黑客札记:Web安全手册
点击看大图基本信息
- 作者: (美)Mike Shema [作译者介绍]
- 译者: 谢文亮 马睿倩
- 丛书名: 黑客札记
- 出版社:清华大学出版社
- ISBN:7302116148
- 上架时间:2005-10-10
- 出版日期:2005 年9月
- 开本:150×230
- 页码:200
- 版次:1-1
- 所属分类:
计算机 > 安全 > 网络安全/防火墙/黑客
内容简介回到顶部↑
《黑客札记》丛书之《web安全手册》描述了威胁现今web应用程序的黑客技术和漏洞,并且提供了各种防御方法。确定漏洞是否存在,然后进行攻击,并通过一系列确凿可信的反黑方法、最佳实践和代码级别的技术来克服程序弱点。本书中间部分的“参考中心”可用来查阅安全命令、输入验证检查表、替换编码表、在线资源,sql注入提示和程序测试方法等等。
·在数秒内从特设的32页“参考中心”找到关键信息
·配置安全的web服务器并编写安全的web应用程序
·学会并理解程序巡查和渗透方法
·防止程序数据被非法访问
·建立严格的政策、程序和服务
·在web服务器日志文件中追踪程序攻击的证据
·封堵系统平台和web应用程序的漏洞
·掌握处理会话劫持、sql注入等攻击的可用工具
·减少asp、php、java和perl编程中的程序缺陷
·通过彻底的日志分析识别基于web的攻击
·在数秒内从特设的32页“参考中心”找到关键信息
·配置安全的web服务器并编写安全的web应用程序
·学会并理解程序巡查和渗透方法
·防止程序数据被非法访问
·建立严格的政策、程序和服务
·在web服务器日志文件中追踪程序攻击的证据
·封堵系统平台和web应用程序的漏洞
·掌握处理会话劫持、sql注入等攻击的可用工具
·减少asp、php、java和perl编程中的程序缺陷
·通过彻底的日志分析识别基于web的攻击
作译者回到顶部↑
本书提供作译者介绍
Mike Shema是Foundstone安全咨询公司的首席顾问和培训员。他是Hacking Exposed Web Applications和Anti-Hacker Tool Kit的其中一位作者,并且是《应急响应》(由清华大学出版社引进出版)的技术评论。他做过网络和Web应用程序的安全评估工作。
丛书编辑简介:Mike Horton是Foundstone公司的信息系统安全顾问,他有超过十年的企业、政府和计算机网络安全的综合经验。他是《黑客札记》丛书的策划人,是本套丛书中《网络安全手册》的主要作者,并且是Enigma Server(www.enigmasever.com)安全研究的开拓.. << 查看详细
丛书编辑简介:Mike Horton是Foundstone公司的信息系统安全顾问,他有超过十年的企业、政府和计算机网络安全的综合经验。他是《黑客札记》丛书的策划人,是本套丛书中《网络安全手册》的主要作者,并且是Enigma Server(www.enigmasever.com)安全研究的开拓.. << 查看详细
目录回到顶部↑
第一部分 黑客技术与防御
第1章 web攻击和渗透方法论3
1.1 威胁和安全漏洞4
1.2 勾画平台轮廓5
1.3 勾画应用程序轮廓10
1.4 小结22
第2章 关键的黑客攻击与防御23
2.1 一般的输入验证25
2.1.1 常用途径26
2.1.2 源代码泄露28
2.2 字符编码29
2.2.1 url编码(转义字符)29
2.2.2 unicode30
2.3 其他的请求方法32
2.4 sql注入33
2.4.1 microsoft sql server40
2.4.2 oracle43
2.4.3 mysql45
2.4.4 postgresql47
2.4.5 博采众家之长48
第1章 web攻击和渗透方法论3
1.1 威胁和安全漏洞4
1.2 勾画平台轮廓5
1.3 勾画应用程序轮廓10
1.4 小结22
第2章 关键的黑客攻击与防御23
2.1 一般的输入验证25
2.1.1 常用途径26
2.1.2 源代码泄露28
2.2 字符编码29
2.2.1 url编码(转义字符)29
2.2.2 unicode30
2.3 其他的请求方法32
2.4 sql注入33
2.4.1 microsoft sql server40
2.4.2 oracle43
2.4.3 mysql45
2.4.4 postgresql47
2.4.5 博采众家之长48
译者序回到顶部↑
《黑客杞记》原版丛书是美国计算机安全类图书市场上极为畅销的经典之作。今天,译者有幸把这套优秀的书籍呈现给读者,备感荣幸,因为这是为广大计算机安全专业人士提高专业素质的良机。
安全问题如今已是信息技术领域刻不容缓的关键环节,不断浮出水面的漏洞,在网络上疯狂爬行的蠕虫、迅速扩散的冲击波,所有这一切都令人惶惶不可终日。这套丛书的目的就是帮助计算机用户尤其是安全界人士摆脱被动的局面,主动地扼杀威胁于襁褓之中。
这套丛书的特色不在于大而全,而是对流行的、重要的安全技术做出一针见血的分析,为读者提供恰到好处的参考和指南。丛书从攻与防两个角度来阐明安全漏洞的机理与修复措施。阅读本书后,不但可以了解如何抵御黑客的攻击,还能够从根本上杜绝此类攻击,真正做到防患于未然。更重要的是,本丛书还对相关内容进行了引申和拓展,对相关方法进行了归纳和总结,使读者不仅知其然,还知其所以然。值得一提的是,书中还附带了大量的参考资料,这些资料犹如黑暗中的盏盏明灯,为您应对各类攻击与漏洞指明了方向。本丛书还有一个特色便是轻便小巧,易于携带,相信读者一定会享受到这种贴心设计所带来的便利。
本书讨论的主要对象是Web。如今,Web的应用如火如荼,随之而来的安全问题也日益突出。人们一方面在享受着Web带来的好处,而另一方面却要忍受着不可预料的安全威胁。本书就是针对这种尴尬的现状,较为全面地介绍了Web中存在的各种漏洞和所面临的各种威胁,并给读者提供了完善的解决措施。读者在阅读本书后必定会恍然大悟,信心百倍地迎接任何与Web安全有关的挑战和威胁。
参加本书翻译工作的人员包括:谢文亮、马睿倩、张丽萍、梁金昆、潘彦斌、刘辉、杨仑、白白华、梁金仑、王玉成、张君伟、柴华等。谢文亮同志负责全书的校对和统稿工作。本书中的每字每句,都凝聚了他们的汗水,在此感谢他们的辛勤和努力!当然,只要广大读者能从书中汲取所需的知识,译者自是幸甚至哉!
安全问题如今已是信息技术领域刻不容缓的关键环节,不断浮出水面的漏洞,在网络上疯狂爬行的蠕虫、迅速扩散的冲击波,所有这一切都令人惶惶不可终日。这套丛书的目的就是帮助计算机用户尤其是安全界人士摆脱被动的局面,主动地扼杀威胁于襁褓之中。
这套丛书的特色不在于大而全,而是对流行的、重要的安全技术做出一针见血的分析,为读者提供恰到好处的参考和指南。丛书从攻与防两个角度来阐明安全漏洞的机理与修复措施。阅读本书后,不但可以了解如何抵御黑客的攻击,还能够从根本上杜绝此类攻击,真正做到防患于未然。更重要的是,本丛书还对相关内容进行了引申和拓展,对相关方法进行了归纳和总结,使读者不仅知其然,还知其所以然。值得一提的是,书中还附带了大量的参考资料,这些资料犹如黑暗中的盏盏明灯,为您应对各类攻击与漏洞指明了方向。本丛书还有一个特色便是轻便小巧,易于携带,相信读者一定会享受到这种贴心设计所带来的便利。
本书讨论的主要对象是Web。如今,Web的应用如火如荼,随之而来的安全问题也日益突出。人们一方面在享受着Web带来的好处,而另一方面却要忍受着不可预料的安全威胁。本书就是针对这种尴尬的现状,较为全面地介绍了Web中存在的各种漏洞和所面临的各种威胁,并给读者提供了完善的解决措施。读者在阅读本书后必定会恍然大悟,信心百倍地迎接任何与Web安全有关的挑战和威胁。
参加本书翻译工作的人员包括:谢文亮、马睿倩、张丽萍、梁金昆、潘彦斌、刘辉、杨仑、白白华、梁金仑、王玉成、张君伟、柴华等。谢文亮同志负责全书的校对和统稿工作。本书中的每字每句,都凝聚了他们的汗水,在此感谢他们的辛勤和努力!当然,只要广大读者能从书中汲取所需的知识,译者自是幸甚至哉!
前言回到顶部↑
濒临危境的Web
万维网(World Wide Web)同时带来了信息、商机、个性化及其他东西。Web上风行的应用反映了人们的愿望,不管他们是希望购物、销售、交易或仅仅是交谈。因此,Web应用安全并不仅仅是站点使用128位加密保护了人们的信用卡。Web安全要保护应用如何读取信用卡,如何把信用卡存放到数据库中,如何随后又从数据库取回信用卡。毕竟,如果恶意用户能进行一次SQL注入攻击,那时仅用网页浏览器就能窃取到数据库信息,于是SSL的使用毫无意义。
当然,保护财政数据并不是构建安全Web应用的惟一理由,信息同样需要保护。不管像家庭住址这样的个人信息,还是像论坛布告这样的公共信息,都不应该暴露在不安全的应用之下。人们可能会成为身份盗用的牺牲品,也可能成为人格毁损的目标。基于Web的应用处理的远不只是金钱,重要的是认识到任何应用漏洞都会有严重的后果。
本书应当成一本手册,希望能放在键盘旁边随手查阅。本书从很多安全站点收集了大量的信息,另外还介绍了新的技术与趋势,并把这两者综合起来,形成一种可信的方法论。因此,“参考中心”足以满足那些只需URL就能够发起攻击的有经验的黑客,另外也能满足那些对端口扫描器及现成缓冲区溢出工具之外安全层面感兴趣的人。每个Web应用都是不同的。本书将会介绍分析、拆解、保护任何应用的方法,但焦点却在于工具及技术上。 本书的组织形式
本书的每一章都只涉及了一个惟一的话题,这让大家可以方便地转到任何最需要的部分进行阅读。
组成部分
第一部分:黑客技术与防御本书开始时给出了测试Web应用的详细方法论及技术,展示技术时从一般到特殊。第一步是枚举出各个应用的页面及变量。接着,这些章节说明了漏洞(如SQL注入、跨站点脚本、会话劫持等)的识别、验证及利用等技术。每种攻击都配有某种特定的防御对策。
第二部分:主机评估与安全性强化
本书的第二部分更关注于从头创造安全应用的技术,而不是修补应用的技术。这里给出了支持应用所需部署的平台及程序的清单。这几章并不是简单地重复像Web站点上所使用的那些步骤,而是给出了不同防御对策的详细理由和建议,目的在于提供一组能运用至Web应用各个部分的技术。
第三部分:专题
这部分给出了安全编码方面的更多信息,处理了负载平衡问题,而有时攻击成功需要这些“额外”知识。安全编码部分谈到了当今最流行的Web编程语言中发现的陷阱及对策。
参考中心
读者不会去寻找一份无用的端口号清单,因为只要查看系统上的/etc/services文件就能得到它。相反,“参考中心”只给出了字符编码清单、SQL注入字符串清单以及一份综合的应用安全清单。这份综合的应用安全清单涉及了所有的内容,从搜寻站点直至检查会话状态机制。
黑客攻击与防御
本书阐述了防御大多数Web应用攻击时可利用的战术及战略对策。第2章主要介绍特定战术攻击及防御措施。因此,第2章中能找到我们所强调的大部分技术。
给读者最后的话
哪里有攻击,哪里就有防御。本书的目标是成为一本快速参考,不管大家是在进行应用的安全评审,还是仍在设计网站应用。本书的细节都应该以方法论为中心,足以让任何稍熟悉HTML与浏览器的人开始进行安全测试。另外,不管是对有经验的Web应用评审者,还是对那些想确信是否已解决了应用各方面安全性的人,“参考中心”都应该是一份便利的核对清单。多加利用!
万维网(World Wide Web)同时带来了信息、商机、个性化及其他东西。Web上风行的应用反映了人们的愿望,不管他们是希望购物、销售、交易或仅仅是交谈。因此,Web应用安全并不仅仅是站点使用128位加密保护了人们的信用卡。Web安全要保护应用如何读取信用卡,如何把信用卡存放到数据库中,如何随后又从数据库取回信用卡。毕竟,如果恶意用户能进行一次SQL注入攻击,那时仅用网页浏览器就能窃取到数据库信息,于是SSL的使用毫无意义。
当然,保护财政数据并不是构建安全Web应用的惟一理由,信息同样需要保护。不管像家庭住址这样的个人信息,还是像论坛布告这样的公共信息,都不应该暴露在不安全的应用之下。人们可能会成为身份盗用的牺牲品,也可能成为人格毁损的目标。基于Web的应用处理的远不只是金钱,重要的是认识到任何应用漏洞都会有严重的后果。
本书应当成一本手册,希望能放在键盘旁边随手查阅。本书从很多安全站点收集了大量的信息,另外还介绍了新的技术与趋势,并把这两者综合起来,形成一种可信的方法论。因此,“参考中心”足以满足那些只需URL就能够发起攻击的有经验的黑客,另外也能满足那些对端口扫描器及现成缓冲区溢出工具之外安全层面感兴趣的人。每个Web应用都是不同的。本书将会介绍分析、拆解、保护任何应用的方法,但焦点却在于工具及技术上。 本书的组织形式
本书的每一章都只涉及了一个惟一的话题,这让大家可以方便地转到任何最需要的部分进行阅读。
组成部分
第一部分:黑客技术与防御本书开始时给出了测试Web应用的详细方法论及技术,展示技术时从一般到特殊。第一步是枚举出各个应用的页面及变量。接着,这些章节说明了漏洞(如SQL注入、跨站点脚本、会话劫持等)的识别、验证及利用等技术。每种攻击都配有某种特定的防御对策。
第二部分:主机评估与安全性强化
本书的第二部分更关注于从头创造安全应用的技术,而不是修补应用的技术。这里给出了支持应用所需部署的平台及程序的清单。这几章并不是简单地重复像Web站点上所使用的那些步骤,而是给出了不同防御对策的详细理由和建议,目的在于提供一组能运用至Web应用各个部分的技术。
第三部分:专题
这部分给出了安全编码方面的更多信息,处理了负载平衡问题,而有时攻击成功需要这些“额外”知识。安全编码部分谈到了当今最流行的Web编程语言中发现的陷阱及对策。
参考中心
读者不会去寻找一份无用的端口号清单,因为只要查看系统上的/etc/services文件就能得到它。相反,“参考中心”只给出了字符编码清单、SQL注入字符串清单以及一份综合的应用安全清单。这份综合的应用安全清单涉及了所有的内容,从搜寻站点直至检查会话状态机制。
黑客攻击与防御
本书阐述了防御大多数Web应用攻击时可利用的战术及战略对策。第2章主要介绍特定战术攻击及防御措施。因此,第2章中能找到我们所强调的大部分技术。
给读者最后的话
哪里有攻击,哪里就有防御。本书的目标是成为一本快速参考,不管大家是在进行应用的安全评审,还是仍在设计网站应用。本书的细节都应该以方法论为中心,足以让任何稍熟悉HTML与浏览器的人开始进行安全测试。另外,不管是对有经验的Web应用评审者,还是对那些想确信是否已解决了应用各方面安全性的人,“参考中心”都应该是一份便利的核对清单。多加利用!
序言回到顶部↑
McGrawHill/Osborne为安全专业人士策划了一套全新的便携手册。这套速成书籍对页数进行了控制,使之成为真正的便携手册。
《黑客札记》丛书的目标是:
■提供易懂易用、精简的安全参考信息。
■教会大家如何保护网络或系统,展现黑客与犯罪分子如何利用知名手段闯入系统,阐述防御黑客攻击的最佳方式。
■本套丛书能让那些新接触安全主题的人很快上手,并且能提供精练、直接的知识源泉。为此大家会发现自己需要不时地要参考本书。
这套丛书设计得易于携带,或者放在书包里也不会增加太多份量,并且使用时也不会引起不必要的注意。这套丛书尽可能地利用图表、表格与项目列表,只有在理解重点必须用到屏幕截图时,才会使用图例。更为重要的是,这套便携且轻巧的参考书不会用无关的空话烦人,也就不会让大家在繁忙工作之余还要费劲“啃”它们。我们保持了书写的清楚、精练与中肯。
不管是信息安全领域的新手(希望不用翻查400余页资料就能得到有用的基础知识与基本事实),还是了解手册使用价值(手册相当于另一个大脑,它含有丰富的有用清单、表格及快速确认时所需的特定细节,或者说手册相当于一部安全话题的便携参考)的老练的专业人士。《黑客札记》丛书都能对你有所帮助。
丛书中的关键元素及图标
我们尽可能有条理地组织、展现本书。本书使用紧凑的形式,另外还放入页标签来标记主题。本书最后的“参考中心”包含了大家希望快速、容易访问到的信息及表格。
图标说明
本书中用到的图标使得导航非常容易。每种黑客技术或攻击都用一个特殊的利剑图标突出标示。
这种图标代表一种黑客技术或攻击
获得黑客用以闯入脆弱系统的各种技术/谋略的详细信息。
只要可能,每种黑客技术或攻击也会有一种防御手段,防御手段同样也有自己的特殊图标——盾牌。
这种图标代表对抗黑客技术/攻击的防御手段
获得如何防御所展现黑客技术或攻击的精练细节。
《黑客札记》丛书设计时还用到了其他特殊元素,其中有一些脱离于正文的信息小块,这是为了引起注意。
“i” 图标代表一种信息提示,表明阅读该具体小节内容时应该记住这一点。
这种火焰图标代表一种热门事物或一个重要问题,要避免花样繁多的缺陷,就不应该忽视它们。
命令与代码清单
《黑客札记》丛书的目标是:
■提供易懂易用、精简的安全参考信息。
■教会大家如何保护网络或系统,展现黑客与犯罪分子如何利用知名手段闯入系统,阐述防御黑客攻击的最佳方式。
■本套丛书能让那些新接触安全主题的人很快上手,并且能提供精练、直接的知识源泉。为此大家会发现自己需要不时地要参考本书。
这套丛书设计得易于携带,或者放在书包里也不会增加太多份量,并且使用时也不会引起不必要的注意。这套丛书尽可能地利用图表、表格与项目列表,只有在理解重点必须用到屏幕截图时,才会使用图例。更为重要的是,这套便携且轻巧的参考书不会用无关的空话烦人,也就不会让大家在繁忙工作之余还要费劲“啃”它们。我们保持了书写的清楚、精练与中肯。
不管是信息安全领域的新手(希望不用翻查400余页资料就能得到有用的基础知识与基本事实),还是了解手册使用价值(手册相当于另一个大脑,它含有丰富的有用清单、表格及快速确认时所需的特定细节,或者说手册相当于一部安全话题的便携参考)的老练的专业人士。《黑客札记》丛书都能对你有所帮助。
丛书中的关键元素及图标
我们尽可能有条理地组织、展现本书。本书使用紧凑的形式,另外还放入页标签来标记主题。本书最后的“参考中心”包含了大家希望快速、容易访问到的信息及表格。
图标说明
本书中用到的图标使得导航非常容易。每种黑客技术或攻击都用一个特殊的利剑图标突出标示。
这种图标代表一种黑客技术或攻击
获得黑客用以闯入脆弱系统的各种技术/谋略的详细信息。
只要可能,每种黑客技术或攻击也会有一种防御手段,防御手段同样也有自己的特殊图标——盾牌。
这种图标代表对抗黑客技术/攻击的防御手段
获得如何防御所展现黑客技术或攻击的精练细节。
《黑客札记》丛书设计时还用到了其他特殊元素,其中有一些脱离于正文的信息小块,这是为了引起注意。
“i” 图标代表一种信息提示,表明阅读该具体小节内容时应该记住这一点。
这种火焰图标代表一种热门事物或一个重要问题,要避免花样繁多的缺陷,就不应该忽视它们。
命令与代码清单
加载中...
