思维导图备注

黑客攻防技术宝典_Web实战篇(第2版) (图灵程序设计丛书•网络安全系列) - Dafydd Stuttard
首页 收藏书籍 阅读记录
  • 书签 我的书签
  • 添加书签 添加书签 移除书签 移除书签

第1章 Web应用程序安全与风险

浏览 3 扫码
  • 小字体
  • 中字体
  • 大字体
2022-02-22 21:14:46
请 登录 再阅读
上一篇:
下一篇:
  • 书签
  • 添加书签 移除书签
  • 书名页
  • 版权页
  • 内 容 提 要
  • 版 权 声 明
  • 致 谢 名 单
  • 致 谢
  • 目录
  • 译 者 序
  • 前 言
  • 第1章 Web应用程序安全与风险
    • 1.1 Web应用程序的发展历程
    • 1.2 Web应用程序安全
    • 1.3 小结
  • 第2章 核心防御机制
    • 2.1 处理用户访问
    • 2.2 处理用户输入
    • 2.3 处理攻击者
    • 2.4 管理应用程序
    • 2.5 小结
    • 2.6 问题
  • 第3章 Web应用程序技术
    • 3.1 HTTP
    • 3.2 Web功能
    • 3.3 编码方案
    • 3.4 下一步
    • 3.5 问题
  • 第4章 解析应用程序
    • 4.1 枚举内容与功能
      • 4.1.3 发现隐藏的内容
      • 4.1.4 应用程序页面与功能路径
      • 4.1.5 发现隐藏的参数
    • 4.2 分析应用程序
      • 4.2.3 确定服务器端功能
      • 4.2.4 解析受攻击面
    • 4.3 小结
    • 4.4 问题
  • 第5章 避开客户端控件
    • 5.1 通过客户端传送数据
      • 5.1.2 HTTP cookie
      • 5.1.3 URL参数
      • 5.1.5 模糊数据
      • 5.1.6 ASP.NET ViewState
    • 5.2 收集用户数据:HTML表单
      • 5.2.2 基于脚本的确认
      • 5.2.3 禁用的元素
    • 5.3 收集用户数据:浏览器扩展
      • 5.3.4 反编译浏览器扩展
      • 5.3.5 附加调试器
    • 5.4 安全处理客户端数据
    • 5.5 小结
    • 5.6 问题
  • 第6章 攻击验证机制
    • 6.1 验证技术
    • 6.2 验证机制设计缺陷
      • 6.2.2 蛮力攻击登录
      • 6.2.3 详细的失败消息
      • 6.2.4 证书传输易受攻击
      • 6.2.5 密码修改功能
      • 6.2.6 忘记密码功能
      • 6.2.7 “记住我”功能
      • 6.2.8 用户伪装功能
      • 6.2.9 证书确认不完善
      • 6.2.10 非唯一性用户名
      • 6.2.11 可预测的用户名
      • 6.2.12 可预测的初始密码
      • 6.2.13 证书分配不安全
    • 6.3 验证机制执行缺陷
      • 6.3.2 多阶段登录机制中的缺陷
      • 6.3.3 不安全的证书存储
    • 6.4 保障验证机制的安全
    • 6.5 小结
    • 6.6 问题
  • 第7章 攻击会话管理
    • 7.1 状态要求
    • 7.2 会话令牌生成过程中的薄弱环节
      • 7.2.2 令牌可预测
      • 7.2.3 加密令牌
    • 7.3 会话令牌处理中的薄弱环节
      • 7.3.2 在日志中泄露令牌
      • 7.3.3 令牌–会话映射易受攻击
      • 7.3.4 会话终止易受攻击
      • 7.3.5 客户端暴露在令牌劫持风险之中
      • 7.3.6 宽泛的cookie范围
    • 7.4 保障会话管理的安全
    • 7.5 小结
    • 7.6 问题
  • 第8章 攻击访问控制
    • 8.1 常见漏洞
    • 8.2 攻击访问控制
      • 8.2.1 使用不同用户账户进行测试
      • 8.2.2 测试多阶段过程
      • 8.2.3 通过有限访问权限进行测试
      • 8.2.4 测试“直接访问方法”
      • 8.2.5 测试对静态资源的控制
      • 8.2.6 测试对HTTP方法实施的限制
    • 8.3 保障访问控制的安全
    • 8.4 小结
    • 8.5 问题
  • 第9章 攻击数据存储区
    • 9.1 注入解释型语言
    • 9.2 注入SQL
      • 9.2.3 查明SQL注入漏洞
      • 9.2.4 “指纹”识别数据库
      • 9.2.6 提取有用的数据
      • 9.2.8 避开过滤
      • 9.2.9 二阶SQL注入
      • 9.2.10 高级利用
      • 9.2.11 SQL注入之外:扩大数据库攻击范围
      • 9.2.13 SQL语法与错误参考
    • 9.3 注入NoSQL
    • 9.4 注入XPath
      • 9.4.3 盲目XPath注入
      • 9.4.4 查找XPath注入漏洞
      • 9.4.5 防止XPath注入
    • 9.5 注入LDAP
      • 9.5.2 查找LDAP注入漏洞
      • 9.5.3 防止LDAP注入
    • 9.6 小结
    • 9.7 问题
  • 第10章 测试后端组件
    • 10.1 注入操作系统命令
      • 10.1.3 通过动态执行注入
      • 10.1.5 查找动态执行漏洞
      • 10.1.6 防止OS命令注入
    • 10.2 操作文件路径
      • 10.2.2 文件包含漏洞
    • 10.3 注入XML解释器
      • 10.3.2 注入SOAP
      • 10.3.3 查找并利用SOAP注入
      • 10.3.4 防止SOAP注入
    • 10.4 注入后端HTTP请求
      • 10.4.2 HTTP参数注入
    • 10.5 注入电子邮件
      • 10.5.4 防止SMTP注入
    • 10.6 小结
    • 10.7 问题
  • 第11章 攻击应用程序逻辑
    • 11.1 逻辑缺陷的本质
    • 11.2 现实中的逻辑缺陷
      • 11.2.2 例2:欺骗密码修改功能
      • 11.2.3 例3:直接结算
      • 11.2.4 例4:修改保险单
      • 11.2.5 例5:入侵银行
      • 11.2.6 例6:规避交易限制
      • 11.2.7 例7:获得大幅折扣
      • 11.2.8 例8:避免转义
      • 11.2.9 例9:避开输入确认
      • 11.2.10 例10:滥用搜索功能
      • 11.2.12 例12:与登录机制竞赛
    • 11.3 避免逻辑缺陷
    • 11.4 小结
    • 11.5 问题
  • 第12章 攻击其他用户
    • 12.1 XSS的分类
      • 12.1.2 保存型XSS漏洞
      • 12.1.3 基于DOM的XSS漏洞
    • 12.2 进行中的XSS攻击
    • 12.3 查找并利用XSS漏洞
      • 12.3.1 查找并利用反射型XSS漏洞
      • 12.3.2 查找并利用保存型XSS漏洞
      • 12.3.3 查找并利用基于DOM的XSS漏洞
    • 12.4 防止XSS攻击
      • 12.4.1 防止反射型与保存型XSS漏洞
    • 12.5 小结
    • 12.6 问题
  • 第13章 攻击用户:其他技巧
    • 13.1 诱使用户执行操作
      • 13.1.2 UI伪装
    • 13.2 跨域捕获数据
    • 13.3 同源策略深入讨论
      • 13.3.2 同源策略与HTML5
      • 13.3.3 通过代理服务应用程序跨域
    • 13.4 其他客户端注入攻击
      • 13.4.2 cookie注入
      • 13.4.3 开放式重定向漏洞
      • 13.4.4 客户端SQL注入
    • 13.5 本地隐私攻击
      • 13.5.2 缓存Web内容
      • 13.5.3 浏览历史记录
      • 13.5.4 自动完成
      • 13.5.5 Flash本地共享对象
      • 13.5.6 Silverlight独立存储
      • 13.5.7 Internet Explorer userData
      • 13.5.8 HTML5本地存储机制
    • 13.6 攻击ActiveX控件
      • 13.6.2 防止ActiveX漏洞
    • 13.7 攻击浏览器
    • 13.8 小结
    • 13.9 问题
  • 第14章 定制攻击自动化
    • 14.1 应用定制自动化攻击
    • 14.2 枚举有效的标识符
    • 14.3 获取有用的数据
    • 14.4 常见漏洞模糊测试
    • 14.5 整合全部功能:Burp Intruder
    • 14.6 实施自动化的限制
    • 14.7 小结
    • 14.8 问题
  • 第15章 利用信息泄露
    • 15.1 利用错误消息
      • 15.1.5 使用公共信息
      • 15.1.6 制造详尽的错误消息
    • 15.2 收集公布的信息
    • 15.3 使用推论
    • 15.4 防止信息泄露
    • 15.5 小结
    • 15.6 问题
  • 第16章 攻击本地编译型应用程序
    • 16.1 缓冲区溢出漏洞
    • 16.2 整数漏洞
    • 16.3 格式化字符串漏洞
    • 16.4 小结
    • 16.5 问题
  • 第17章 攻击应用程序架构
    • 17.1 分层架构
      • 17.1.2 保障分层架构的安全
    • 17.2 共享主机与应用程序服务提供商
      • 17.2.4 保障共享环境的安全
    • 17.3 小结
    • 17.4 问题
  • 第18章 攻击Web服务器
    • 18.1 Web服务器配置缺陷
      • 18.1.2 默认内容
      • 18.1.3 目录列表
      • 18.1.4 WebDAV方法
      • 18.1.5 Web服务器作为代理服务器
      • 18.1.6 虚拟主机配置缺陷
      • 18.1.7 保障Web服务器配置的安全
    • 18.2 易受攻击的服务器软件
      • 18.2.2 内存管理漏洞
    • 18.3 Web应用程序防火墙
    • 18.4 小结
    • 18.5 问题
  • 第19章 查找源代码中的漏洞
    • 19.1 代码审查方法
    • 19.2 常见漏洞签名
    • 19.3 Java平台
    • 19.4 ASP.NET
    • 19.5 PHP
    • 19.6 Perl
    • 19.7 JavaScript
    • 19.8 数据库代码组件
    • 19.9 代码浏览工具
    • 19.10 小结
    • 19.11 问题
  • 第20章 Web应用程序黑客工具包
    • 20.1 Web浏览器
    • 20.2 集成测试套件
      • 20.2.2 测试工作流程
    • 20.3 独立漏洞扫描器
    • 20.4 其他工具
    • 20.5 小结
  • 第21章 Web应用程序渗透测试方法论
    • 21.1 解析应用程序内容
    • 21.2 分析应用程序
    • 21.3 测试客户端控件
    • 21.4 测试验证机制
    • 21.5 测试会话管理机制
    • 21.6 测试访问控件
    • 21.7 测试基于输入的漏洞
    • 21.8 测试特殊功能方面的输入漏洞
    • 21.9 测试逻辑缺陷
    • 21.10 测试共享主机漏洞
    • 21.11 测试Web服务器漏洞
    • 21.12 其他检查
    • 21.13 检查信息泄露
  • 封底
暂无相关搜索结果!
    展开/收起文章目录

    二维码

    手机扫一扫,轻松掌上学

    《黑客攻防技术宝典_Web实战篇(第2版) (图灵程序设计丛书•网络安全系列) - Dafydd Stuttard》电子书下载

    请下载您需要的格式的电子书,随时随地,享受学习的乐趣!
    EPUB 电子书

    书签列表

      阅读记录

      阅读进度: 0.00% ( 0/0 ) 重置阅读进度