Web应用黑客大曝光 Web应用安全机密与解决方案PDF电子书下载

第1部分 侦察 3

第1章 Web应用及其安全性导论 3

1.1 Web应用程序的体系结构 5

1.2 潜在的弱点 19

1.3 Web黑客的方法学 20

1.4 小结 23

1.5 参考文献和进一步的阅读材料 23

第2章 剖析 25

2.1 服务器发现 26

2.2 服务发现 35

2.3 服务器标识 37

2.4 小结 39

2.5 参考文献和进一步的阅读材料 40

第3章 攻击Web服务器 41

3.1 平台的常见脆弱点 42

3.2 自动脆弱点扫描软件 81

3.3 Web服务器拒绝服务攻击 92

3.4 小结 95

3.5 参考文献和进一步的阅读材料 95

第4章 调查应用程序 99

4.1 将应用程序的结构归档 100

4.2 手动审查应用程序 102

4.3 自动调查工具 118

4.4 常用对策 125

4.5 小结 128

4.6 参考文献和进一步的阅读材料 128

第2部分 攻击 133

第5章 认证 133

5.1 认证机制 134

5.2 攻击Web认证 151

5.3 旁路认证 159

5.4 小结 160

5.5 参考文献和进一步的阅读材料 160

第6章 授权 163

6.1 攻击种类 164

6.2 方法学 166

6.3 案例研究：使用curl映射许可 172

6.4 小结 177

6.5 参考文献和进一步的阅读材料 178

第7章 攻击会话状态管理 179

7.1 客户端技术 181

7.2 服务器端技术 185

7.3 会话ID分析 186

7.4 小结 200

7.5 参考文献和进一步的阅读材料 200

第8章 输入验证攻击 201

8.1 预见意外情况 202

8.2 输入验证的最后阶段 203

8.4 绕过客户端验证例程 204

8.3 去哪里寻找潜在的目标 204

8.5 普通的输入验证攻击 205

8.6 通用对策 221

8.7 小结 222

8.8 参考文献和进一步的阅读材料 223

第9章 攻击Web数据存储 225

9.1 SQL入门 226

9.2 SQL注入 227

9.3 小结 240

9.4 参考文献和进一步的阅读材料 240

第10章 攻击Web服务 241

10.1 什么是Web服务 242

10.2 Web服务攻击的实例 250

10.3 Web服务安全的基础 252

10.4 小结 256

10.5 参考文献和进一步的阅读材料 257

第11章 攻击Web应用程序管理 259

11.1 Web服务器管理 260

11.2 Web内容管理 263

11.3 基于Web的网络和系统管理 269

11.4 小结 273

11.5 参考文献和进一步的阅读材料 273

第12章 Web客户端攻击 275

12.1 客户端安全问题 276

12.2 动态内容攻击 278

12.3 跨站脚本攻击 287

12.4 Cookie劫持 290

12.5 小结 295

12.6 参考文献和进一步的阅读材料 295

第13章 案例研究 297

13.1 案例研究1：从URL到命令行及相反的操作 298

13.2 案例研究2：异或(XOR)操作并不等于安全 301

13.3 案例研究3：跨站脚本日历 303

13.4 小结 305

13.5 参考文献和进一步的阅读材料 305

第3部分 附录 309

附录A Web站点安全检查列表 309

附录B Web攻击工具和技术清单 313

附录C 使用libwhisker 325

C.1 libwhisker内幕 326

附录D UrlScan的安装与配置 335

D.1 UrlScan概述 336

D.2 获得UrlScan 337

D.3 升级Windows系列产品 338

D.4 UrlScan基本配置 341

D.5 UrlScan高级配置 348

D.6 UrlScan.ini命令参考 354

D.7 小结 358

D.8 参考文献和进一步的阅读材料 358

附录E 关于配书的Web站点 361