计算机 类型
可以朗读 语音朗读
118千字 字数
2020-10-01 发行日期
展开全部

主编推荐语

本书不仅介绍各种常见安全问题出现的原理,还有攻击是如何产生的,以及重要的是如何防护各种攻击。

内容简介

本书内容包括注入攻击、XSS与XXE攻击、认证与授权攻击、开放重定向与IFrame框架钓鱼攻击、CSRF/SSRF与远程代码执行攻击、不安全配置与路径遍历攻击、不安全的直接对象引用与应用层逻辑漏洞攻击、客户端绕行与文件上传攻击、弱与不安全的加密算法攻击、暴力破解与HTTP Header攻击、HTTP参数污染\篡改与缓存溢出攻击,还讲解了两种安全测试工具的使用,包括Burp Suite和ZAP。

本书既可作为高等院校计算机类、信息类、工程和管理类专业网络安全相关课程的教材,也可作为软件开发工程师、软件测试工程师、信息安全工程师、信息安全架构师等的参考书或培训指导书。

目录

  • 版权信息
  • 高等教育网络空间安全规划教材编委会成员名单
  • 前言
  • 第1章 注入攻击实训
  • 1.1 知识要点与实验目标
  • 1.1.1 SQL注入攻击
  • 1.1.2 HTML注入攻击
  • 1.1.3 CRLF注入攻击
  • 1.1.4 XPath注入攻击
  • 1.1.5 Template注入攻击
  • 1.1.6 实验目的及需要达到的目标
  • 1.2 Testfire 网站有 SQL 注入风险
  • 1.3 Testasp 网站有 SQL 注入风险
  • 1.4 CTF Micro-CMS v2网站有SQL注入风险
  • 1.5 Testfire网站有HTML注入风险
  • 1.6 近期注入攻击披露
  • 1.7 扩展练习
  • 第2章 XSS与XXE攻击实训
  • 2.1 知识要点与实验目标
  • 2.1.1 XSS攻击定义及产生原理
  • 2.1.2 XSS攻击危害及分类
  • 2.1.3 XSS漏洞常出现场合
  • 2.1.4 XXE攻击定义及产生原理
  • 2.1.5 XXE攻击危害
  • 2.1.6 实验目的及需要达到的目标
  • 2.2 Testfire网站有XSS攻击风险
  • 2.3 Webscantest网站存在XSS攻击危险
  • 2.4 CTF Micro-CMS v1网站有XSS攻击风险
  • 2.5 近期XSS与XXE攻击披露
  • 2.6 扩展练习
  • 第3章 认证与授权攻击实训
  • 3.1 知识要点与实验目标
  • 3.1.1 认证与授权定义
  • 3.1.2 认证与授权攻击产生原因
  • 3.1.3 认证可能出现的问题
  • 3.1.4 授权可能出现的问题
  • 3.1.5 常见授权类型
  • 3.1.6 实验目的及需要达到的目标
  • 3.2 Zero网站能获得管理员身份
  • 3.3 CTF Postbook用户A能修改用户B数据
  • 3.4 CTF Postbook用户A能用他人身份创建数据
  • 3.5 近期认证与授权攻击披露
  • 3.6 扩展练习
  • 第4章 开放重定向与IFrame框架钓鱼攻击实训
  • 4.1 知识要点与实验目标
  • 4.1.1 开放重定向定义和产生原理
  • 4.1.2 开放重定向常见样例与危害
  • 4.1.3 IFrame框架钓鱼定义和产生原理
  • 4.1.4 钓鱼网站传播途径与IFrame框架分类
  • 4.1.5 实验目的及需要达到的目标
  • 4.2 Testasp网站未经认证的跳转
  • 4.3 Testaspnet网站未经认证的跳转
  • 4.4 Testaspnet网站有框架钓鱼风险
  • 4.5 Testasp网站有框架钓鱼风险
  • 4.6 近期开放重定向与IFrame框架钓鱼攻击披露
  • 4.7 扩展练习
  • 第5章 CSRF/SSRF与远程代码执行攻击实训
  • 5.1 知识要点与实验目标
  • 5.1.1 CSRF定义与产生原理
  • 5.1.2 SSRF定义与产生原因
  • 5.1.3 CSRF/SSRF攻击危害
  • 5.1.4 远程代码执行定义与产生原理
  • 5.1.5 远程代码执行攻击危害
  • 5.1.6 实验目的及需要达到的目标
  • 5.2 南大小百合BBS存在CSRF攻击漏洞
  • 5.3 新浪weibo存在CSRF攻击漏洞
  • 5.4 CTF Cody's First Blog网站有RCE攻击1
  • 5.5 CTF Cody's First Blog网站有RCE攻击2
  • 5.6 近期CSRF/SSRF与远程代码执行攻击披露
  • 5.7 扩展练习
  • 第6章 不安全配置与路径遍历攻击实训
  • 6.1 知识要点与实验目标
  • 6.1.1 不安全配置定义与产生原因
  • 6.1.2 不安全的配置危害与常见攻击场景
  • 6.1.3 路径遍历攻击定义与产生原因
  • 6.1.4 路径遍历攻击常见变种
  • 6.1.5 实验目的及需要达到的目标
  • 6.2 Testphp网站出错页暴露服务器信息
  • 6.3 Testphp网站服务器信息泄露
  • 6.4 Testphp网站目录列表暴露
  • 6.5 言若金叶软件工程师成长之路目录能被遍历
  • 6.6 近期不安全配置与路径遍历攻击披露
  • 6.7 扩展练习
  • 第7章 不安全的直接对象引用与应用层逻辑漏洞攻击实训
  • 7.1 知识要点与实验目标
  • 7.1.1 不安全的直接对象引用定义
  • 7.1.2 不安全的直接对象引用产生原因
  • 7.1.3 应用层逻辑漏洞定义与产生原因
  • 7.1.4 应用层逻辑漏洞危害与常见场景
  • 7.1.5 实验目的及需要达到的目标
  • 7.2 Oricity用户注销后还能邀请好友
  • 7.3 Testphp网站数据库结构泄露
  • 7.4 Oricity网站有内部测试网页
  • 7.5 智慧绍兴-积分管理页随机数问题
  • 7.6 近期不安全的直接对象引用与应用层逻辑漏洞攻击披露
  • 7.7 扩展练习
  • 第8章 客户端绕行与文件上传攻击实训
  • 8.1 知识要点与实验目标
  • 8.1.1 客户端绕行攻击定义
  • 8.1.2 客户端绕行攻击的产生原因与危害
  • 8.1.3 文件上传攻击定义与产生原因
  • 8.1.4 文件上传攻击常见场景
  • 8.1.5 实验目的及需要达到的目标
  • 8.2 Oricity网站JS前端控制被绕行
  • 8.3 Oricity网站轨迹名采用不同验证规则
  • 8.4 Oricity网站上传文件大小限制问题
  • 8.5 智慧绍兴-电子刻字不限制上传文件类型
  • 8.6 近期客户端绕行与文件上传攻击披露
  • 8.7 扩展练习
  • 第9章 弱与不安全的加密算法攻击实训
  • 9.1 知识要点与实验目标
  • 9.1.1 数据加密算法简介
  • 9.1.2 Base64编码
  • 9.1.3 单项散列函数
  • 9.1.4 对称加密算法
  • 9.1.5 非对称加密
  • 9.1.6 数字证书 (权威机构CA)
  • 9.1.7 实验目的及需要达到的目标
  • 9.2 CTF Postbook删除帖子有不安全加密算法
  • 9.3 CTF Postbook用户身份Cookie有不安全加密算法
  • 9.4 近期弱与不安全的加密算法攻击披露
  • 9.5 扩展练习
  • 第10章 暴力破解与HTTP Header攻击实训
  • 10.1 知识要点与实验目标
  • 10.1.1 暴力破解与定义
  • 10.1.2 暴力破解分类
  • 10.1.3 HTTP Header安全定义
  • 10.1.4 HTTP Header安全常见设置
  • 10.1.5 实验目的及需要达到的目标
  • 10.2 Testfire网站登录页面有暴力破解风险
  • 10.3 CTF Micro-CMS v2网站有暴力破解风险
  • 10.4 Testfire网站Cookies没有HttpOnly
  • 10.5 Testphp网站密码未加密传输
  • 10.6 近期暴力破解与HTTP Header攻击披露
  • 10.7 扩展练习
  • 第11章 HTTP 参数污染/篡改与缓存溢出攻击实训
  • 11.1 知识要点与实验目标
  • 11.1.1 HTTP参数污染定义与产生原因
  • 11.1.2 HTTP参数篡改定义与产生原因
  • 11.1.3 HTTP参数污染/篡改的危害
  • 11.1.4 缓存溢出攻击定义与产生原因
  • 11.1.5 常见缓存溢出攻击方式
  • 11.1.6 实验目的及需要达到的目标
  • 11.2 Oricity网站URL篡改暴露代码细节
  • 11.3 CTF Postbook网站查看帖子id可以参数污染
  • 11.4 CTF Cody's First Blog网站admin篡改绕行漏洞
  • 11.5 近期HTTP 参数污染/篡改与缓存溢出攻击披露
  • 11.6 扩展练习
  • 第12章 安全集成攻击平台Burp Suite实训
  • 12.1 Burp Suite主要功能
  • 12.2 安装Burp Suite
  • 12.2.1 环境需求
  • 12.2.2 安装步骤
  • 12.3 工作流程及配置
  • 12.3.1 Burp Suite框架与工作流程
  • 12.3.2 Burp Suite代理配置
  • 12.3.3 浏览器代理配置
  • 12.4 Proxy工具
  • 12.5 Spider工具
  • 12.6 Scanner工具
  • 12.6.1 Scanner使用介绍
  • 12.6.2 Scanner操作
  • 12.6.3 Scanner报告
  • 12.7 Intruder工具
  • 12.7.1 字典攻击步骤
  • 12.7.2 字典攻击结果
  • 12.8 Repeater工具
  • 12.9 Sequencer工具
  • 12.10 Decoder工具
  • 12.11 Comparer工具
  • 12.12 扩展练习
  • 第13章 安全渗透测试工具ZAP实训
  • 13.1 ZAP工具的特点
  • 13.2 安装ZAP
  • 13.2.1 环境需求
  • 13.2.2 安装步骤
  • 13.3 基本原则
  • 13.3.1 配置代理
  • 13.3.2 ZAP的整体框架
  • 13.3.3 用户界面
  • 13.3.4 基本设置
  • 13.3.5 工作流程
  • 13.4 自动扫描实例
  • 13.4.1 扫描配置
  • 13.4.2 扫描步骤
  • 13.4.3 进一步扫描
  • 13.4.4 扫描结果
  • 13.5 手动扫描实例
  • 13.5.1 扫描配置
  • 13.5.2 扫描步骤
  • 13.5.3 扫描结果
  • 13.6 扫描报告
  • 13.6.1 IDE中的警报Alerts
  • 13.6.2 生成报告
  • 13.6.3 安全扫描报告分析
  • 13.7 扩展练习
  • 参考文献
展开全部

评分及书评

评分不足
1个评分
  • 用户头像
    给这本书评了
    5.0

    本书内容包括注入攻击、XSS XXE 攻击、认证与授权攻击、开放重定向与 IFrame 框架钓鱼攻击、CSRF/SSRF 与远程代码执行攻击、不安全配置与路径遍历攻击、不安全的直接对象引用与应用层逻辑漏洞攻击、客户端绕行与文件上传攻击、弱与不安全的加密算法攻击、暴力破解与 HTTP Header 攻击、HTTP 参数污染 \ 篡改与缓存溢出攻击,还讲解了两种安全测试工具的使用,包括 Burp Suite ZAP

      转发
      评论

    出版方

    机械工业出版社

    机械工业出版社是全国优秀出版社,自1952年成立以来,坚持为科技、为教育服务,以向行业、向学校提供优质、权威的精神产品为宗旨,以“服务社会和人民群众需求,传播社会主义先进文化”为己任,产业结构不断完善,已由传统的图书出版向着图书、期刊、电子出版物、音像制品、电子商务一体化延伸,现已发展为多领域、多学科的大型综合性出版社,涉及机械、电工电子、汽车、计算机、经济管理、建筑、ELT、科普以及教材、教辅等领域。