Web入侵安全测试与对策 (2007年第17届Jolt大奖提名图书)
点击看大图基本信息
- 原书名: How to Break Web Software
- 原出版社: Addison-Wesley
- 作者: (美)Mike Andrews, James A.Whittaker [作译者介绍]
- 译者: 汪青青
- 出版社:清华大学出版社
- ISBN:7302138745
- 上架时间:2006-10-23
- 出版日期:2006 年10月
- 开本:185×230
- 页码:177
- 版次:1-1
- 所属分类:
计算机 > 安全 > 网络安全/防火墙/黑客
内容简介回到顶部↑
毫无疑问:黑客们会对你的web网站、应用程序和服务器进行残忍的攻击。如果网站存在漏洞,那么最好在这些黑客之前自己先发现这些攻击。现在就有了一本对基于web的软件进行安全性测试的权威的随身指南。.
在本书中,两位资深专家介绍了各种针对web软件的攻击:对于客户机、服务器、状态、用户输入等方面的攻击。随着对web架构和代码当中大量关键的和经常遭到攻击的漏洞的深入了解,你将逐步掌握强大的攻击工具和技术。..
作者揭示了如何发现潜在的威胁和攻击的方向,怎样对它们一一进行严格的测试,以及如何消除这些发现的问题。所涵盖的内容包括:客户机的漏洞,包括对客户端验证的攻击;基于状态的攻击:隐藏域、cgi参数、破坏cookie、url跳跃以及会话劫持;针对用户提交的输入数据的攻击:跨页面脚本、sql注入以及目录遍历;基于语言和技术的攻击:缓冲区溢出、公理化和null字符串攻击;对服务器的攻击:存储过程的sql注入、命令注入以及服务器鉴别;加密、隐私以及针对web服务的攻击。
web软件的运作足最关键的,绝不能有丝毫马虎。无论你足一名开发人员、测试人员、qa专家,或足it经理,本书都会帮助你保护好你的软件产品——而且是系统性的。...
在本书中,两位资深专家介绍了各种针对web软件的攻击:对于客户机、服务器、状态、用户输入等方面的攻击。随着对web架构和代码当中大量关键的和经常遭到攻击的漏洞的深入了解,你将逐步掌握强大的攻击工具和技术。..
作者揭示了如何发现潜在的威胁和攻击的方向,怎样对它们一一进行严格的测试,以及如何消除这些发现的问题。所涵盖的内容包括:客户机的漏洞,包括对客户端验证的攻击;基于状态的攻击:隐藏域、cgi参数、破坏cookie、url跳跃以及会话劫持;针对用户提交的输入数据的攻击:跨页面脚本、sql注入以及目录遍历;基于语言和技术的攻击:缓冲区溢出、公理化和null字符串攻击;对服务器的攻击:存储过程的sql注入、命令注入以及服务器鉴别;加密、隐私以及针对web服务的攻击。
web软件的运作足最关键的,绝不能有丝毫马虎。无论你足一名开发人员、测试人员、qa专家,或足it经理,本书都会帮助你保护好你的软件产品——而且是系统性的。...
作译者回到顶部↑
本书提供作译者介绍
Mike Andrews是Founstone的资深顾问,专攻软件安全,并且对Web应用程序进行安全评估,对Web攻击进行分类。他在大西洋两岸积累了丰富的教育和商业经验,而且还是一位著述颇丰的作者,同时又是一位出色的演讲家。.
在加入Foundstone之前,Mike是一名自由顾问,开发基于Web的信息系统;使用这套系统的客户有The Economist(伦敦运输行业的龙头企业),以及英国的很多大学。在经历了多年讲师和研究人员的生活之后,Mike于2002年以助理教授的身份加入了佛罗里达科技研究中心。在那里,他负责很多研究项.. << 查看详细
在加入Foundstone之前,Mike是一名自由顾问,开发基于Web的信息系统;使用这套系统的客户有The Economist(伦敦运输行业的龙头企业),以及英国的很多大学。在经历了多年讲师和研究人员的生活之后,Mike于2002年以助理教授的身份加入了佛罗里达科技研究中心。在那里,他负责很多研究项.. << 查看详细
目录回到顶部↑
第1章 与众不同的web . 1
1.1 本章内容 1
1.2 简介 1
1.3 world wide web 2
1.4 web世界的价值 4
1.5 web和客户机-服务器 5
1.6 web应用的一个粗略模型 7
1.6.1 web服务器 7
1.6.2 web客户机 8
1.6.3 网络 8
1.7 结论 9
第2章 获取目标的信息 11
2.1 本章内容 11
2.2 简介 11
2.3 攻击1:淘金 11
2.3.1 何时使用这种攻击 12
2.3.2 如何实施这种攻击 12
2.3.3 如何防范这种攻击 18
2.4 攻击2:猜测文件与目录 18
2.4.1 何时使用这种攻击 19
1.1 本章内容 1
1.2 简介 1
1.3 world wide web 2
1.4 web世界的价值 4
1.5 web和客户机-服务器 5
1.6 web应用的一个粗略模型 7
1.6.1 web服务器 7
1.6.2 web客户机 8
1.6.3 网络 8
1.7 结论 9
第2章 获取目标的信息 11
2.1 本章内容 11
2.2 简介 11
2.3 攻击1:淘金 11
2.3.1 何时使用这种攻击 12
2.3.2 如何实施这种攻击 12
2.3.3 如何防范这种攻击 18
2.4 攻击2:猜测文件与目录 18
2.4.1 何时使用这种攻击 19
前言回到顶部↑
很多人问起“How to Break...”系列丛书下一部的出版时间和内容。读者们的需求主要集中于Web应用程序的话题上。很多测试人员在这一领域工作,需要测试那些用World Wide Web上流传的语言和特定的协议编写的应用程序。.
虽然在How to Break Software(Addison-Wesley,2002)和How to Break Software Security(Addison-Wesley,2003)两本书中介绍的测试方法很多也和这样的环境有关,但Internet上的应用程序却存在着一些独有的问题。本书沿用前面两本书的风格分析上述问题,同时更倾向于讨论Web应用程序安全方面的话题。
在开始介绍本书的内容之前,首先需要说明它不涉及哪些内容。虽然这本书和黑客方面的书籍有相关的部分,但我们并不想重写Hacking Exposed一书,因为我们的目的不是为了介绍如何攻击Web服务器或Web应用程序,而是如何测试Web应用程序以防范由这些错误产生的常见故障。
本书是为帮助软件的开发人员、测试人员、管理人员以及质量控制方面的专家防范黑客攻击而编写的一本书。..
这样的重点必然意味着本书中包含了关于黑客技术的知识,毕竟只有了解对手的技术才能防范他们。但本书是关于测试而非攻击的,我们的目的是引导测试人员了解那些可能出现问题的应用程序以及如何修复它们的方法。
本书也不讨论如何构建一个正确的Web应用程序结构,以及如何编写Web应用程序的代码。这些问题有其他的出版计划,而且每一种Web开发平台也有自己的话题,像Innocent Code之类的书就专门讨论这些话题。不过本书倒是包含了很多不要怎样构建和编写Web应用程序的内容。聪明的Web开发人员会把它作为安全的Web编程的一部分参考知识。
本书主要是为了向测试人员介绍一些用于测试Web应用程序的攻击方式,其中会包含一些恶意输入的典型例子,比如一些躲避校验和身份认证的方式,以及某些由配置、语言或结构带来的问题。但这些介绍都很简单,同时给出了如何查找和测试这些问题,以及解决这些问题的方法建议。希望本书能够成为人们在测试基于Web的应用程序方面获取信息(和灵感)的有力工具。
祝你的Web测试成功!...
Mike Andrews,加利福尼亚州奥伦奇县
James A. Whittaker,佛罗里达州墨尔本市
虽然在How to Break Software(Addison-Wesley,2002)和How to Break Software Security(Addison-Wesley,2003)两本书中介绍的测试方法很多也和这样的环境有关,但Internet上的应用程序却存在着一些独有的问题。本书沿用前面两本书的风格分析上述问题,同时更倾向于讨论Web应用程序安全方面的话题。
在开始介绍本书的内容之前,首先需要说明它不涉及哪些内容。虽然这本书和黑客方面的书籍有相关的部分,但我们并不想重写Hacking Exposed一书,因为我们的目的不是为了介绍如何攻击Web服务器或Web应用程序,而是如何测试Web应用程序以防范由这些错误产生的常见故障。
本书是为帮助软件的开发人员、测试人员、管理人员以及质量控制方面的专家防范黑客攻击而编写的一本书。..
这样的重点必然意味着本书中包含了关于黑客技术的知识,毕竟只有了解对手的技术才能防范他们。但本书是关于测试而非攻击的,我们的目的是引导测试人员了解那些可能出现问题的应用程序以及如何修复它们的方法。
本书也不讨论如何构建一个正确的Web应用程序结构,以及如何编写Web应用程序的代码。这些问题有其他的出版计划,而且每一种Web开发平台也有自己的话题,像Innocent Code之类的书就专门讨论这些话题。不过本书倒是包含了很多不要怎样构建和编写Web应用程序的内容。聪明的Web开发人员会把它作为安全的Web编程的一部分参考知识。
本书主要是为了向测试人员介绍一些用于测试Web应用程序的攻击方式,其中会包含一些恶意输入的典型例子,比如一些躲避校验和身份认证的方式,以及某些由配置、语言或结构带来的问题。但这些介绍都很简单,同时给出了如何查找和测试这些问题,以及解决这些问题的方法建议。希望本书能够成为人们在测试基于Web的应用程序方面获取信息(和灵感)的有力工具。
祝你的Web测试成功!...
Mike Andrews,加利福尼亚州奥伦奇县
James A. Whittaker,佛罗里达州墨尔本市
)
加载中...
