資源共享吧|易語言論壇|逆向破解教程|輔助開發(fā)教程|網(wǎng)絡(luò)安全教程|rigasin.com|我的開發(fā)技術(shù)隨記

標(biāo)題: 求電子書，黑客攻防技術(shù)寶典Web實戰(zhàn)篇(第2版中文高清版) [打印本頁]

作者: 106721 時間: 2019-7-12 21:32
標(biāo)題: 求電子書，黑客攻防技術(shù)寶典Web實戰(zhàn)篇(第2版中文高清版)
求電子書，黑客攻防技術(shù)寶典Web實戰(zhàn)篇(第2版中文高清版) - - - -- - - - -

作者: show0p 時間: 2019-7-12 22:06
鏈接：https://pan.baidu.com/s/1twmGjzqH7QQnre8W5U9TZg
提取碼：iiam
復(fù)制這段內(nèi)容后打開百度網(wǎng)盤手機App，操作更方便哦

黑客攻防技術(shù)寶典Web實戰(zhàn)篇第2版作者簡介：
Dafydd Stuttard 世界知名安全顧問、作家、軟件開發(fā)人士。牛津大學(xué)博士，MDSec公司聯(lián)合創(chuàng)始人，尤其擅長Web應(yīng)用程序和編譯軟件的滲透測試。Dafydd以網(wǎng)名PortSwigger蜚聲安全界，是眾所周知的Web應(yīng)用程序集成攻擊平臺Burp.Suite的開發(fā)者。Marcus.Pinto資深滲透測試專家，劍橋大學(xué)碩士，MDSec公司聯(lián)合創(chuàng)始人。Marcus為全球金融、政府、電信、博彩、零售等行業(yè)*組織和機構(gòu)提供Web應(yīng)用程序滲透測試和安全防御的咨詢與培訓(xùn)。
黑客攻防技術(shù)寶典Web實戰(zhàn)篇第2版媒體評論：
“關(guān)于黑客攻防技術(shù)，沒有一本書能比這本書講解得更為透徹和全面！”
——Jason Haddix，惠普公司滲透測試總監(jiān)
“如果你對Web應(yīng)用程序安全感興趣，我強烈推薦本書，它實為Web安全人士必讀之作�！�
——Robert Wesley McGrew，McGrew安全公司研究人員
“第1版本來就是Web安全領(lǐng)域的扛鼎之作，第2版可謂經(jīng)典之上的完善，*值得擁有！”
——Daniel Miessler，安全顧問
黑客攻防技術(shù)寶典Web實戰(zhàn)篇第2版目錄：
第1章　Web應(yīng)用程序安全與風(fēng)險　1
1.1　Web應(yīng)用程序的發(fā)展歷程　1
1.1.1　Web應(yīng)用程序的常見功能　3
1.1.2　Web應(yīng)用程序的優(yōu)點　4
1.2　Web應(yīng)用程序安全　4
1.2.1　“本站點是安全的”　5
1.2.2　核心安全問題：用戶可提交任意輸入　6
1.2.3　關(guān)鍵問題因素　7
1.2.4　新的安全邊界　8
1.2.5　Web應(yīng)用程序安全的未來　10
1.3　小結(jié)　10
第2章　核心防御機制　12
2.1　處理用戶訪問　12
2.1.1　身份驗證　13
2.1.2　會話管理　13
2.1.3　訪問控制　14
2.2　處理用戶輸入　15
2.2.1　輸入的多樣性　15
2.2.2　輸入處理方法　16
2.2.3　邊界確認(rèn)　18
2.2.4　多步確認(rèn)與規(guī)范化　20
2.3　處理攻擊者　21
2.3.1　處理錯誤　21
2.3.2　維護審計日志　22
2.3.3　向管理員發(fā)出警報　23
2.3.4　應(yīng)對攻擊　24
2.4　管理應(yīng)用程序　25
2.5　小結(jié)　26
2.6　問題　26
第3章　Web應(yīng)用程序技術(shù)　27
3.1　HTTP　27
3.1.1　HTTP請求　27
3.1.2　HTTP響應(yīng)　28
3.1.3　HTTP方法　29
3.1.4　URL　30
3.1.5　REST　31
3.1.6　HTTP消息頭　31
3.1.7　cookie　33
3.1.8　狀態(tài)碼　33
3.1.9　HTTPS　34
3.1.10　HTTP代理　35
3.1.11　HTTP身份驗證　35
3.2　Web功能　36
3.2.1　服務(wù)器端功能　36
3.2.2　客戶端功能　40
3.2.3　狀態(tài)與會話　46
3.3　編碼方案　47
3.3.1　URL編碼　47
3.3.2　Unicode編碼　48
3.3.3　HTML編碼　48
3.3.4　Base64編碼　49
3.3.5　十六進制編碼　49
3.3.6　遠(yuǎn)程和序列化框架　49
3.4　下一步　50
3.5　問題　50
第4章　解析應(yīng)用程序　51
4.1　枚舉內(nèi)容與功能　51
4.1.1　Web抓取　51
4.1.2　用戶指定的抓取　54
4.1.3　發(fā)現(xiàn)隱藏的內(nèi)容　56
4.1.4　應(yīng)用程序頁面與功能路徑　67
4.1.5　發(fā)現(xiàn)隱藏的參數(shù)　69
4.2　分析應(yīng)用程序　69
4.2.1　確定用戶輸入入口點　70
4.2.2　確定服務(wù)器端技術(shù)　72
4.2.3　確定服務(wù)器端功能　76
4.2.4　解析受攻擊面　79
4.2.5　解析Extreme Internet Shopping應(yīng)用程序　80
4.3　小結(jié)　81
4.4　問題　82
第5章　避開客戶端控件　83
5.1　通過客戶端傳送數(shù)據(jù)　83
5.1.1　隱藏表單字段　84
5.1.2　HTTP cookie　86
5.1.3　URL參數(shù)　86
5.1.4　Referer消息頭　86
5.1.5　模糊數(shù)據(jù)　88
5.1.6　ASP.NET ViewState　89
5.2　收集用戶數(shù)據(jù)：HTML表單　91
5.2.1　長度限制　91
5.2.2　基于腳本的確認(rèn)　93
5.2.3　禁用的元素　94
5.3　收集用戶數(shù)據(jù)：瀏覽器擴展　95
5.3.1　常見的瀏覽器擴展技術(shù)　96
5.3.2　攻擊瀏覽器擴展的方法　97
5.3.3　攔截瀏覽器擴展的流量　97
5.3.4　反編譯瀏覽器擴展　100
5.3.5　附加調(diào)試器　109
5.3.6　本地客戶端組件　111
5.4　安全處理客戶端數(shù)據(jù)　112
5.4.1　通過客戶端傳送數(shù)據(jù)　112
5.4.2　確認(rèn)客戶端生成的數(shù)據(jù)　112
5.4.3　日志與警報　113
5.5　小結(jié)　114
5.6　問題　114
第6章　攻擊驗證機制　115
6.1　驗證技術(shù)　115
6.2　驗證機制設(shè)計缺陷　116
6.2.1　密碼保密性不強　116
6.2.2　蠻力攻擊登錄　117
6.2.3　詳細(xì)的失敗消息　120
6.2.4　證書傳輸易受攻擊　122
6.2.5　密碼修改功能　124
6.2.6　忘記密碼功能　125
6.2.7　“記住我”功能　127
6.2.8　用戶偽裝功能　129
6.2.9　證書確認(rèn)不完善　131
6.2.10　非唯一性用戶名　131
6.2.11　可預(yù)測的用戶名　132
6.2.12　可預(yù)測的初始密碼　133
6.2.13　證書分配不安全　133
6.3　驗證機制執(zhí)行缺陷　134
6.3.1　故障開放登錄機制　134
6.3.2　多階段登錄機制中的缺陷　135
6.3.3　不安全的證書存儲　138
6.4　保障驗證機制的安全　139
6.4.1　使用可靠的證書　140
6.4.2　安全處理證書　140
6.4.3　正確確認(rèn)證書　141
6.4.4　防止信息泄露　142
6.4.5　防止蠻力攻擊　143
6.4.6　防止濫用密碼修改功能　144
6.4.7　防止濫用賬戶恢復(fù)功能　145
6.4.8　日志、監(jiān)控與通知　146
6.5　小結(jié)　146
6.6　問題　147
第7章　攻擊會話管理　148
7.1　狀態(tài)要求　148
7.2　會話令牌生成過程中的薄弱環(huán)節(jié)　151
7.2.1　令牌有一定含義　152
7.2.2　令牌可預(yù)測　153
7.2.3　加密令牌　162
7.3　會話令牌處理中的薄弱環(huán)節(jié)　170
7.3.1　在網(wǎng)絡(luò)上泄露令牌　170
7.3.2　在日志中泄露令牌　173
7.3.3　令牌—會話映射易受攻擊　175
7.3.4　會話終止易受攻擊　176
7.3.5　客戶端暴露在令牌劫持風(fēng)險之中　177
7.3.6　寬泛的cookie范圍　178
7.4　保障會話管理的安全　180
7.4.1　生成強大的令牌　181
7.4.2　在整個生命周期保障令牌的安全　182
7.4.3　日志、監(jiān)控與警報　184
7.5　小結(jié)　185
7.6　問題　185
第8章　攻擊訪問控制　187
8.1　常見漏洞　187
8.1.1　完全不受保護的功能　188
8.1.2　基于標(biāo)識符的功能　190
8.1.3　多階段功能　191
8.1.4　靜態(tài)文件　191
8.1.5　平臺配置錯誤　192
8.1.6　訪問控制方法不安全　192
8.2　攻擊訪問控制　193
8.2.1　使用不同用戶賬戶進行測試　194
8.2.2　測試多階段過程　197
8.2.3　通過有限訪問權(quán)限進行測試　199
8.2.4　測試“直接訪問方法”　201
8.2.5　測試對靜態(tài)資源的控制　202
8.2.6　測試對HTTP方法實施的限制　202
8.3　保障訪問控制的安全　203
8.4　小結(jié)　206
8.5　問題　207
第9章　攻擊數(shù)據(jù)存儲區(qū)　208
9.1　注入解釋型語言　208
9.2　注入SQL　210
9.2.1　利用一個基本的漏洞　211
9.2.2　注入不同的語句類型　213
9.2.3　查明SQL注入漏洞　216
9.2.4　“指紋”識別數(shù)據(jù)庫　219
9.2.5　UNION操作符　220
9.2.6　提取有用的數(shù)據(jù)　224
9.2.7　使用UNION提取數(shù)據(jù)　224
9.2.8　避開過濾　226
9.2.9　二階SQL注入　227
9.2.10　高級利用　229
9.2.11　SQL注入之外：擴大數(shù)據(jù)庫攻擊范圍　236
9.2.12　使用SQL注入工具　238
9.2.13　SQL語法與錯誤參考　241
9.2.14　防止SQL注入　246
9.3　注入NoSQL　249
9.4　注入XPath　250
9.4.1　破壞應(yīng)用程序邏輯　251
9.4.2　謹(jǐn)慎XPath注入　252
9.4.3　盲目XPath注入　252
9.4.4　查找XPath注入漏洞　253
9.4.5　防止XPath注入　254
9.5　注入LDAP　254
9.5.1　利用LDAP注入　255
9.5.2　查找LDAP注入漏洞　257
9.5.3　防止LDAP注入　258
9.6　小結(jié)　258
9.7　問題　258
第10章　測試后端組件　260
10.1　注入操作系統(tǒng)命令　260
10.1.1　例1：通過Perl注入　261
10.1.2　例2：通過ASP注入　262
10.1.3　通過動態(tài)執(zhí)行注入　264
10.1.4　查找OS命令注入漏洞　264
10.1.5　查找動態(tài)執(zhí)行漏洞　267
10.1.6　防止OS命令注入　268
10.1.7　防止腳本注入漏洞　268
10.2　操作文件路徑　268
10.2.1　路徑遍歷漏洞　269
10.2.2　文件包含漏洞　278
10.3　注入XML解釋器　279
10.3.1　注入XML外部實體　279
10.3.2　注入SOAP　281
10.3.3　查找并利用SOAP注入　283
10.3.4　防止SOAP注入　284
10.4　注入后端HTTP請求　284
10.4.1　服務(wù)器端HTTP重定向　285
10.4.2　HTTP參數(shù)注入　287
10.5　注入電子郵件　290
10.5.1　操縱電子郵件標(biāo)頭　290
10.5.2　SMTP命令注入　291
10.5.3　查找SMTP注入漏洞　292
10.5.4　防止SMTP注入　293
10.6　小結(jié)　294
10.7　問題　294
第11章　攻擊應(yīng)用程序邏輯　296
11.1　邏輯缺陷的本質(zhì)　296
11.2　現(xiàn)實中的邏輯缺陷　297
11.2.1　例1：征求提示　297
11.2.2　例2：欺騙密碼修改功能　298
11.2.3　例3：直接結(jié)算　299
11.2.4　例4：修改保險單　300
11.2.5　例5：入侵銀行　302
11.2.6　例6：規(guī)避交易限制　303
11.2.7　例7：獲得大幅折扣　305
11.2.8　例8：避免轉(zhuǎn)義　305
11.2.9　例9：避開輸入確認(rèn)　306
11.2.10　例10：濫用搜索功能　308
11.2.11　例11：利用調(diào)試消息　310
11.2.12　例12：與登錄機制競賽　311
11.3　避免邏輯缺陷　312
11.4　小結(jié)　313
11.5　問題　314
......
第12章　攻擊其他用戶　315
第13章　攻擊用戶：其他技巧　366
第14章　定制攻擊自動化　419
第15章　利用信息泄露　453
第16章　攻擊本地編譯型應(yīng)用程序　466
第17章　攻擊應(yīng)用程序架構(gòu)　477
第18章　攻擊Web服務(wù)器　493
第19章　查找源代碼中的漏洞　517
第20章　Web應(yīng)用程序黑客工具包　550
第21章　Web應(yīng)用程序滲透測試方法論　582
21.1　解析應(yīng)用程序內(nèi)容　584
21.1.1　搜索可見的內(nèi)容　584
21.1.2　瀏覽公共資源　585
21.1.3　發(fā)現(xiàn)隱藏的內(nèi)容　586
21.1.4　查找默認(rèn)的內(nèi)容　586
21.1.5　枚舉標(biāo)識符指定的功能　586
21.1.6　調(diào)試參數(shù)　587
21.2　分析應(yīng)用程序　587
21.2.1　確定功能　587
21.2.2　確定數(shù)據(jù)進入點　587
21.2.3　確定所使用的技術(shù)　588
21.2.4　解析受攻擊面　588
21.3　測試客戶端控件　588
21.3.1　通過客戶端傳送數(shù)據(jù)　589
21.3.2　客戶端輸入控件　589
21.3.3　測試瀏覽器擴展組件　590
21.4　測試驗證機制　592
21.4.1　了解驗證機制　592
21.4.2　測試密碼強度　593
21.4.3　測試用戶名枚舉　593
21.4.4　測試密碼猜測的適應(yīng)性　593
21.4.5　測試賬戶恢復(fù)功能　594
21.4.6　測試“記住我”功能　594
21.4.7　測試偽裝功能　594
21.4.8　測試用戶名唯一性　595
21.4.9　測試證書的可預(yù)測性　595
21.4.10　檢測不安全的證書傳輸　595
21.4.11　檢測不安全的證書分配　596
21.4.12　測試不安全的存儲　596
21.4.13　測試邏輯缺陷　596
21.4.14　利用漏洞獲取未授權(quán)訪問　597
21.5　測試會話管理機制　598
21.5.1　了解會話管理機制　598
21.5.2　測試令牌的含義　599
21.5.3　測試令牌的可預(yù)測性　599
21.5.4　檢查不安全的令牌傳輸　600
21.5.5　檢查在日志中泄露的令牌　600
21.5.6　測試令牌?會話映射　601
21.5.7　測試會話終止　601
21.5.8　測試會話固定　602
21.5.9　檢查CSRF　602
21.5.10　檢查cookie范圍　602
21.6　測試訪問控件　603
21.6.1　了解訪問控制要求　603
21.6.2　使用多個賬戶測試　604
21.6.3　使用有限的權(quán)限測試　604
21.6.4　測試不安全的訪問控制方法　605
21.7　測試基于輸入的漏洞　605
21.7.1　模糊測試所有請求參數(shù)　605
21.7.2　測試SQL注入　607
21.7.3　測試XSS和其他響應(yīng)注入　609
21.7.4　測試OS命令注入　611
21.7.5　測試路徑遍歷　612
21.7.6　測試腳本注入　613
21.7.7　測試文件包含　613
21.8　測試特殊功能方面的輸入漏洞　613
21.8.1　測試SMTP注入　614
21.8.2　測試本地代碼漏洞　614
21.8.3　測試SOAP注入　616
21.8.4　測試LDAP注入　616
21.8.5　測試XPath注入　617
21.8.6　測試后端請求注入　617
21.8.7　測試XXE注入　617
21.9　測試邏輯缺陷　618
21.9.1　確定關(guān)鍵的受攻擊面　618
21.9.2　測試多階段過程　618
21.9.3　測試不完整的輸入　619
21.9.4　測試信任邊界　619
21.9.5　測試交易邏輯　619
21.10　測試共享主機漏洞　620
21.10.1　測試共享基礎(chǔ)架構(gòu)之間的隔離　620
21.10.2　測試使用ASP主機的應(yīng)用程序之間的隔離　620
21.11　測試Web服務(wù)器漏洞　621
21.11.1　測試默認(rèn)證書　621
21.11.2　測試默認(rèn)內(nèi)容　621
21.11.3　測試危險的HTTP方法　622
21.11.4　測試代理功能　622
21.11.5　測試虛擬主機配置不當(dāng)　622
21.11.6　測試Web服務(wù)器軟件漏洞　622
21.11.7　測試Web應(yīng)用程序防火墻　623
21.12　其他檢查　623
21.12.1　測試基于DOM的攻擊　624
21.12.2　測試本地隱私漏洞　624
21.12.3　測試脆弱的SSL加密算法　625
21.12.4　檢查同源策略配置　625
21.13　檢查信息泄露

作者: 106721 時間: 2019-7-13 14:59

show0p 發(fā)表于 2019-7-12 22:06
鏈接：https://pan.baidu.com/s/1twmGjzqH7QQnre8W5U9TZg
提取碼：iiam
復(fù)制這段內(nèi)容后打開百度網(wǎng)盤手 ...

xiexiexiexie謝

作者: 7777777 時間: 2021-6-16 20:06
1111