9.3  用戶代理    118
9.4  原文    120
9.5  cookie    121
9.6  Web Bugs    123
9.7  對(duì)剪切板的存取    124
9.8  頁面緩存    125
9.9  ActiveX控件    127
9.10  瀏覽器輔助對(duì)象    127
第10章  Web服務(wù)    129
10.1  本章內(nèi)容    129
10.2  簡介    129
10.3  什么是Web服務(wù)    129
10.4  XML    130
10.5  SOAP    131
10.6  WSDL    132
10.7  UDDI    132
10.8  威脅    133
10.8.1  WSDL掃描攻擊    133
10.8.2  參數(shù)篡改    134
10.8.3  XPATH注入攻擊    134
10.8.4  遞歸負(fù)載攻擊    135
10.8.5  過載攻擊    136
10.8.6  外部實(shí)體攻擊    136
附錄A  軟件產(chǎn)業(yè)50年：質(zhì)量為先    139
A.1  1950—1959年：起源    139
A.2  1960—1969年：遠(yuǎn)行    140
A.3  1970—1979年：混亂    141
A.4  1980—1989年：重建    142
A.4.1  CASE工具    142
A.4.2  形式方法    143
A.5  1990—1999年：發(fā)展    144
A.6  2000—2009年：工程化？    145
附錄B  電子花店的bug    149
附錄C  工具    155
C.1  TextPad    155
C.2  Nikto    156
C.3  Wikto    159
C.4  Stunnel    164
C.5  BlackWidow    165
C.6  Wget    167
C.7  cURL    169
C.8  Paros    171
C.9  SPIKEProxy    173
C.10  SSLDigger    176
C.11  大腦    177