Web安全漏洞原理及实战

作品简介

本书主要介绍Web安全理论及实战应用，从Web安全基础入手，深入剖析Web安全漏洞的原理，并通过实战分析对Web安全漏洞的原理进行深度刻画，加深读者对Web安全漏洞原理的认识，进而帮读者全方位了解Web安全漏洞原理的本质。

本书以独特的角度对Web安全漏洞的原理进行刻画，使读者能融会贯通、举一反三。本书主要面向高校计算机专业、信息安全专业、网络空间安全专业的学生及热爱网络安全的读者。

田贵辉，网络安全技术专家，信息安全顾问，曾护航G20峰会安保，曾获全国网络与信息安全竞赛奖、全国计算机设计竞赛奖。

作品目录

• 内容提要
• 序
• 前言
• 第1章 黑客的世界
• 1.1 黑客历史
• 1.2 黑客守则
• 1.3 黑客术语
• 1.4 黑客命令
• 1.5 旧兵器与旧漏洞
• 第2章 Web安全基础
• 2.1 Web安全历史
• 2.2 Web安全定义
• 2.3 渗透测试
• 2.3.1 渗透测试概念
• 2.3.2 渗透测试流程
• 2.3.3 渗透测试思路
• 2.4 信息收集
• 2.5 语言基础
• 2.5.1 ASP
• 2.5.2 PHP
• 2.5.3 JSP
• 2.6 数据库
• 2.7 Web应用搭建的安全
• 第3章 Web安全特性
• 3.1 register_globals的安全特性
• 3.2 magic_quotes_gpc的安全特性
• 3.3 magic_quotes_runtime的安全特性
• 3.4 magic_quotes_sybase的安全特性
• 3.5 disable_functions的安全特性
• 3.6 safe_mode的安全特性
• 3.7 display_errors与error_reporting的安全特性
• 第4章 Web安全主流漏洞
• 4.1 弱口令
• 4.1.1 理论叙述
• 4.1.2 实战分析
• 4.2 跨站脚本漏洞
• 4.2.1 理论叙述
• 4.2.2 实战分析
• 4.3 SQL注入漏洞
• 4.3.1 理论叙述
• 4.3.2 实战分析
• 4.4 文件上传漏洞
• 4.4.1 理论叙述
• 4.4.2 实战分析
• 4.5 文件解析漏洞
• 4.5.1 理论叙述
• 4.5.2 实战分析
• 4.6 跨站请求伪造漏洞
• 4.6.1 理论叙述
• 4.6.2 实战分析
• 4.7 服务器请求伪造漏洞
• 4.7.1 理论叙述
• 4.7.2 实战分析
• 4.8 代码执行漏洞
• 4.8.1 理论叙述
• 4.8.2 实战分析
• 4.9 命令执行漏洞
• 4.9.1 理论叙述
• 4.9.2 实战分析
• 4.10 逻辑漏洞
• 4.10.1 理论叙述
• 4.10.2 实战分析
• 4.11 越权访问漏洞
• 4.11.1 理论叙述
• 4.11.2 实战分析
• 4.12 XML外部实体注入
• 4.12.1 理论叙述
• 4.12.2 实战分析
• 第5章 Web安全非主流漏洞
• 5.1 点击劫持
• 5.1.1 理论叙述
• 5.1.2 实战分析
• 5.2 文件包含漏洞
• 5.2.1 理论叙述
• 5.2.2 实战分析
• 5.3 暴力破解
• 5.3.1 理论叙述
• 5.3.2 实战分析
• 5.4 目录浏览
• 5.4.1 理论叙述
• 5.4.2 实战分析
• 5.5 目录穿越
• 5.5.1 理论叙述
• 5.5.2 实战分析
• 5.6 JSON注入
• 5.6.1 理论叙述
• 5.6.2 实战分析
• 5.7 服务器包含注入
• 5.7.1 理论叙述
• 5.7.2 实战分析
• 5.8 Hibernate查询语言注入
• 5.8.1 理论叙述
• 5.8.2 实战分析
• 5.9 明文密码漏洞
• 5.9.1 理论叙述
• 5.9.2 实战分析
• 5.10 代码泄露
• 5.10.1 理论叙述
• 5.10.2 实战分析
• 5.11 中间件漏洞
• 5.11.1 理论叙述
• 5.11.2 实战分析
• 5.12 敏感信息泄露
• 5.12.1 理论叙述
• 5.12.2 实战分析
• 5.13 其他漏洞叙述
• 5.14 安全意识叙述
• 5.14.1 理论叙述
• 5.14.2 实战分析
• 第6章 工具一览
• 6.1 安全扫描工具
• 6.1.1 系统扫描工具
• 6.1.2 应用扫描工具
• 6.2 目录扫描工具
• 6.3 端口扫描工具
• 6.4 SQL注入工具
• 6.5 编解码工具
• 6.6 CSRFTester测试工具
• 6.7 截包工具
• 6.8 弱口令猜解工具
• 6.9 综合管理工具
• 6.10 信息收集工具
• 6.11 内网渗透工具