Web安全手冊(cè)（黑客札記）

定　價(jià)：￥28.00

作　者：	（美）Mike Shema著；謝文亮，馬睿倩譯
出版社：	清華大學(xué)出版社
叢編項(xiàng)：
標(biāo)　簽：	網(wǎng)絡(luò)安全

購(gòu)買(mǎi)這本書(shū)可以去

ISBN：	9787302116141	出版時(shí)間：	2005-09-01	包裝：	平裝
開(kāi)本：	23cm	頁(yè)數(shù)：	199	字?jǐn)?shù)：

內(nèi)容簡(jiǎn)介

　　《黑客札記》叢書(shū)之《Web安全手冊(cè)》描述了威脅現(xiàn)今Web應(yīng)用程序的黑客技術(shù)和漏洞，并且提供了各種防御方法。確定漏洞是否存在，然后進(jìn)行攻擊，并通過(guò)一系列確鑿可信的反黑方法、最佳實(shí)踐和代碼級(jí)別的技術(shù)來(lái)克服程序弱點(diǎn)。本書(shū)中間部分的“參考中心”可用來(lái)查閱安全命令、輸入驗(yàn)證檢查表、替換編碼表、在線資源，SQL注入提示和程序測(cè)試方法等等。在數(shù)秒內(nèi)從特設(shè)的32頁(yè)“參考中心”找到關(guān)鍵信息配置安全的Web服務(wù)器并編寫(xiě)安全的Web應(yīng)用程序學(xué)會(huì)并理解程序巡查和滲透方法防止程序數(shù)據(jù)被非法訪問(wèn) 建立嚴(yán)格的政策、程序和服務(wù) 在Web服務(wù)器日志文件中追蹤程序攻擊的證據(jù) 封堵系統(tǒng)平臺(tái)和Web應(yīng)用程序的漏洞掌握處理會(huì)話劫持、SQL注入等攻擊的可用工具減少ASP、PHP、JAVA和Perl編程中的程序缺陷通過(guò)徹底的日志分析識(shí)別基于Web的攻擊作者簡(jiǎn)介：Mike Shema是Foundstone安全咨詢(xún)公司的首席顧問(wèn)和培訓(xùn)員。他是Hacking Exposed Web Applications和Anti-Hacker Tool Kit的其中一位作者，并且是《應(yīng)急響應(yīng)》（由清華大學(xué)出版社引進(jìn)出版）的技術(shù)評(píng)論。他做過(guò)網(wǎng)絡(luò)和Web應(yīng)用程序的安全評(píng)估工作。叢書(shū)編輯簡(jiǎn)介：Mike Horton是Foundstone公司的信息系統(tǒng)安全顧問(wèn)，他有超過(guò)十年的企業(yè)、政府和計(jì)算機(jī)網(wǎng)絡(luò)安全的綜合經(jīng)驗(yàn)。他是《黑客札記》叢書(shū)的策劃人，是本套叢書(shū)中《網(wǎng)絡(luò)安全手冊(cè)》的主要作者，并且是Enigma Server（www.enigmasever.com）安全研究的開(kāi)拓者。

作者簡(jiǎn)介

　　MikeShema是Foundstone公司的首席顧問(wèn)，他為很多客戶(hù)進(jìn)行了幾十項(xiàng)Web應(yīng)用安全的評(píng)審，其中包括《財(cái)富》100強(qiáng)公司、金融機(jī)構(gòu)以及大型軟件開(kāi)發(fā)公司。Mike有一套在大量Web應(yīng)用平臺(tái)上現(xiàn)場(chǎng)測(cè)試過(guò)的方法論，同時(shí)他還開(kāi)發(fā)了一些自動(dòng)化多方位測(cè)試的支持工具。Mike發(fā)現(xiàn)商務(wù)Web軟件中的漏洞。Mike還為SecurityFocus及DevX撰寫(xiě)Web服務(wù)器安全方面的技術(shù)專(zhuān)欄，他還作為合著者把自己的安全經(jīng)驗(yàn)應(yīng)用到HackingExposed：WebApplicationsandTheAnti-HackerToolkit一書(shū)中。在空余時(shí)間，Mike熱衷于RPG游戲。Mike獲得了Peen州立大學(xué)的電子工程學(xué)及法語(yǔ)學(xué)學(xué)士學(xué)位。MikeShema的聯(lián)系方式是mike@webhackingexposed.com。

圖書(shū)目錄

第一部分黑客技術(shù)與防御
第1章 Web攻擊和滲透方法論3
1.1 威脅和安全漏洞4
1.2 勾畫(huà)平臺(tái)輪廓5
1.3 勾畫(huà)應(yīng)用程序輪廓10
1.4 小結(jié)22
第2章關(guān)鍵的黑客攻擊與防御23
2.1 一般的輸入驗(yàn)證25
2.1.1 常用途徑26
2.1.2 源代碼泄露28
2.2 字符編碼29
2.2.1 URL編碼（轉(zhuǎn)義字符）29
2.2.2 Unicode30
2.3 其他的請(qǐng)求方法32
2.4 SQL注入33
2.4.1 Microsoft SQL Server40
2.4.2 Oracle43
2.4.3 MySQL45
2.4.4 PostgreSQL47
2.4.5 博采眾家之長(zhǎng)48
2.5 跨站腳本49
2.6 令牌分析512.6.1查找令牌51
2.6.2 編碼與加密52
2.6.3 模式分析56
2.7 會(huì)話攻擊57
2.8 基于XML的服務(wù)64
2.9 應(yīng)用程序的基本防范66
2.10 輸入驗(yàn)證66
2.11 小結(jié)73
第二部分主機(jī)評(píng)估及安全性強(qiáng)化
第3章平臺(tái)評(píng)估方法77
3.1 漏洞掃描器78
3.1.1 Whisker及LibWhisker78
3.1.2 Nikto80
3.1.3 Nessus83
3.2 評(píng)估工具87
3.2.1 Achilles 88
3.2.2 WebProxy 2.189
3.2.3 Curl93
3.3 重播請(qǐng)求96
3.4 小結(jié)100
第4章評(píng)估與加固核對(duì)表101
4.1 Web服務(wù)器概述102
4.2 Apache103
4.2.1 編譯時(shí)選項(xiàng)104
4.2.2 配置文件：httpdconf109
4.3 IIS112
4.3.1 Adsutilvbs及Metabase113
4.3.2 賬戶(hù)114
4.3.3 文件安全性115
4.3.4 日志記錄118
4.3.5 IIS鎖定工具（iislockdexe）1194.4小結(jié)120
第三部分專(zhuān)題
第5章 Web服務(wù)器安全與分析123
5.1 WEB服務(wù)器日志分析124
5.2 代理服務(wù)器131
5.3 負(fù)載均衡器133
5.4 攻擊范圍135
5.4.1 對(duì)文件系統(tǒng)進(jìn)行的讀取或?qū)懭朐L問(wèn)135
5.4.2 執(zhí)行任意命令135
5.5 小結(jié)141
第6章安全編碼143
6.1 安全程序設(shè)計(jì)144
6.2 和語(yǔ)言相關(guān)的問(wèn)題148
6.2.1 Java148
6.2.2 ASP150
6.2.3 Perl151
6.2.4 PHP152
6.3 小結(jié)153
附錄
附錄A 7位ASCII引用157
附錄B WebGoat165
B.1 安裝WebGoat166
B.2 使用WebGoat167
參考中心
應(yīng)用程序評(píng)估方法核對(duì)表173
HTTP協(xié)議說(shuō)明179
輸入驗(yàn)證測(cè)試182
常見(jiàn)Web端口和應(yīng)用程序185
命令技術(shù)一覽187應(yīng)用程序默認(rèn)賬戶(hù)及配置文件191
Google關(guān)鍵詞搜索192
IIS Metabase設(shè)置及建議193
在線參考198
有用工具199