×
思维导图备注
黑客攻防技术宝典:Web实战篇
首页
收藏书籍
阅读记录
书签管理
我的书签
添加书签
移除书签
2.1 处理用户访问
浏览
1
扫码
小字体
中字体
大字体
2022-01-25 06:29:53
请
登录
再阅读
上一篇:
下一篇:
书名页
版权页
内 容 提 要
版 权 声 明
致 谢 名 单
致 谢
目录
译 者 序
前 言
第1章 Web应用程序安全与风险
1.1 Web应用程序的发展历程
1.2 Web应用程序安全
1.3 小结
第2章 核心防御机制
2.1 处理用户访问
2.2 处理用户输入
2.3 处理攻击者
2.4 管理应用程序
2.5 小结
2.6 问题
第3章 Web应用程序技术
3.1 HTTP
3.2 Web功能
3.3 编码方案
3.4 下一步
3.5 问题
第4章 解析应用程序
4.1 枚举内容与功能
4.1.3 发现隐藏的内容
4.1.4 应用程序页面与功能路径
4.1.5 发现隐藏的参数
4.2 分析应用程序
4.2.3 确定服务器端功能
4.2.4 解析受攻击面
4.3 小结
4.4 问题
第5章 避开客户端控件
5.1 通过客户端传送数据
5.1.2 HTTP cookie
5.1.3 URL参数
5.1.5 模糊数据
5.1.6 ASP.NET ViewState
5.2 收集用户数据:HTML表单
5.2.2 基于脚本的确认
5.2.3 禁用的元素
5.3 收集用户数据:浏览器扩展
5.3.4 反编译浏览器扩展
5.3.5 附加调试器
5.4 安全处理客户端数据
5.5 小结
5.6 问题
第6章 攻击验证机制
6.1 验证技术
6.2 验证机制设计缺陷
6.2.2 蛮力攻击登录
6.2.3 详细的失败消息
6.2.4 证书传输易受攻击
6.2.5 密码修改功能
6.2.6 忘记密码功能
6.2.7 “记住我”功能
6.2.8 用户伪装功能
6.2.9 证书确认不完善
6.2.10 非唯一性用户名
6.2.11 可预测的用户名
6.2.12 可预测的初始密码
6.2.13 证书分配不安全
6.3 验证机制执行缺陷
6.3.2 多阶段登录机制中的缺陷
6.3.3 不安全的证书存储
6.4 保障验证机制的安全
6.5 小结
6.6 问题
第7章 攻击会话管理
7.1 状态要求
7.2 会话令牌生成过程中的薄弱环节
7.2.2 令牌可预测
7.2.3 加密令牌
7.3 会话令牌处理中的薄弱环节
7.3.2 在日志中泄露令牌
7.3.3 令牌–会话映射易受攻击
7.3.4 会话终止易受攻击
7.3.5 客户端暴露在令牌劫持风险之中
7.3.6 宽泛的cookie范围
7.4 保障会话管理的安全
7.5 小结
7.6 问题
第8章 攻击访问控制
8.1 常见漏洞
8.2 攻击访问控制
8.2.1 使用不同用户账户进行测试
8.2.2 测试多阶段过程
8.2.3 通过有限访问权限进行测试
8.2.4 测试“直接访问方法”
8.2.5 测试对静态资源的控制
8.2.6 测试对HTTP方法实施的限制
8.3 保障访问控制的安全
8.4 小结
8.5 问题
第9章 攻击数据存储区
9.1 注入解释型语言
9.2 注入SQL
9.2.3 查明SQL注入漏洞
9.2.4 “指纹”识别数据库
9.2.6 提取有用的数据
9.2.8 避开过滤
9.2.9 二阶SQL注入
9.2.10 高级利用
9.2.11 SQL注入之外:扩大数据库攻击范围
9.2.13 SQL语法与错误参考
9.3 注入NoSQL
9.4 注入XPath
9.4.3 盲目XPath注入
9.4.4 查找XPath注入漏洞
9.4.5 防止XPath注入
9.5 注入LDAP
9.5.2 查找LDAP注入漏洞
9.5.3 防止LDAP注入
9.6 小结
9.7 问题
第10章 测试后端组件
10.1 注入操作系统命令
10.1.3 通过动态执行注入
10.1.5 查找动态执行漏洞
10.1.6 防止OS命令注入
10.2 操作文件路径
10.2.2 文件包含漏洞
10.3 注入XML解释器
10.3.2 注入SOAP
10.3.3 查找并利用SOAP注入
10.3.4 防止SOAP注入
10.4 注入后端HTTP请求
10.4.2 HTTP参数注入
10.5 注入电子邮件
10.5.4 防止SMTP注入
10.6 小结
10.7 问题
第11章 攻击应用程序逻辑
11.1 逻辑缺陷的本质
11.2 现实中的逻辑缺陷
11.2.2 例2:欺骗密码修改功能
11.2.3 例3:直接结算
11.2.4 例4:修改保险单
11.2.5 例5:入侵银行
11.2.6 例6:规避交易限制
11.2.7 例7:获得大幅折扣
11.2.8 例8:避免转义
11.2.9 例9:避开输入确认
11.2.10 例10:滥用搜索功能
11.2.12 例12:与登录机制竞赛
11.3 避免逻辑缺陷
11.4 小结
11.5 问题
第12章 攻击其他用户
12.1 XSS的分类
12.1.2 保存型XSS漏洞
12.1.3 基于DOM的XSS漏洞
12.2 进行中的XSS攻击
12.3 查找并利用XSS漏洞
12.3.1 查找并利用反射型XSS漏洞
12.3.2 查找并利用保存型XSS漏洞
12.3.3 查找并利用基于DOM的XSS漏洞
12.4 防止XSS攻击
12.4.1 防止反射型与保存型XSS漏洞
12.5 小结
12.6 问题
第13章 攻击用户:其他技巧
13.1 诱使用户执行操作
13.1.2 UI伪装
13.2 跨域捕获数据
13.3 同源策略深入讨论
13.3.2 同源策略与HTML5
13.3.3 通过代理服务应用程序跨域
13.4 其他客户端注入攻击
13.4.2 cookie注入
13.4.3 开放式重定向漏洞
13.4.4 客户端SQL注入
13.5 本地隐私攻击
13.5.2 缓存Web内容
13.5.3 浏览历史记录
13.5.4 自动完成
13.5.5 Flash本地共享对象
13.5.6 Silverlight独立存储
13.5.7 Internet Explorer userData
13.5.8 HTML5本地存储机制
13.6 攻击ActiveX控件
13.6.2 防止ActiveX漏洞
13.7 攻击浏览器
13.8 小结
13.9 问题
第14章 定制攻击自动化
14.1 应用定制自动化攻击
14.2 枚举有效的标识符
14.3 获取有用的数据
14.4 常见漏洞模糊测试
14.5 整合全部功能:Burp Intruder
14.6 实施自动化的限制
14.7 小结
14.8 问题
第15章 利用信息泄露
15.1 利用错误消息
15.1.5 使用公共信息
15.1.6 制造详尽的错误消息
15.2 收集公布的信息
15.3 使用推论
15.4 防止信息泄露
15.5 小结
15.6 问题
第16章 攻击本地编译型应用程序
16.1 缓冲区溢出漏洞
16.2 整数漏洞
16.3 格式化字符串漏洞
16.4 小结
16.5 问题
第17章 攻击应用程序架构
17.1 分层架构
17.1.2 保障分层架构的安全
17.2 共享主机与应用程序服务提供商
17.2.4 保障共享环境的安全
17.3 小结
17.4 问题
第18章 攻击Web服务器
18.1 Web服务器配置缺陷
18.1.2 默认内容
18.1.3 目录列表
18.1.4 WebDAV方法
18.1.5 Web服务器作为代理服务器
18.1.6 虚拟主机配置缺陷
18.1.7 保障Web服务器配置的安全
18.2 易受攻击的服务器软件
18.2.2 内存管理漏洞
18.3 Web应用程序防火墙
18.4 小结
18.5 问题
第19章 查找源代码中的漏洞
19.1 代码审查方法
19.2 常见漏洞签名
19.3 Java平台
19.4 ASP.NET
19.5 PHP
19.6 Perl
19.7 JavaScript
19.8 数据库代码组件
19.9 代码浏览工具
19.10 小结
19.11 问题
第20章 Web应用程序黑客工具包
20.1 Web浏览器
20.2 集成测试套件
20.2.2 测试工作流程
20.3 独立漏洞扫描器
20.4 其他工具
20.5 小结
第21章 Web应用程序渗透测试方法论
21.1 解析应用程序内容
21.2 分析应用程序
21.3 测试客户端控件
21.4 测试验证机制
21.5 测试会话管理机制
21.6 测试访问控件
21.7 测试基于输入的漏洞
21.8 测试特殊功能方面的输入漏洞
21.9 测试逻辑缺陷
21.10 测试共享主机漏洞
21.11 测试Web服务器漏洞
21.12 其他检查
21.13 检查信息泄露
封底
暂无相关搜索结果!
×
二维码
手机扫一扫,轻松掌上学
×
《黑客攻防技术宝典:Web实战篇》电子书下载
请下载您需要的格式的电子书,随时随地,享受学习的乐趣!
EPUB 电子书
×
书签列表
×
阅读记录
阅读进度:
0.00%
(
0/0
)
重置阅读进度
我的书签
添加书签
移除书签