互联网 类型
可以朗读 语音朗读
396千字 字数
No.26 科学技术
2017-02-01 发行日期
展开全部

主编推荐语

本书由浅入深、图文并茂地再现了计算机与手机安全相关的多方面知识。

内容简介

从Web应用的安全隐患以及产生的原因入手,详细介绍了Web安全的基础,如HTTP、会话管理、同源策略等。另外还重点介绍了Web应用的各种安全隐患,对其产生原理及对策进行了详尽的讲解。最后对如何提高Web网站的安全性和开发安全的Web应用所需要的管理进行了深入的探讨。

目录

  • 版权信息
  • 前言
  • 第1章 什么是Web安全
  • 1.1 Web安全的发展历程
  • 1.1.1 Web安全概念的提出与发展
  • 1.1.2 中国Web安全的发展历程
  • 1.1.3 当前Web安全的发展现状
  • 1.2 Web应用程序中存在的风险及预防
  • 1.2.1 Web应用程序的安全套接层(SSL)应用
  • 1.2.2 Web应用程序安全的核心问题
  • 1.2.3 Web应用程序中存在的安全风险
  • 1.2.4 Web应用程序安全的预防及发展趋势
  • 1.3 小结
  • 技巧与问答
  • 第2章 Web应用程序的安全剖析
  • 2.1 Web应用程序使用的通信协议——HTTP协议
  • 2.1.1 什么是超文本传输协议HTTP
  • 2.1.2 统一资源定位器——URL
  • 2.1.3 HTTP请求
  • 2.1.4 HTTP响应
  • 2.1.5 HTTP消息报头
  • 2.1.6 利用Telnet观察HTTP协议的通信过程
  • 2.1.7 HTTP协议相关技术补充
  • 2.2 Web功能及使用技术
  • 2.2.1 Web服务器端功能
  • 2.2.2 Web客户端功能
  • 2.2.3 会话与状态
  • 2.3 Web应用程序的内容与功能
  • 2.3.1 抓取站点内容——网络爬虫介绍
  • 2.3.2 Wireshark抓包步骤详解
  • 2.3.3 Web应用程序的传递参数解析
  • 2.4 小结
  • 技巧与问答
  • 第3章 对Web应用程序入侵及防范技术
  • 3.1 轻而易举实现的Web攻击——Metasploit攻击
  • 3.1.1 Metasploit环境的搭建与安装
  • 3.1.2 Metasploit使用教程详解
  • 3.2 让用户自动上钩的Web攻击——欺骗攻击
  • 3.2.1 常见的欺骗攻击解析
  • 3.2.2 经典欺骗攻击解析——网络钓鱼攻击
  • 3.2.3 网络钓鱼攻击技术详解
  • 3.2.4 网络钓鱼攻击的日常防范
  • 3.3 Web攻击的“隐形外衣”——日志逃避
  • 3.4 应用于Web应用程序的防范技术
  • 3.4.1 适用于任何应用程序的防范技术
  • 3.4.2 应用于IIS的防范技术
  • 3.4.3 应用于Apache的防范技术
  • 3.4.4 应用于PHP的防范技术
  • 3.5 小结
  • 技巧与问答
  • 第4章 利用验证机制漏洞入侵Web及防范技术
  • 4.1 Web验证机制实现技术——SSL身份验证
  • 4.1.1 SSL身份验证产生背景
  • 4.1.2 SSL身份验证协议安全机制
  • 4.1.3 利用非对称密钥算法保证密钥本身的安全
  • 4.1.4 利用PKI保证公钥的真实性
  • 4.1.5 SSL验证协议工作过程
  • 4.1.6 Web应用程序应用SSL验证机制
  • 4.2 Web验证机制存在的漏洞
  • 4.2.1 用户名和密码可以进行预测
  • 4.2.2 重置密码和忘记密码漏洞
  • 4.2.3 对验证登录的暴力破解攻击
  • 4.2.4 对用户密码强度不进行控制
  • 4.2.5 对网络安全证书进行攻击
  • 4.3 对验证机制漏洞进行防范
  • 4.3.1 设置安全可靠的证书
  • 4.3.2 对密码重置和忘记密码功能进行控制
  • 4.3.3 对密码设置强度进行控制
  • 4.3.4 采用多重安全机制实现多因素验证
  • 4.4 小结
  • 技巧与问答
  • 第5章 利用访问控制漏洞入侵Web及防范技术
  • 5.1 访问控制模型有哪些
  • 5.1.1 自主访问控制模型
  • 5.1.2 强制访问控制模型
  • 5.1.3 基于角色的访问控制模型
  • 5.1.4 基于任务的访问控制模型
  • 5.1.5 基于对象的访问控制模型
  • 5.1.6 信息流模型
  • 5.2 如何实现访问控制机制
  • 5.2.1 访问控制的实现机制
  • 5.2.2 访问控制表
  • 5.2.3 访问控制矩阵
  • 5.2.4 访问控制能力列表
  • 5.2.5 访问控制标签列表
  • 5.2.6 访问控制实现的具体类别
  • 5.3 访问控制的授权与审计
  • 5.3.1 授权行为
  • 5.3.2 信任模型
  • 5.3.3 信任管理系统
  • 5.3.4 审计跟踪概述
  • 5.3.5 审计内容
  • 5.4 对访问控制的攻击方法
  • 5.4.1 使用其他账户访问应用程序
  • 5.4.2 直接访问服务器API端方法的请求
  • 5.4.3 URL直接访问Web程序中的静态资源
  • 5.4.4 利用HTTP平台级控制的漏洞进行入侵
  • 5.5 对访问控制进行安全防范
  • 5.5.1 制定安全策略
  • 5.5.2 安全级别与访问控制
  • 5.6 小结
  • 技巧与问答
  • 第6章 利用会话管理漏洞入侵Web及防范技术
  • 6.1 Web应用程序会话状态
  • 6.2 生成会话令牌过程中的漏洞
  • 6.2.1 结构化令牌的组成存在漏洞
  • 6.2.2 令牌含义的可预测性
  • 6.2.3 对令牌的算法存在漏洞
  • 6.3 处理会话令牌过程中的漏洞
  • 6.3.1 日志记录导致的令牌泄露
  • 6.3.2 网络传送导致的令牌泄露
  • 6.3.3 会话管理机制存在各种漏洞
  • 6.3.4 不能提供有效会话终止功能
  • 6.3.5 向应用程序客户端用户发动攻击
  • 6.4 对会话管理进行安全防范
  • 6.4.1 设置最有效的令牌生成机制
  • 6.4.2 保障令牌使用过程中的安全
  • 6.4.3 使用日志、监控等辅助功能
  • 6.5 小结
  • 技巧与问答
  • 第7章 利用编程方式进行Web入侵及防范技术
  • 7.1 什么是木马
  • 7.1.1 木马的工作原理
  • 7.1.2 木马的发展演变
  • 7.1.3 木马的组成与分类
  • 7.2 木马编写的两种实现方法
  • 7.2.1 基于ICMP的木马编写步骤详解
  • 7.2.2 基于Delphi的木马编写步骤详解
  • 7.3 常见的木马伪装方式
  • 7.3.1 解析木马的伪装方式
  • 7.3.2 CHM木马伪装方式
  • 7.3.3 EXE捆绑机伪装方式
  • 7.3.4 自解压捆绑木马伪装方式
  • 7.4 Web安全双刃剑——计算机扫描技术
  • 7.4.1 实现文件目录扫描的方法
  • 7.4.2 实现进程扫描的方法
  • 7.4.3 实现主机的端口状态扫描的方法
  • 7.5 使用木马清除软件进行安全防范
  • 7.5.1 在“Windows进程管理器”中管理进程
  • 7.5.2 使用“木马清道夫”清除木马
  • 7.5.3 使用“木马清除专家”清除木马
  • 7.6 小结
  • 技巧与问答
  • 第8章 数据存储区的入侵及防范技术
  • 8.1 什么是SQL注入攻击
  • 8.1.1 实现SQL注入攻击的基本条件
  • 8.1.2 注入攻击的突破口——寻找攻击入口
  • 8.1.3 决定提交变量参数——SQL注入点类型
  • 8.1.4 决定注入攻击方式——目标数据库类型
  • 8.2 常见的注入工具
  • 8.2.1 Domain(明小子)注入工具使用详解
  • 8.2.2 NBSI注入工具使用详解
  • 8.2.3 啊D注入工具使用详解
  • 8.3 XPath注入攻击
  • 8.3.1 什么是XPath
  • 8.3.2 保存用户信息的XML
  • 8.3.3 实现XPath注入的JAVA登录验证源代码
  • 8.3.4 简单模拟攻击
  • 8.4 LDAP注入攻击
  • 8.4.1 LDAP注入攻击介绍
  • 8.4.2 LDAP注入攻击中的AND注入
  • 8.4.3 LDAP注入攻击中的OR注入
  • 8.5 mongodb注入攻击
  • 8.5.1 什么是mongodb注入
  • 8.5.2 注入攻击步骤详解
  • 8.5.3 注入攻击经典案例解析
  • 8.6 SQL注入攻击的防范
  • 8.7 小结
  • 技巧与问答
  • 第9章 数据库入侵及防范技术
  • 9.1 Web数据库漏洞类型
  • 9.1.1 脚本漏洞的头号撒手锏——数据库下载漏洞
  • 9.1.2 瞬杀——暴库漏洞
  • 9.2 什么是数据库技术
  • 9.2.1 动态服务器页面与ActivteX数据对象介绍
  • 9.2.2 存取数据库的实现——ADO对象
  • 9.2.3 如何通过编程实现数据库连接
  • 9.3 数据库下载漏洞的攻击详解
  • 9.3.1 Web网站的搭建步骤
  • 9.3.2 数据库下载漏洞的攻击流程
  • 9.3.3 Web网站数据库的下载流程
  • 9.3.4 数据库下载漏洞的防范技术
  • 9.4 暴库漏洞的攻击详解
  • 9.4.1 conn.asp暴库法介绍
  • 9.4.2 暴库漏洞——%5c暴库法
  • 9.4.3 暴库攻击的防范技术
  • 9.5 小结
  • 技巧与问答
  • 第10章 利用Cookies攻击及防范技术
  • 10.1 Cookies技术详解
  • 10.1.1 Cookies基础知识
  • 10.1.2 Cookies高级知识
  • 10.1.3 Cookies最佳实践
  • 10.2 Cookies欺骗攻击
  • 10.2.1 Cookies信息存在的漏洞
  • 10.2.2 搜索目标计算机中的Cookies信息——IECookiesView工具
  • 10.2.3 如何利用Cookies欺骗入侵网站
  • 10.3 案例详解——Cookies欺骗入侵网站
  • 10.4 如何利用Cookies欺骗实现上传病毒文件
  • 10.4.1 “L-Blog”中的Cookies欺骗漏洞分析
  • 10.4.2 防范Cookies欺骗技术详解
  • 10.5 Cookies欺骗的防范措施与技术
  • 10.5.1 删除Cookies记录
  • 10.5.2 更改Cookies文件的保存位置
  • 10.6 小结
  • 技巧与问答
  • 第11章 利用文件上传漏洞的攻击及防范技术
  • 11.1 什么是文件上传漏洞
  • 11.1.1 文件上传漏洞的基本原理
  • 11.1.2 如何实现文件上传漏洞攻击
  • 11.1.3 如何实现绕过文件上传检查功能
  • 11.2 文件上传功能中存在的漏洞
  • 11.2.1 IIS文件解析问题
  • 11.2.2 Apache文件解析问题
  • 11.2.3 PHP CGI路径解析问题
  • 11.2.4 如何利用上传文件实现“钓鱼”
  • 11.3 上传漏洞与目录遍历攻击
  • 11.3.1 文件上传漏洞
  • 11.3.2 文件下载漏洞(目录遍历攻击)
  • 11.4 文件上传漏洞防御
  • 11.4.1 系统开发阶段的防御
  • 11.4.2 系统运行阶段的防御
  • 11..4..3 安全设备的防御
  • 11.5 小结
  • 技巧与问答
  • 第12章 实现XSS(跨站脚本攻击)及防范技术
  • 12.1 XSS攻击的3种类型
  • 12.1.1 什么是反射型XSS攻击
  • 12.1.2 什么是存储型XSS攻击
  • 12.1.3 基于DOM的XSS攻击
  • 12.2 XSS攻击实例详解
  • 12.2.1 XSS攻击的主要途径
  • 12.2.2 XSS攻击传送机制类型
  • 12.2.3 XSS跨站脚本攻击过程
  • 12.3 XSS漏洞利用
  • 12.3.1 窃取Cookies
  • 12.3.2 渗透路由器
  • 12.3.3 读取本地文件
  • 12.3.4 Hacking Home Page
  • 12.3.5 跨站中的“溢出攻击”
  • 12.3.6 XSS Worm
  • 12.3.7 DDOS攻击
  • 12.4 实现XSS防范技术
  • 12.4.1 XSS漏洞的查找与检测
  • 12.4.2 HttpOnly防止劫取Cookies
  • 12.4.3 输入检查
  • 12.4.4 输出检查
  • 12.4.5 处理富文体
  • 12.4.6 防御DOM Based XSS
  • 12.4.7 网站如何应对XSS攻击
  • 12.5 小结
  • 技巧与问答
  • 第13章 攻击Web服务器及防范技术
  • 13.1 Web服务器面临的攻击
  • 13.1.1 缓冲区溢出
  • 13.1.2 目录遍历
  • 13.1.3 脚本权限
  • 13.1.4 目录浏览
  • 13.1.5 默认示例
  • 13.1.6 其他服务
  • 13.2 Web服务器隐藏漏洞
  • 13.2.1 Web服务器常见的8种安全漏洞
  • 13.2.2 IIS 5.x/6.0/7.0 解析漏洞
  • 13.2.3 IIS 8服务器上的隐藏漏洞
  • 13.2.4 Nginx服务器畸形解析漏洞
  • 13.2.5 Apache解析漏洞
  • 13.2.6 Web服务器其他漏洞
  • 13.3 Web服务器常用防护工具
  • 13.3.1 第三方安全产品
  • 13.3.2 Web服务器漏洞扫描工具
  • 13.4 Web服务器安全措施
  • 13.4.1 Web服务器安全机制
  • 13.4.2 Web服务器维护人员守则
  • 13.4.3 Web服务器的加固
  • 13.4.4 保护公开Web服务器
  • 13.4.5 保护Web服务器的6点计划及其他细节
  • 13.5 企业级Web服务器安全主动防御措施
  • 13.5.1 在编写代码时就要进行漏洞测试
  • 13.5.2 对Web服务器进行持续的监控
  • 13.5.3 设置蜜罐——将攻击者引向错误的方向
  • 13.5.4 专人对Web服务器的安全性进行测试
  • 13.6 小结
  • 技巧与问答
  • 第14章 Web入侵及防范技术
  • 14.1 Web入侵技术
  • 14.1.1 SQL注入漏洞的入侵
  • 14.1.2 ASP上传漏洞技术
  • 14.1.3 网站旁注入侵技术
  • 14.1.4 提交一句话木马的入侵方式
  • 14.1.5 论坛漏洞利用入侵方式
  • 14.1.6 Google HACKing技术
  • 14.1.7 Web入侵实例
  • 14.2 利用手动的方式来防范基于Web的入侵
  • 14.2.1 安装补丁/安装杀毒软件
  • 14.2.2 设置端口的安全保护功能
  • 14.2.3 目录的安全设置
  • 14.2.4 IIS控制账号的权限分配
  • 14.2.5 注入漏洞的修补以及上传文件类型的限制
  • 14.2.6 SQL权限的安全设置
  • 14.3 安全软件防御Web攻击——入侵检测技术
  • 14.3.1 入侵检测概述
  • 14.3.2 入侵检测的信息来源
  • 14.4 入侵检测系统详解
  • 14.4.1 基于主机的入侵检测系统
  • 14.4.2 基于网络的入侵检测系统
  • 14.4.3 基于漏洞的入侵检测系统
  • 14.5 萨客嘶入侵检测系统
  • 14.6 入侵防御系统架构的设计和测试结果
  • 14.6.1 防火墙及其局限性
  • 14.6.2 入侵检测系统及其局限性
  • 14.6.3 防火墙与入侵检测联动防御系统设计
  • 14.7 小结
  • 技巧与问答
  • 第15章 Web框架安全
  • 15.1 现代Web框架的安全薄弱点
  • 15.1.1 代码调度
  • 15.1.2 统一化逻辑处理
  • 15.1.3 常见代码高度封装
  • 15.1.4 脚手架功能
  • 15.2 Web框架与CSRF防御
  • 15.2.1 CSRF攻击原理详解
  • 15.2.2 CSRF的防御策略
  • 15.2.3 CSRF实例——Java代码实现
  • 15.2.4 如何选择合适的CSRF防御方法
  • 15.3 Web框架与模板引擎
  • 15.3.1 什么是模板引擎
  • 15.3.2 针对现代Web框架的新型命令执行——模板引擎注入
  • 15.3.3 模板注入之方法论
  • 15.3.4 如何利用模板引擎漏洞
  • 15.4 WebService安全框架
  • 15.4.1 生存期
  • 15.4.2 异步调用
  • 15.4.3 缓存
  • 15.4.4 保持状态
  • 15.4.5 SoapHeader
  • 15.4.6 异常
  • 15.5 Web框架自身安全
  • 15.5.1 Web框架安全的功能
  • 15.5.2 Web框架安全实现
  • 15.6 小结
  • 技巧与问答
  • 第16章 时下最新技术安全解析——HTML5安全
  • 16.1 HTML5基础详解
  • 16.1.1 什么是HTML5
  • 16.1.2 HTML5新特性
  • 16.1.3 HTML5安全性分析
  • 16.2 HTML5安全风险详解
  • 16.2.1 CORS攻击详解
  • 16.2.2 WebStorage攻击详解
  • 16.2.3 WebSQL攻击详解
  • 16.2.4 WebWorker攻击详解
  • 16.2.5 WebSocket攻击详解
  • 16.2.6 劫持攻击详解
  • 16.2.7 API攻击详解
  • 16.2.8 新标签攻击详解
  • 16.3 HTML5对安全的改进
  • 16.3.1 iframe沙箱
  • 16.3.2 CSP内容安全策略
  • 16.3.3 XSS过滤器
  • 16.4 讨论:HTML5能否替代Flash增强Web安全性
  • 16.5 小结
  • 技巧与问答
  • 第17章 Web安全新领域——Wi-Fi安全攻防
  • 17.1 Wi-Fi基础知识简介
  • 17.1.1 Wi-Fi的通信原理
  • 17.1.2 Wi-Fi的主要功能
  • 17.1.3 Wi-Fi的优势
  • 17.1.4 Wi-Fi与蓝牙互补
  • 17.2 智能手机Wi-Fi连接
  • 17.2.1 Android手机Wi-Fi连接
  • 17.2.2 iPhone手机Wi-Fi连接
  • 17.3 Wi-Fi密码破解及防范
  • 17.3.1 使用软件破解Wi-Fi密码及防范措施
  • 17.3.2 使用抓包工具破解Wi-Fi密码
  • 17.4 Wi-Fi攻击方式
  • 17.4.1 Wi-Fi攻击之一——钓鱼陷阱
  • 17.4.2 Wi-Fi攻击之二——陷阱接入点
  • 17.4.3 Wi-Fi攻击之三——攻击无线路由器
  • 17.4.4 Wi-Fi攻击之四——内网监听
  • 17.4.5 Wi-Fi攻击之五——劫机
  • 17.5 Wi-Fi安全防范措施
  • 17.5.1 日常使用五大安全建议
  • 17.5.2 Wii-Fii安全设置
  • 17.6 小结
  • 技巧与问答
  • 第18章 企业Web应用安全计划——全计划
  • 18.1 开发的设计和需求阶段——威胁建模解析
  • 18.1.1 什么是威胁建模
  • 18.1.2 为什么使用威胁建模
  • 18.1.3 威胁建模——主要概念
  • 18.1.4 Web应用程序安全框架
  • 18.1.5 威胁建模——构建方法
  • 18.2 应用最关键部位——代码评审
  • 18.2.1 代码评审的必要性
  • 18.2.2 高效代码审查的10个经验
  • 18.2.3 高效代码审查实用工具——Biitbucket
  • 18.3 企业网络安全防护案例——Web安全解决方案
  • 18.3.1 企业Web安全挑战
  • 18.3.2 企业Web安全解决方案
  • 18.3.3 专业网络安全防护方案优势
  • 18.4 构建企业Web安全的5种防护
  • 18.4.1 每一层都可能存在安全漏洞
  • 18.4.2 利用IPS构建一个立体的Web防护网
  • 18.4.3 选购IPS时要选品牌、看技术实力
  • 18.4.4 选购IPS时需要关注其涉及的层面
  • 18.4.5 根据Web服务器的规模选择不同规格的产品
  • 18.5 “互联网安全+”企业如何选择Web应用防火墙
  • 18.5.1 使用Web应用防火墙的必要性
  • 18.5.2 如何选择合适的Web应用防火墙
  • 18.6 小结
  • 技巧与问答
展开全部

评分及书评

尚无评分
目前还没人评分

出版方

北京大学出版社

北京大学出版社是在1979年,经国家出版事业管理局同意,教育部批准成立的,恢复了北京大学出版社建制。北京大学出版社依靠北大雄厚的教学、科研力量,同时积极争取国内外专家学者的合作支持,出版了大量高水平、高质量、适应多层次需要的优秀高等教育教材。 北大出版社注意对教材进行全面追踪,捕捉信息,及时修订,以跟上各学科的最新发展,反映该学科研究的最新成果,保持北大版教材的领先地位。