TOP
英國出版界指標大獎肯定!A.F. Steadman 獲年度作家,《史坎德》系列帶你踏上熱血奇幻旅程
Web安全防護指南:基礎篇(簡體書)
滿額折

Web安全防護指南:基礎篇(簡體書)

商品資訊

人民幣定價:79 元
定價
:NT$ 474 元
優惠價
87412
海外經銷商無庫存,到貨日平均30天至45天
下單可得紅利積點 :12 點
商品簡介
作者簡介
目次

商品簡介

web安全與防護技術是當前安全界關注的熱點,本書嘗試針對各類漏洞的攻防技術進行體系化整理,從漏洞的原理到整體攻防技術演進過程進行詳細講解,從而形成對漏洞和web安全的體系化的認識。本書包括五個部分,部分為基礎知識,這些知識對Web攻防技術理解有著極大幫助。第二部分重點講解各類基本漏洞的原理及攻防技術對抗方法,並針對個漏洞的測試方法及防護思路進行整理。第三部分重點講解Web應用的業務邏輯層面安全,但由於各類Web應用的不同,因此重點通過Web應用的用戶管理功能入手,講解在用戶權限的獲取、分配、利用方面的各項細節問題。第四部分從Web應用整體視角提供攻防對抗過程中的技術細節,這在實際運維過程中有很大的作用。第五部分介紹Web安全防護體系建設的基本方法,包含常見的防護設備、Web防護體系建議、滲透測試方法及快速代碼審計實踐,深入瞭解在Web安全防護體系中的各部分基礎內容及開展方式。

作者簡介

蔡晶晶,北京永信至誠科技股份有限公司董事長。

目次

目 錄
推薦序
前言
第一部分 基礎知識
第1章 Web安全基礎 2
1.1 Web安全的核心問題 2
1.2 HTTP協議概述 5
1.2.1 HTTP請求頭的內容 6
1.2.2 HTTP協議響應頭的內容 9
1.2.3 URL的基本格式 11
1.3 HTTPS協議的安全性分析 12
1.3.1 HTTPS協議的基本概念 13
1.3.2 HTTPS認證流程 14
1.3.3 HTTPS協議的特點總結 16
1.4 Web應用中的編碼與加密 16
1.4.1 針對字符的編碼 16
1.4.2 傳輸過程的編碼 18
1.4.3 Web系統中的加密措施 20
1.5 本章小結 22
第二部分 網絡攻擊的基本防護方法
第2章 XSS攻擊 24
2.1 XSS攻擊的原理 24
2.2 XSS攻擊的分類 25
2.2.1 反射型XSS 26
2.2.2 存儲型XSS 26
2.2.3 基於DOM的XSS 26
2.3 XSS攻擊的條件 26
2.4 漏洞測試的思路 27
2.4.1 基本測試流程 28
2.4.2 XSS進階測試方法 30
2.4.3 測試流程總結 40
2.5 XSS攻擊的利用方式 40
2.5.1 竊取Cookie 40
2.5.2 網絡釣魚 42
2.5.3 竊取客戶端信息 44
2.6 XSS漏洞的標準防護方法 45
2.6.1 過濾特殊字符 45
2.6.2 使用實體化編碼 50
2.6.3 HttpOnly 52
2.7 本章小結 52
第3章 請求偽造漏洞與防護 53
3.1 CSRF攻擊 54
3.1.1 CSRF漏洞利用場景 58
3.1.2 針對CSRF的防護方案 58
3.1.3 CSRF漏洞總結 61
3.2 SSRF攻擊 61
3.2.1 SSRF漏洞利用場景 62
3.2.2 針對SSRF的防護方案 65
3.2.3 SSRF漏洞總結 66
3.3 本章小結 66
第4章 SQL注入 67
4.1 SQL注入攻擊的原理 67
4.2 SQL注入攻擊的分類 72
4.3 回顯注入攻擊的流程 72
4.3.1 SQL手工注入的思路 73
4.3.2 尋找注入點 73
4.3.3 通過回顯位確定字段數 74
4.3.4 注入並獲取數據 76
4.4 盲注攻擊的流程 78
4.4.1 尋找注入點 79
4.4.2 注入獲取基本信息 81
4.4.3 構造語句獲取數據 84
4.5 常見防護手段及繞過方式 86
4.5.1 參數類型檢測及繞過 86
4.5.2 參數長度檢測及繞過 88
4.5.3 危險參數過濾及繞過 90
4.5.4 針對過濾的繞過方式匯總 95
4.5.5 參數化查詢 99
4.5.6 常見防護手段總結 100
4.6 本章小結 101
第5章 文件上傳攻擊 102
5.1 上傳攻擊的原理 103
5.2 上傳的標準業務流程 103
5.3 上傳攻擊的條件 106
5.4 上傳檢測繞過技術 107
5.4.1 客戶端JavaScript檢測及繞過 107
5.4.2 服務器端MIME檢測及繞過 110
5.4.3 服務器端文件擴展名檢測及繞過 113
5.4.4 服務器端文件內容檢測及繞過 118
5.4.5 上傳流程安全防護總結 122
5.5 文件解析攻擊 123
5.5.1 .htaccess攻擊 123
5.5.2 Web服務器解析漏洞攻擊 125
5.6 本章小結 127
第6章 Web木馬的原理 128
6.1 Web木馬的特點 129
6.2 一句話木馬 130
6.2.1 一句話木馬的原型 130
6.2.2 一句話木馬的變形技巧 131
6.2.3 安全建議 135
6.3 小馬與大馬 136
6.3.1 文件操作 137
6.3.2 列舉目錄 139
6.3.3 端口掃描 139
6.3.4 信息查看 140
6.3.5 數據庫操作 142
6.3.6 命令執行 143
6.3.7 批量掛馬 144
6.4 本章小結 145
第7章 文件包含攻擊 146
7.1 漏洞原理 146
7.2 服務器端功能實現代碼 147
7.3 漏洞利用方式 148
7.3.1 上傳文件包含 148
7.3.2 日誌文件包含 148
7.3.3 敏感文件包含 150
7.3.4 臨時文件包含 151
7.3.5 PHP封裝協議包含 151
7.3.6 利用方式總結 151
7.4 防護手段及對應的繞過方式 152
7.4.1 文件名驗證 152
7.4.2 路徑限制 154
7.4.3 中間件安全配置 156
7.5 本章小結 158
第8章 命令執行攻擊與防禦 159
8.1 遠程命令執行漏洞 159
8.1.1 利用系統函數實現遠程命令
執行 159
8.1.2 利用漏洞獲取webshell 163
8.2 系統命令執行漏洞 167
8.3 有效的防護方案 169
8.3.1 禁用部分系統函數 169
8.3.2 嚴格過濾關鍵字符 169
8.3.3 嚴格限制允許的參數類型 169
8.4 本章小結 170
第三部分 業務邏輯安全
第9章 業務邏輯安全風險存在的前提 172
9.1 用戶管理的基本內容 173
9.2 用戶管理涉及的功能 174
9.3 用戶管理邏輯的漏洞 175
9.4 本章小結 176
第10章 用戶管理功能的實現 177
10.1 客戶端保持方式 177
10.1.1 Cookie 178
10.1.2 Session 179
10.1.3 特定應用環境實例 180
10.2 用戶基本登錄功能實現及安全情況分析 186
10.3 本章小結 189
第11章 用戶授權管理及安全分析 190
11.1 用戶註冊階段安全情況 191
11.1.1 用戶重複註冊 191
11.1.2 不校驗用戶註冊數據 192
11.1.3 無法阻止的批量註冊 193
11.2 用戶登錄階段的安全情況 194
11.2.1 明文傳輸用戶名/密碼 194
11.2.2 用戶憑證(用戶名/密碼)可被暴力破解 198
11.2.3 萬能密碼 199
11.2.4 登錄過程中的安全問題及防護手段匯總 202
11.3 密碼找回階段的安全情況 203
11.3.1 驗證步驟可跳過 204
11.3.2 平行

購物須知

大陸出版品因裝訂品質及貨運條件與台灣出版品落差甚大,除封面破損、內頁脫落等較嚴重的狀態,其餘商品將正常出貨。

特別提醒:部分書籍附贈之內容(如音頻mp3或影片dvd等)已無實體光碟提供,需以QR CODE 連結至當地網站註冊“並通過驗證程序”,方可下載使用。

無現貨庫存之簡體書,將向海外調貨:
海外有庫存之書籍,等候約45個工作天;
海外無庫存之書籍,平均作業時間約60個工作天,然不保證確定可調到貨,尚請見諒。

為了保護您的權益,「三民網路書店」提供會員七日商品鑑賞期(收到商品為起始日)。

若要辦理退貨,請在商品鑑賞期內寄回,且商品必須是全新狀態與完整包裝(商品、附件、發票、隨貨贈品等)否則恕不接受退貨。

優惠價:87 412
海外經銷商無庫存,到貨日平均30天至45天

暢銷榜

客服中心

收藏

會員專區