加载中...
扫一扫
下载苏宁易购APP
关注苏宁推客公众号
自购省钱·分享赚钱
下载苏宁金融APP
关注苏宁易购服务号
用户评价:----
物流时效:----
售后服务:----
欢迎光临我们店铺!书籍都是正版全新书籍,欢迎下单~!!
实名认证领苏宁支付券立即领取 >
¥
提前抢
SUPER会员专享
由于此商品库存有限,请在下单后15分钟之内支付完成,手慢无哦!
欢迎光临本店铺
点我可查看更多商品哦~
100%刮中券,最高50元无敌券,券有效期7天
亲,今日还有0次刮奖机会
我的云钻:0
您的云钻暂时不足,攒足云钻再来刮
恭喜获得1张券!
今天的机会已经全部用完了,请明天再来
恭喜刮出两张券,请选择一张领取
活动自2017年6月2日上线,敬请关注云钻刮券活动规则更新。
如活动受政府机关指令需要停止举办的,或活动遭受严重网络攻击需暂停举办的,或者系统故障导致的其它意外问题,苏宁无需为此承担赔偿或者进行补偿。
音像Web安全防护指南蔡晶晶,张兆心,林天翔 编著
¥ ×1
商品
服务
物流
序前言部分基础知识章Web安全基础21.1Web安全的核心问题21.2HTTP协议概述51.2.1HTTP请求头的内容61.2.2HTTP协议响应头的内容91..URL的基本格式111.3HTTPS协议的安全分析121.3.1HTTPS协议的基本概念131.3.2HTTPS认流程141.3.3HTTPS协议的特点总结161.4Web应用中的编码与加密161.4.1针对字符的编码161.4.2传输过程的编码181.4.3Web系统中的加密措施201.5本章小结22第二部分网络攻击的基本防护方法第2章XSS攻击242.1XSS攻击的原理242.2XSS攻击的分类252.2.1反型XSS262.2.2存储型XSS262..基于DOM的XSS26.XSS攻击的条件262.4漏洞测试的思路272.4.1基本测试流程282.4.2XSS进阶测试方法302.4.3测试流程总结402.5XSS攻击的利用方式402.5.1窃取Cookie402.5.2网络钓鱼422.5.3窃取客户端信息442.6XSS漏洞的标准防护方法452.6.1过滤特殊字符452.6.2使用实体化编码502.6.3HttpOnly522.7本章小结52第3章请求伪造漏洞与防护533.1CSRF攻击543.1.1CSRF漏洞利用场景583.1.2针对CSRF的防护方案583.1.3CSRF漏洞总结613.2SSRF攻击613.2.1SSRF漏洞利用场景623.2.2针对SSRF的防护方案653..SSRF漏洞总结663.3本章小结66第4章SL注入674.1SL注入攻击的原理674.2SL注入攻击的分类724.3回显注入攻击的流程724.3.1SL手工注入的思路734.3.2寻找注入点734.3.3通过回显位确定字段数744.3.4注入并获取数据764.4盲注攻击的流程784.4.1寻找注入点794.4.2注入获取基本信息814.4.3构造语句获取数据844.5常见防护手段及绕过方式864.5.1参数类型检测及绕过864.5.2参数长度检测及绕过884.5.3危险参数过滤及绕过904.5.4针对过滤的绕过方式汇总954.5.5参数化查询994.5.6常见防护手段总结1004.6本章小结101第5章文件上传攻击1025.1上传攻击的原理1035.2上传的标准业务流程1035.3上传攻击的条件1065.4上传检测绕过技术1075.4.1客户端JavaScript检测及绕过1075.4.2服务器端MIME检测及绕过1105.4.3服务器端文件扩展名检测及绕过1135.4.4服务器端文件内容检测及绕过1185.4.5上传流程安全防护总结1225.5文件解析攻击15.5.1.htaccess攻击15.5.2Web服务器解析漏洞攻击1255.6本章小结127第6章Web木马的原理1286.1Web木马的特点1296.2一句话木马1306.2.1一句话木马的原型1306.2.2一句话木马的变形技巧1316..安全建议1356.3小马与大马1366.3.1文件操作1376.3.2列举目录1396.3.3端口扫描1396.3.4信息查看1406.3.5数据库操作1426.3.6命令执行1436.3.7批量挂马1446.4本章小结145第7章文件包含攻击1467.1漏洞原理1467.2服务器端功能实现代码1477.3漏洞利用方式1487.3.1上传文件包含1487.3.2日志文件包含1487.3.3文件包含1507.3.4临时文件包含1517.3.5PHP封装协议包含1517.3.6利用方式总结1517.4防护手段及对应的绕过方式1527.4.1文件名验1527.4.2路径限制1547.4.3中间件安全配置1567.5本章小结158第8章命令执行攻击与防御1598.1远程命令执行漏洞1598.1.1利用系统函数实现远程命令执行1598.1.2利用漏洞获取webshell1638.2系统命令执行漏洞1678.3有效的防护方案1698.3.1禁用部分系统函数1698.3.2严格过滤关键字符1698.3.3严格限制允许的参数类型1698.4本章小结170第三部分业务逻辑安全第9章业务逻辑安全风险存在的前提1729.1用户管理的基本内容1739.2用户管理涉及的功能1749.3用户管理逻辑的漏洞1759.4本章小结1760章用户管理功能的实现17710.1客户端保持方式17710.1.1Cookie17810.1.2Session17910.1.3特定应用环境实例18010.2用户基本登录功实现安全情况分析18610.3本章小结1891章用户授权管理及安全分析19011.1用户注册阶段安全情况19111.1.1用户重复注册19111.1.2不校验用户注册数据19211.1.3无法阻止的批量注册19311.2用户登录阶段的安全情况19411.2.1明文传输用户名/密码19411.2.2用户凭(用户名/密码)可被暴力破解19811..密码19911.2.4登录过程中的安全问题及防护手段汇总20211.3密码找回阶段的安全情况20311.3.1验步骤可跳过204……参考文献
蔡晶晶,北京永信至诚科技有限公司创始人,董事长。从事网络安全相关工作17年,靠前资历互联网安全专家之一。多年浸润攻防一线,培养出许多安全专家。中国恩安全漏洞库特聘专家,互联网网络安全应急专家组委员,2008年曾担任奥运安保互联网应急处置技术支援专家,并担任反黑客组组长。目前专注于网络空间安全学科人才的培养、企业安力的提高及众全意识的提升,创办的i春秋学院已成为靠前影响力优选的信息安全教育机构,e春秋网络安全实验室已成为靠前很好信安赛事的支持平台。他相信信息安全技术是一种生存技能,并希望通过有温度的技术培育信息时代的安全感。张兆心,哈尔滨工业大学教授、博导,哈尔滨工业大学(威海)网络与信息安全技术研究中心常务副主任,永信至诚公司特聘专家,中国网络空间安全协会会员。师从院士,奋斗在网络安全教育、科研一线近20年。关注网络空间安全研究热点,目前专注在域名体系安、络攻防等研究领域。承担科研项目近40项,发表60余篇,SCI/EI检索40余篇,授权4项。他相信网络安全是永恒的,而教育是永恒的一个强大的支点。林天翔,现任哈尔滨工业大学(威海)网络与信息安全技术研究中心攻防技术研究室负责人,永信至诚公司特聘安全专家。具有多年的一线安全技术工作经历,目前主要针对Web应用漏洞挖掘及业务流程安全体系的适应构建研究。擅长将各类攻防技术及安全事件根据类型及原理进行分项总结,并尝试建立安全体系来为相关教学课程及专项人才培养提供内容支持。
前 言一、为什么要写这本书随着网络的普及,人们的工作、生活已经与网络深度融合。Web系统由于其高度可定制的特点,适合承载现有的互联网应用。目前,大量在线应用的出现和使用也印了这一点。我们每个人每天都会打开各种搜索自己感兴趣的内容或使用某一个应用,其中每个站点的功能各不相同,业务流程也各自独立,并且站点功版本的迭代、更新速度快。同时,由于大量Web应用功版本的快速更新,也导致各类新型Web安全问题不断出现。尽管Web安全问题的表现形式各异,但深入分析各类安全问题的成因会发现,这些安全问题有一定的共并能通过相关的网络安全技术来加以防御和解决。 反观Web安全的学习过程,由于Web安全攻防涉及的技术、工具繁多,安全问题也表现出各种复杂的形式,学习者很容易被这些表象混淆,进入“只见树木不见森林”的误区,无法快速成长。因此,本书作者基于多年的安全研究、教学、工程实践经验,以帮读者建立知识体系为目标,通过原理、方法、代码、实践的层层深入,使读者充分理解Web安全问题的成因、危害、关联,进而有效地保护Web系统,抵御攻击。 二、本书的主要内容本书试图整理出Web安全防护知识的体系,因此对每一类Web安全问题,都对从原理到攻防技术的演进过程加以详细的讲解。在针对安全问题的分析方面,本书从基础的漏洞环境入手,可排除不同业务环境的干扰,更聚焦于安全问题本身。这种方式有利于帮读者在掌握每种Web安全问题的解决方案的同时,对整个Web安全防护体系建立清晰的认知。 本书主要内容共分为5部分,各部分内容如下。 部分(包括章):Web应用概念庞大、涉及的协议广泛,因此,此部分没有系统地介绍所有的基础内容,而是抽取了与Web安全关系密切的协议等方面的基础知识。这些知识对后续理解Web攻防技术极为关键。 第二部分(包括第2~8章):重点讲解Web应用中的基础漏洞,从用户端到服务器端依次开展分析。首先从主要攻击用户的跨站请求攻击入手,之后了解Web应用中的请求伪造攻击、针对Web应用于数据库交互产生的SL注入攻击。再针对可直接上传各类危险文件的上传漏洞进行分析,并说明上传漏洞中常用的木马的基本原理。对服务器端的危险应用功能(文件包含、命令执行漏洞)进行分析。此部分重点讲解上述基本漏洞的原理及攻防技术对抗方法,并针对每个漏洞的测试及防护方的技演进思路进行整理。 第三部分(包括9~5章):重点讲解Web应用的业务逻辑层面的基础安全问题。Web应用基于用户管理机制来提供个化的,用户的身份认则成为安全开展Web应用的基础功能。此部分从用户的未登录状态入手,讲解用户注册行为中潜在的安全隐患。然后对用户登录过程中的安全问题进行整理,并对常见的用户身份识别技术进行原理说明。对用户登录后的基本功用户权限处理方式进行讲解。 第四部分(包括6~19章):主要讲解在实际Web站点上线之后的基础防护方式,并从Web整体应用的视角展示攻防对抗过程中的技术细节。重点针对Web服务潜在的基础信息泄漏方及对应处理方法进行总结。提供可解决大部分问题的简单防护方案,这对安全运维有较大的用途。 第五部分(包括第20~章):在前几部分的基础上总结Web安全防护体系建设的基本方法。本部分先从Web安全中常见的防护类设备入手,分析各类安全防护设备的特点及适用范围。之后,对目前业界的安全开发体系进行基本介绍,并对安全服务中的渗透测试的主要流程进行说明。以实例的形式展示如何进行快速的代码审计。 以上每个部分的知识均为递进关系。部分和第二部分帮读者了解Web应用中各类漏洞的原理及测试方式、防护手段等。第三部分和第四部分让读者了解业务层面和整体安全的防护方法。第五部分则从整体层间构建有效防护体系的思路。可综合掌握Web安全防护的整体内容,这也是本书希望读者获得的阅读效果。 三、本书的读者对象本书适合所有对Web安全感兴趣的初学者以及从事安全行业的相关人员,主要包括以下几类读者: 信息安全及相关专业生本书以基本的漏洞为例,循序渐进地梳理攻防对抗方式及各类漏洞的危害。信息安全及相关专业学生可根据这些内容快速入门,并以此作为基础来探索信息安全更前沿的领域。 安全运维人员本书提供了大量漏洞利用特征及有效的安全运维方式,可供安全运维人员在实际工作中快现系统安全状况,并对安全漏洞进行基本的处理。 安全开发人员本书列举了各种漏洞的原理分析及防护方式,可帮开发人员在Web系统的开发过程中对漏洞进行规避,进而从根源上避免Web漏洞的出现。 安全服务人员安全服务人员重点关注如何快现目标Web系统的安全隐患并针对问题提出处理建议。此类读者建议重点阅读本书前三部分以及部分的两章,可为安全服务的工作开展提供更全面的技术支持。 攻防技术爱好者对于攻防技术爱好者来说,本书提供了体系化的Web安全基础原理,可有效丰富个人的知识储备体系。 四、如何阅读这本书本书虽然篇
抢购价:¥ 38.00
易购价:¥ 38.00
注:参加抢购将不再享受其他优惠活动
亲,很抱歉,您购买的宝贝销售异常火爆,让小苏措手不及,请稍后再试~
验证码错误
看不清楚?换一张
确定关闭
亲,大宗购物请点击企业用户渠道>小苏的服务会更贴心!
亲,很抱歉,您购买的宝贝销售异常火爆让小苏措手不及,请稍后再试~
查看我的收藏夹
非常抱歉,您前期未参加预订活动,无法支付尾款哦!
关闭
抱歉,您暂无任性付资格
继续等待
0小时0分
立即开通
SUPER会员