中圖網

>

信息安全

基礎篇-Web安全防護指南

包郵基礎篇-Web安全防護指南

作者：蔡晶晶張兆心林天翔

出版社：機械工業出版社出版時間：2018-04-01

開本： 16開 頁數： 376

本類榜單：計算機/網絡銷量榜

中圖價:¥51.6(6.5折) 定價 ~~¥79.0~~ 登錄后可看到會員價

加入購物車收藏

開年大促， 全場包郵

?新疆、西藏除外

本類五星書更多>

>
全國計算機等級考試最新真考題庫模擬考場及詳解·二級MSOffice高級應用

全國計算機等級考試最新真考題庫模擬考場及詳解·二級MSOffice高級應用

¥14.4¥45
>
決戰行測5000題(言語理解與表達)

決戰行測5000題(言語理解與表達)

¥44.1¥88
>
軟件性能測試.分析與調優實踐之路

軟件性能測試.分析與調優實踐之路

¥56.2¥69
>
第一行代碼Android

第一行代碼Android

¥55.4¥99
>
JAVA持續交付

JAVA持續交付

¥58.1¥119
>
EXCEL最強教科書(完全版)(全彩印刷)

EXCEL最強教科書(完全版)(全彩印刷)

¥31.1¥69.9
>
深度學習

深度學習

¥92.4¥168

商品詳情
商品評論(0條)

中圖價:¥51.6 加入購物車

版權信息
本書特色
內容簡介
目錄
作者簡介

基礎篇-Web安全防護指南版權信息

ISBN：9787111587767
條形碼：9787111587767 ; 978-7-111-58776-7
裝幀：一般膠版紙
冊數：暫無
重量：暫無
所屬分類：
計算機/網絡
>
信息安全

基礎篇-Web安全防護指南本書特色

web安全與防護技術是當前安全界關注的熱點，本書嘗試針對各類漏洞的攻防技術進行體系化整理，從漏洞的原理到整體攻防技術演進過程進行詳細講解，從而形成對漏洞和web安全的體系化的認識。本書包括五個部分，部分為基礎知識，這些知識對Web攻防技術理解有著極大幫助。第二部分重點講解各類基本漏洞的原理及攻防技術對抗方法，并針對個漏洞的測試方法及防護思路進行整理。第三部分重點講解Web應用的業務邏輯層面安全，但由于各類Web應用的不同，因此重點通過Web應用的用戶管理功能入手，講解在用戶權限的獲取、分配、利用方面的各項細節問題。第四部分從Web應用整體視角提供攻防對抗過程中的技術細節，這在實際運維過程中有很大的作用。第五部分介紹Web安全防護體系建設的基本方法，包含常見的防護設備、Web防護體系建議、滲透測試方法及快速代碼審計實踐，深入了解在Web安全防護體系中的各部分基礎內容及開展方式。

基礎篇-Web安全防護指南內容簡介

web安全與防護技術是當前安全界關注的熱點，本書嘗試針對各類漏洞的攻防技術進行體系化整理，從漏洞的原理到整體攻防技術演進過程進行詳細講解，從而形成對漏洞和web安全的體系化的認識。本書包括五個部分，部分為基礎知識，這些知識對Web攻防技術理解有著極大幫助。第二部分重點講解各類基本漏洞的原理及攻防技術對抗方法，并針對個漏洞的測試方法及防護思路進行整理。第三部分重點講解Web應用的業務邏輯層面安全，但由于各類Web應用的不同，因此重點通過Web應用的用戶管理功能入手，講解在用戶權限的獲取、分配、利用方面的各項細節問題。第四部分從Web應用整體視角提供攻防對抗過程中的技術細節，這在實際運維過程中有很大的作用。第五部分介紹Web安全防護體系建設的基本方法，包含常見的防護設備、Web防護體系建議、滲透測試方法及快速代碼審計實踐，深入了解在Web安全防護體系中的各部分基礎內容及開展方式。

基礎篇-Web安全防護指南目錄

目　　錄
推薦序
前言
**部分　基礎知識
第1章　Web安全基礎 2
1.1　Web安全的核心問題 2
1.2　HTTP協議概述 5
1.2.1　HTTP請求頭的內容 6
1.2.2　HTTP協議響應頭的內容 9
1.2.3　URL的基本格式 11
1.3　HTTPS協議的安全性分析 12
1.3.1　HTTPS協議的基本概念 13
1.3.2　HTTPS認證流程 14
1.3.3　HTTPS協議的特點總結 16
1.4　Web應用中的編碼與加密 16
1.4.1　針對字符的編碼 16
1.4.2　傳輸過程的編碼 18
1.4.3　Web系統中的加密措施 20
1.5　本章小結 22
第二部分　網絡攻擊的基本防護方法
第2章　XSS攻擊 24
2.1　XSS攻擊的原理 24
2.2　XSS攻擊的分類 25
2.2.1　反射型XSS 26
2.2.2　存儲型XSS 26
2.2.3　基于DOM的XSS 26
2.3　XSS攻擊的條件 26
2.4　漏洞測試的思路 27
2.4.1　基本測試流程 28
2.4.2　XSS進階測試方法 30
2.4.3　測試流程總結 40
2.5　XSS攻擊的利用方式 40
2.5.1　竊取Cookie 40
2.5.2　網絡釣魚 42
2.5.3　竊取客戶端信息 44
2.6　XSS漏洞的標準防護方法 45
2.6.1　過濾特殊字符 45
2.6.2　使用實體化編碼 50
2.6.3　HttpOnly 52
2.7　本章小結 52
第3章　請求偽造漏洞與防護 53
3.1　CSRF攻擊 54
3.1.1　CSRF漏洞利用場景 58
3.1.2　針對CSRF的防護方案 58
3.1.3　CSRF漏洞總結 61
3.2　SSRF攻擊 61
3.2.1　SSRF漏洞利用場景 62
3.2.2　針對SSRF的防護方案 65
3.2.3　SSRF漏洞總結 66
3.3　本章小結 66
第4章　SQL注入 67
4.1　SQL注入攻擊的原理 67
4.2　SQL注入攻擊的分類 72
4.3　回顯注入攻擊的流程 72
4.3.1　SQL手工注入的思路 73
4.3.2　尋找注入點 73
4.3.3　通過回顯位確定字段數 74
4.3.4　注入并獲取數據 76
4.4　盲注攻擊的流程 78
4.4.1　尋找注入點 79
4.4.2　注入獲取基本信息 81
4.4.3　構造語句獲取數據 84
4.5　常見防護手段及繞過方式 86
4.5.1　參數類型檢測及繞過 86
4.5.2　參數長度檢測及繞過 88
4.5.3　危險參數過濾及繞過 90
4.5.4　針對過濾的繞過方式匯總 95
4.5.5　參數化查詢 99
4.5.6　常見防護手段總結 100
4.6　本章小結 101
第5章　文件上傳攻擊 102
5.1　上傳攻擊的原理 103
5.2　上傳的標準業務流程 103
5.3　上傳攻擊的條件 106
5.4　上傳檢測繞過技術 107
5.4.1　客戶端JavaScript檢測及繞過 107
5.4.2　服務器端MIME檢測及繞過 110
5.4.3　服務器端文件擴展名檢測及繞過 113
5.4.4　服務器端文件內容檢測及繞過 118
5.4.5　上傳流程安全防護總結 122
5.5　文件解析攻擊 123
5.5.1　.htaccess攻擊 123
5.5.2　Web服務器解析漏洞攻擊 125
5.6　本章小結 127
第6章　Web木馬的原理 128
6.1　Web木馬的特點 129
6.2　一句話木馬 130
6.2.1　一句話木馬的原型 130
6.2.2　一句話木馬的變形技巧 131
6.2.3　安全建議 135
6.3　小馬與大馬 136
6.3.1　文件操作 137
6.3.2　列舉目錄 139
6.3.3　端口掃描 139
6.3.4　信息查看 140
6.3.5　數據庫操作 142
6.3.6　命令執行 143
6.3.7　批量掛馬 144
6.4　本章小結 145
第7章　文件包含攻擊 146
7.1　漏洞原理 146
7.2　服務器端功能實現代碼 147
7.3　漏洞利用方式 148
7.3.1　上傳文件包含 148
7.3.2　日志文件包含 148
7.3.3　敏感文件包含 150
7.3.4　臨時文件包含 151
7.3.5　PHP封裝協議包含 151
7.3.6　利用方式總結 151
7.4　防護手段及對應的繞過方式 152
7.4.1　文件名驗證 152
7.4.2　路徑限制 154
7.4.3　中間件安全配置 156
7.5　本章小結 158
第8章　命令執行攻擊與防御 159
8.1　遠程命令執行漏洞 159
8.1.1　利用系統函數實現遠程命令
執行 159
8.1.2　利用漏洞獲取webshell 163
8.2　系統命令執行漏洞 167
8.3　有效的防護方案 169
8.3.1　禁用部分系統函數 169
8.3.2　嚴格過濾關鍵字符 169
8.3.3　嚴格限制允許的參數類型 169
8.4　本章小結 170
第三部分　業務邏輯安全
第9章　業務邏輯安全風險存在的前提 172
9.1　用戶管理的基本內容 173
9.2　用戶管理涉及的功能 174
9.3　用戶管理邏輯的漏洞 175
9.4　本章小結 176
第10章　用戶管理功能的實現 177
10.1　客戶端保持方式 177
10.1.1　Cookie 178
10.1.2　Session 179
10.1.3　特定應用環境實例 180
10.2　用戶基本登錄功能實現及安全情況分析 186
10.3　本章小結 189
第11章　用戶授權管理及安全分析 190
11.1　用戶注冊階段安全情況 191
11.1.1　用戶重復注冊 191
11.1.2　不校驗用戶注冊數據 192
11.1.3　無法阻止的批量注冊 193
11.2　用戶登錄階段的安全情況 194
11.2.1　明文傳輸用戶名/密碼 194
11.2.2　用戶憑證（用戶名/密碼）可被暴力破解 198
11.2.3　萬能密碼 199
11.2.4　登錄過程中的安全問題及防護手段匯總 202
11.3　密碼找回階段的安全情況 203
11.3.1　驗證步驟可跳過 204
11.3.2　平行

展開全部

基礎篇-Web安全防護指南作者簡介

蔡晶晶，北京永信至誠科技有限公司創始人，董事長。從事網絡安全相關工作17年，國內資深互聯網安全專家之一。多年浸潤攻防一線，培養出許多安全專家。中國國家信恩安全漏洞庫特聘專家，互聯網網絡安全應急專家組委員，2008年曾擔任奧運安保互聯網應急處置技術支援專家，并擔任反黑客組組長。目前專注于網絡空間安全學科人才的培養、企業安全能力的提高及公眾安全意識的提升，創辦的i春秋學院已成為國內影響力最大的信息安全教育機構，e春秋網絡安全實驗室已成為國內頂級信安賽事的支持平臺。他相信信息安全技術是一種生存技能，并希望通過有溫度的技術培育信息時代的安全感。張兆心，哈爾濱工業大學教授、博導，哈爾濱工業大學（威海）網絡與信息安全技術研究中心常務副主任，永信至誠公司特聘專家，中國網絡空間安全協會會員。師從方濱興院士，奮斗在網絡安全教育、科研一線近20年。關注網絡空間安全研究熱點，目前專注在域名體系安全、網絡攻防等研究領域。承擔科研項目近40項，發表論文60余篇，SCI/EI檢索40余篇，專利授權4項。他相信網絡安全是永恒的，而教育是永恒的一個強大的支點。林天翔，現任哈爾濱工業大學（威海）網絡與信息安全技術研究中心攻防技術研究室負責人，永信至誠公司特聘安全專家。具有多年的一線安全技術工作經歷，目前主要針對Web應用漏洞挖掘及業務流程安全體系的適應性構建研究。擅長將各類攻防技術及安全事件根據類型及原理進行分項總結，并嘗試建立安全體系來為相關教學課程及專項人才培養提供內容支持。

商品評論(0條)

寫書評賺書幣

暫無評論……

書友推薦

>
中國人在烏蘇里邊疆區:歷史與人類學概述
中國人在烏蘇里邊疆區:歷史與人類學概述
[蘇]阿爾謝尼耶夫著，劉宇譯
¥21.6~~¥48.0~~
>
苦雨齋序跋文-周作人自編集
苦雨齋序跋文-周作人自編集
周作人著，止庵校訂
¥6.1~~¥16.0~~
>
中國歷史的瞬間
中國歷史的瞬間
李永熾
¥16.7~~¥38.0~~
>
新文學天穹兩巨星--魯迅與胡適/紅燭學術叢書(紅燭學術叢書)
新文學天穹兩巨星--魯迅與胡適/紅燭學術叢書(紅燭學術叢書)
易竹賢
¥9.9~~¥23.0~~
>
月亮與六便士
月亮與六便士
毛姆
¥19.1~~¥42.0~~
>
莉莉和章魚
莉莉和章魚
[美]史蒂文·羅利著，祝文亭譯
¥15.3~~¥42.0~~
>
煙與鏡
煙與鏡
[英] 尼爾·蓋曼著，王爽譯
¥14.5~~¥48.0~~
>
名家帶你讀魯迅:朝花夕拾
名家帶你讀魯迅:朝花夕拾
魯迅著，陳漱渝主編
¥10.0~~¥21.0~~

本類暢銷

不良情緒應急處理包--孤獨感

中圖網

¥12.9~~¥30~~
不良情緒應急處理包--精神內耗

中圖網

¥12.9~~¥30~~
孩子、家庭和外部世界

唐納德·溫尼科特

¥17.8~~¥56~~
北魏政治史(二)

張金龍著

¥26.2~~¥70~~
北魏政治史(四)

張金龍著

¥24.4~~¥65~~
北魏政治史(八)

張金龍著

¥20.8~~¥55~~

中图网(原中国图书网)：网上书店，尾货特色书店，30万种特价书低至2折！

包郵基礎篇-Web安全防護指南

基礎篇-Web安全防護指南版權信息

基礎篇-Web安全防護指南本書特色

基礎篇-Web安全防護指南內容簡介

基礎篇-Web安全防護指南目錄

基礎篇-Web安全防護指南作者簡介

中國人在烏蘇里邊疆區:歷史與人類學概述

苦雨齋序跋文-周作人自編集

中國歷史的瞬間

新文學天穹兩巨星--魯迅與胡適/紅燭學術叢書(紅燭學術叢書)

月亮與六便士

莉莉和章魚

煙與鏡

名家帶你讀魯迅:朝花夕拾

不良情緒應急處理包--孤獨感

不良情緒應急處理包--精神內耗

孩子、家庭和外部世界

北魏政治史(二)

北魏政治史(四)

北魏政治史(八)

每日論語

女孩們

俄羅斯書簡

人間草木

趙元任早年自傳

連科六短篇-短篇經典文庫

包郵 基礎篇-Web安全防護指南

基礎篇-Web安全防護指南 版權信息

基礎篇-Web安全防護指南 本書特色

基礎篇-Web安全防護指南 內容簡介

基礎篇-Web安全防護指南 目錄

基礎篇-Web安全防護指南 作者簡介

包郵基礎篇-Web安全防護指南

基礎篇-Web安全防護指南版權信息

基礎篇-Web安全防護指南本書特色

基礎篇-Web安全防護指南內容簡介

基礎篇-Web安全防護指南目錄

基礎篇-Web安全防護指南作者簡介