科技 类型
可以朗读 语音朗读
151千字 字数
2021-09-01 发行日期
展开全部

主编推荐语

本书是一线网络安全工程师多年实战经验的结晶。

内容简介

本书系统化介绍代码审计的步骤和业务漏洞分析,总结了作者在信息安全领域多年的实践经验,全书共分为三大部分,共14章。

“准备工作”部分介绍漏洞剖析环境搭建和辅助工具简单使用,为后续分析打下基础。“常规应用漏洞分析”部分介绍了几种漏洞的基本概念和实例解剖,如SQL注入、XSS跨站、CSRF/XSRF、文件类型、代码执行与命令执行等漏洞,并介绍了代码审计的思路和步骤。“业务安全漏洞分析”部分通过实例介绍了业务安全中的典型漏洞,如短信验证码、会话验证、密码找回、支付、越权等漏洞,并针对漏洞给出了防御措施。

目录

  • 版权信息
  • 本书赞誉
  • 序言
  • 前言
  • 致谢
  • 第一部分 准备工作
  • 第1章 搭建代码审计环境
  • 1.1 基于Windows搭建phpStudy
  • 1.2 基于Linux搭建phpStudy
  • 1.3 在Linux下利用Docker搭建PHP环境
  • 1.4 phpStorm远程连接Docker容器
  • 1.5 小结
  • 第2章 辅助工具
  • 2.1 代码调试工具phpStorm+Xdebug
  • 2.2 火狐浏览器56.0的HackBar和FoxyProxy
  • 2.3 抓包工具Burp Suite
  • 2.4 小结
  • 第3章 了解目标
  • 3.1 代码审计的思路与流程
  • 3.2 漏洞分析前的准备工作
  • 3.3 php.ini配置
  • 3.4 小结
  • 第二部分 常规应用漏洞分析
  • 第4章 SQL注入漏洞及防御
  • 4.1 SQL注入的原理及审计思路
  • 4.2 GET型SQL注入防御脚本绕过案例剖析
  • 4.3 Joomla注入案例分析
  • 4.4 SQL存储显现insert注入案例分析
  • 4.5 小结
  • 第5章 跨站脚本攻击及防御
  • 5.1 XSS简介
  • 5.2 反射型XSS三次URL编码案例分析
  • 5.3 存储型XSS案例分析
  • 5.4 DOM型XSS案例分析
  • 5.5 小结
  • 第6章 跨站请求伪造漏洞及防御
  • 6.1 CSRF原理
  • 6.2 GET型CSRF案例分析
  • 6.3 POST型CSRF分析
  • 6.4 小结
  • 第7章 文件类型漏洞及防御
  • 7.1 文件上传漏洞
  • 7.2 文件上传漏洞案例剖析
  • 7.3 文件下载漏洞
  • 7.4 文件下载漏洞实际案例剖析
  • 7.5 文件删除漏洞
  • 7.6 文件删除漏洞实际案例剖析
  • 7.7 文件包含漏洞
  • 7.8 本地文件包含日志漏洞案例剖析
  • 7.9 本地前台图片上传包含漏洞案例剖析
  • 7.10 远程文件包含漏洞案例剖析
  • 7.11 小结
  • 第8章 代码执行漏洞与命令执行漏洞
  • 8.1 代码执行漏洞的原理
  • 8.2 代码执行案例剖析
  • 8.3 反序列化代码执行案例剖析
  • 8.4 命令执行漏洞
  • 8.5 命令执行漏洞案例分析
  • 8.6 小结
  • 第9章 常规应用漏洞的其他类型
  • 9.1 XXE漏洞
  • 9.2 XXE漏洞案例剖析
  • 9.3 URL跳转漏洞
  • 9.4 URL跳转漏洞案例剖析
  • 9.5 SSRF漏洞
  • 9.6 SSRF漏洞案例剖析
  • 9.7 PHP变量覆盖漏洞
  • 9.8 变量覆盖漏洞案例剖析
  • 9.9 小结
  • 第三部分 业务安全漏洞分析
  • 第10章 短信验证码漏洞及防御
  • 10.1 短信验证码业务的安全问题及防御思路
  • 10.2 短信验证码漏洞案例剖析
  • 10.3 小结
  • 第11章 会话验证漏洞及防御
  • 11.1 会话验证的过程
  • 11.2 Cookie认证会话漏洞案例剖析
  • 11.3 Session身份认证漏洞案例剖析
  • 11.4 小结
  • 第12章 密码找回漏洞及防御
  • 12.1 简介
  • 12.2 密码找回漏洞案例剖析
  • 12.3 小结
  • 第13章 支付漏洞及防御
  • 13.1 简介
  • 13.2 支付漏洞案例剖析
  • 13.3 小结
  • 第14章 越权漏洞及防御
  • 14.1 简介
  • 14.2 平行越权案例剖析
  • 14.3 垂直越权案例剖析
  • 14.4 小结
展开全部

评分及书评

评分不足
2个评分
  • 用户头像
    给这本书评了
    5.0

    这本书从代码审计的基础环境开始讲解,让读者能够在掌握代码审计基础的同时,先构建代码审计思维,再以实战为例,从审什么漏洞到如何审计,再到怎样以不变应万变,逐步剖析,并结合案例加深读者理解,最后回顾业务安全方面的审计,以白盒视角从代码层面去研究业务层面的漏洞,是一本适合想要学习代码审计又想快速上手漏洞挖掘的读者阅读的好书。

      转发
      评论

    出版方

    机械工业出版社有限公司

    机械工业出版社是全国优秀出版社,自1952年成立以来,坚持为科技、为教育服务,以向行业、向学校提供优质、权威的精神产品为宗旨,以“服务社会和人民群众需求,传播社会主义先进文化”为己任,产业结构不断完善,已由传统的图书出版向着图书、期刊、电子出版物、音像制品、电子商务一体化延伸,现已发展为多领域、多学科的大型综合性出版社,涉及机械、电工电子、汽车、计算机、经济管理、建筑、ELT、科普以及教材、教辅等领域。