科技 类型
7.9 豆瓣评分
可以朗读 语音朗读
278千字 字数
2018-03-01 发行日期
展开全部

主编推荐语

Web安全与防护技术是当前安全界关注的热点,本书尝试针对各类漏洞的攻防技术进行体系化整理,从漏洞的原理到整体攻防技术演进过程进行详细讲解,从而形成对漏洞和web安全的体系化的认识。

内容简介

本书包括五个部分,第一部分为基础知识,这些知识对Web攻防技术理解有着极大帮助。第二部分重点讲解各类基本漏洞的原理及攻防技术对抗方法,并针对个漏洞的测试方法及防护思路进行整理。第三部分重点讲解Web应用的业务逻辑层面安全,但由于各类Web应用的不同,因此重点通过Web应用的用户管理功能入手,讲解在用户权限的获取、分配、利用方面的各项细节问题。第四部分从Web应用整体视角提供攻防对抗过程中的技术细节,这在实际运维过程中有很大的作用。第五部分介绍Web安全防护体系建设的基本方法,包含常见的防护设备、Web防护体系建议、渗透测试方法及快速代码审计实践,深入了解在Web安全防护体系中的各部分基础内容及开展方式。

目录

  • 版权信息
  • 推荐序
  • 前言
  • 第一部分 基础知识
  • 第1章 Web安全基础
  • 1.1 Web安全的核心问题
  • 1.2 HTTP协议概述
  • 1.3 HTTPS协议的安全性分析
  • 1.4 Web应用中的编码与加密
  • 1.5 本章小结
  • 第二部分 网络攻击的基本防护方法
  • 第2章 XSS攻击
  • 2.1 XSS攻击的原理
  • 2.2 XSS攻击的分类
  • 2.3 XSS攻击的条件
  • 2.4 漏洞测试的思路
  • 2.5 XSS攻击的利用方式
  • 2.6 XSS漏洞的标准防护方法
  • 2.7 本章小结
  • 第3章 请求伪造漏洞与防护
  • 3.1 CSRF攻击
  • 3.2 SSRF攻击
  • 3.3 本章小结
  • 第4章 SQL注入
  • 4.1 SQL注入攻击的原理
  • 4.2 SQL注入攻击的分类
  • 4.3 回显注入攻击的流程
  • 4.4 盲注攻击的流程
  • 4.5 常见防护手段及绕过方式
  • 4.6 本章小结
  • 第5章 文件上传攻击
  • 5.1 上传攻击的原理
  • 5.2 上传的标准业务流程
  • 5.3 上传攻击的条件
  • 5.4 上传检测绕过技术
  • 5.5 文件解析攻击
  • 5.6 本章小结
  • 第6章 Web木马的原理
  • 6.1 Web木马的特点
  • 6.2 一句话木马
  • 6.3 小马与大马
  • 6.4 本章小结
  • 第7章 文件包含攻击
  • 7.1 漏洞原理
  • 7.2 服务器端功能实现代码
  • 7.3 漏洞利用方式
  • 7.4 防护手段及对应的绕过方式
  • 7.5 本章小结
  • 第8章 命令执行攻击与防御
  • 8.1 远程命令执行漏洞
  • 8.2 系统命令执行漏洞
  • 8.3 有效的防护方案
  • 8.4 本章小结
  • 第三部分 业务逻辑安全
  • 第9章 业务逻辑安全风险存在的前提
  • 9.1 用户管理的基本内容
  • 9.2 用户管理涉及的功能
  • 9.3 用户管理逻辑的漏洞
  • 9.4 本章小结
  • 第10章 用户管理功能的实现
  • 10.1 客户端保持方式
  • 10.2 用户基本登录功能实现及安全情况分析
  • 10.3 本章小结
  • 第11章 用户授权管理及安全分析
  • 11.1 用户注册阶段安全情况
  • 11.2 用户登录阶段的安全情况
  • 11.3 密码找回阶段的安全情况
  • 11.4 记住登录状态
  • 11.5 用户手段管理及登录安全汇总
  • 11.6 本章小结
  • 第12章 用户身份识别技术及安全防护
  • 12.1 验证码技术
  • 12.2 验证码带来的问题
  • 12.3 二次验证技术
  • 12.4 身份识别技术的防护
  • 12.5 本章小结
  • 第13章 用户后续功能及集中
  • 13.1 用户取得授权后的应用安全隐患
  • 13.2 用户集中认证方式
  • 13.3 本章小结
  • 第14章 用户权限处理问题
  • 14.1 用户越权的案例
  • 14.2 越权漏洞的出现根源分析
  • 14.3 保持用户一致性的措施
  • 14.4 有效的用户权限管理方式
  • 14.5 本章小结
  • 第15章 业务流程安全基础防护方式总结
  • 15.1 用户注册阶段
  • 15.2 用户登录阶段
  • 15.3 密码找回阶段
  • 15.4 基本业务功能应用阶段
  • 15.5 本章小结
  • 第四部分 攻防综合视角下的Web安全防护
  • 第16章 标准业务场景
  • 16.1 CMS及其特征
  • 16.2 常见的远程管理方式
  • 16.3 本章小结
  • 第17章 用户视角下的所见范围探测
  • 17.1 易被忽视的whois信息
  • 17.2 利用搜索引擎发现敏感信息
  • 17.3 真实IP地址发现手段
  • 17.4 真实物理地址
  • 17.5 目标端口开放情况
  • 17.6 目标版本特征发现
  • 17.7 利用Web漏洞扫描工具的利与弊
  • 17.8 分站信息查找
  • 17.9 本章小结
  • 第18章 用户视角下的防护手段识别
  • 18.1 开放端口及对应业务识别
  • 18.2 是否有防护类软件
  • 18.3 基本漏洞的防护测试
  • 18.4 本章小结
  • 第19章 常用的防护方案
  • 19.1 整体防护思路
  • 19.2 简单的防护方案
  • 19.3 提升安全性的基础手段
  • 19.4 DDoS攻击及防护方法
  • 19.5 本章小结
  • 第五部分 常见Web防护技术及防护开展方法
  • 第20章 Web防护技术的演进
  • 20.1 硬件WAF
  • 20.2 防篡改软件
  • 20.3 云防护系统
  • 20.4 本章小结
  • 第21章 Web安全防护体系建议
  • 21.1 Web安全的核心问题
  • 21.2 现实环境下的客观因素
  • 21.3 如何建立基本的安全框架
  • 21.4 微软SDL安全开发流程
  • 21.5 本章小结
  • 第22章 渗透测试的方法及流程
  • 22.1 渗透测试的关注点
  • 22.2 渗透测试的阶段
  • 22.3 渗透测试的基本要求
  • 22.4 本章小结
  • 第23章 快速代码审计实践
  • 23.1 快速代码审计的基本流程
  • 23.2 基本功能安全审计
  • 23.3 系统防护功能的安全性分析
  • 23.4 业务逻辑安全分析
  • 23.5 本章小结
  • 后记
  • 参考文献
展开全部

评分及书评

评分不足
1个评分
  • 用户头像
    给这本书评了
    5.0

    随着网络的普及,人们的工作、生活已经与网络深度融合。Web 系统由于其高度可定制的特点,非常适合承载现有的互联网应用。目前,大量在线应用网站的出现和使用也印证了这一点。我们每个人每天都会打开各种网站搜索自己感兴趣的内容或使用某一个应用,其中每个站点的功能各不相同,业务流程也各自独立,并且站点功能及版本的迭代、更新速度非常快。同时,由于大量 Web 应用功能及版本的快速更新,也导致各类新型 Web 安全问题不断出现。尽管 Web 安全问题的表现形式各异,但深入分析各类安全问题的成因会发现,这些安全问题有一定的共性并能通过相关的网络安全技术来加以防御和解决。

      转发
      评论

    出版方

    机械工业出版社有限公司

    机械工业出版社是全国优秀出版社,自1952年成立以来,坚持为科技、为教育服务,以向行业、向学校提供优质、权威的精神产品为宗旨,以“服务社会和人民群众需求,传播社会主义先进文化”为己任,产业结构不断完善,已由传统的图书出版向着图书、期刊、电子出版物、音像制品、电子商务一体化延伸,现已发展为多领域、多学科的大型综合性出版社,涉及机械、电工电子、汽车、计算机、经济管理、建筑、ELT、科普以及教材、教辅等领域。