黑客攻防技术宝典

章节摘录

　　第1章　Web应用程序安全与风险　　Web应用程序安全无疑是当务之急，也是值得关注的话题。对相关各方而言，这一问题都至关重要。这里的相关各方包括因特网业务收入日益增长的公司、向web应用程序托付敏感信息的用户，以及通过窃取支付信息或入侵银行账户偷窃巨额资金的犯罪分子。可靠的信誉也非常重要，没人愿意与不安全的web站点进行交易，也没有组织愿意披露有关其安全方面的漏洞或违规行为的详细情况。因此，获取当前web应用程序安全状况的可靠信息不可小视。　　本章简要介绍web应用程序的发展历程及它们提供的诸多优点，并且列举我们亲身体验过的在目前web应用程序中存在的漏洞，这些漏洞表明绝大多数应用程序还远远不够安全。本章还将描述web应用程序面临的核心安全问题（即用户可提交任意输入的问题），以及造成安全问题的各种因素。最后讨论web应用程序安全方面的最新发展趋势，并预测其未来的发展方向。　　1.1 Web应用程序的发展历程　　在因特网发展的早期阶段，万维网（world Wideweb）仅由web站点构成，这些站点基本上是包含静态文档的信息库。随后人们发明了web浏览器，通过它来提取和显示那些文档，如图1.1所示。这种相关信息流仅由服务器向浏览器单向传送。多数站点并不验证用户的合法性，因为根本没有必要这样做；所有用户同等对待，收取同样的信息。创建一个web站点所带来的安全威胁主要与web服务器软件的（诸多）漏洞有关。攻击者入侵web站点并不能获取任何敏感信息，因为服务器上保存的信息可以公开查看。

前言

　　随着网络技术的快速发展以及网络带宽的不断扩张，Web应用程序几乎无处不在，渗透到社会的经济、文化、娱乐等各个方面。但同时，承载着丰富功能与用途的Web应用程序也成为恶意用户与黑客等攻击者的主要攻击目标。因此，如何确保Web，应用程序的安全已成为政府、企业，特别是银行等金融机构所面临的主要挑战。　　古语云：知己知彼，百战不殆。只有充分了解攻击者所采用的攻击方法以及Web应用程序中存在的可供攻击者利用的各种漏洞，我们才能针对这些漏洞采取行之有效的防御方法。本书两位作者都是安全领域的专家，拥有丰富的渗透测试实践经验，因而本书具有极高的实用价值。书中主要介绍了渗透测试员在测试Web应用程序时所采用的步骤和技巧。同时，从防御的角度看，这些步骤与技巧也为确保Web应用程序的安全、加强防御措施指明了方向。　　本书内容全面，几乎涵盖了所有Web核心技术，如HTTP、客户与服务器端技术、数据编码等；涉及了Web应用程序的主要核心功能，如客户端控件、会话管理、访问控制、应用程序逻辑与体系架构、Web服务器等；详细分析了各种类型的漏洞，如代码注入、路径遍历、跨站点脚本、重定向攻击、跨站点请求伪造、会话劫持、会话固定、缓冲区溢出、整数漏洞、格式化漏洞等；还提供了一些作者作为专业渗透测试员开发的Burphtruder、JAttack、Paros、WebScarab、Nikto、Hydra等工具。另外，为弥补读者在某些方面的知识欠缺，本书还提供了一些背景知识及相关链.接。本着实用的原则，作者在分析漏洞、介绍渗透测试步骤与技术的同时，还提供了大量实例与代码片段；每节的“渗透测试步骤”部分还对前面讨论的内容进行了简要总结。此外，每章最后的“问题”可帮助读者回顾该章的重点知识。

内容概要

Dafydd Stuttard 世界知名的安全技术专家。著名Web应用攻击测试工具Burp Suite的开发者。以网名PortSwigger蜚声安全界。牛津大学博士，现任Next Generation Security Software公司资深安全顾问，主要负责Web应用程序安全。

Marcus Pinto资深渗透测试专家，Next Generation Security Software公司资深安全顾问，主要负责数据库开发团队。拥有剑桥大学硕士学位。

书籍目录

第1章 Web应用程序安全与风险

第2章 核心防御机制

第3章 Web应用程序技术

第4章 解析应用程序

第5章 避开客户端控件

第6章 攻击验证机制

第7章 攻击会话管理

第8章 攻击访问控制

第9章 代码注入

第10章 利用路径遍历

第11章 攻击应用程序逻辑

第12章 攻击其他用户

第13章 定制攻击自动化

第14章 利用信息泄露

第15章 攻击编译型应用程序

第16章 攻击应用程序架构

第17章 攻击Web服务器

第18章 查找源代码中的漏洞

第19章 Web应用程序黑客工具包

第20章 Web应用程序渗透测试方法论

编辑推荐

　　跟安全技术大师学习黑客攻防技术，全面分析Web应用程序安全漏洞，大量实例和代码片段。　　越来越多的关键应用现在已经迁移到网站上，这些Web应用的安全已经成为各机构的重要挑战。知己知彼，方能百战不殆。只有了解Web应用程序中存在的可被利用的漏洞和攻击者所采用的攻击方法，才能更有效地确保Web安全。　　《黑客攻防技术宝典·Web实战篇》是Web安全领域专家的经验结晶，系统阐述了如何针对Web应用程序展开攻击与反攻击，详细剖析了攻击时所使用的技巧、步骤和工具，条理清晰，内容全面，几乎涵盖了所有Web核心技术以及Web应用程序的核心功能，另外还为读者提供了作者自己开发的几个探查漏洞的工具，是一本难得一见的黑客技术实用宝典。

作者简介

越来越多的关键应用现在已经迁移到网站上，这些Web应用的安全已经成为各机构的重要挑战。知己知彼，方能百战不殆。只有了解Web应用程序中存在的可被利用的漏洞和攻击者所采用的攻击方法，才能更有效地确保Web安全。

本书是Web安全领域专家的经验结晶，系统阐述了如何针对Web应用程序展开攻击与反攻击，详细剖析了攻击时所使用的技巧、步骤和工具，条理清晰，内容全面，几乎涵盖了所有Web核心技术以及Web应用程序的核心功能，另外还为读者提供了作者自己开发的几个探查漏洞的工具，是一本难得一见的黑客技术实用宝典。

图书封面

---

 黑客攻防技术宝典下载 更多精彩书评

---