Web安全手冊（黑客札記）

定　價：￥28.00

作　者：	（美）Mike Shema著；謝文亮，馬睿倩譯
出版社：	清華大學(xué)出版社
叢編項(xiàng)：
標(biāo)　簽：	網(wǎng)絡(luò)安全

購買這本書可以去

ISBN：	9787302116141	出版時間：	2005-09-01	包裝：	平裝
開本：	23cm	頁數(shù)：	199	字?jǐn)?shù)：

內(nèi)容簡介

　　《黑客札記》叢書之《Web安全手冊》描述了威脅現(xiàn)今Web應(yīng)用程序的黑客技術(shù)和漏洞，并且提供了各種防御方法。確定漏洞是否存在，然后進(jìn)行攻擊，并通過一系列確鑿可信的反黑方法、最佳實(shí)踐和代碼級別的技術(shù)來克服程序弱點(diǎn)。本書中間部分的“參考中心”可用來查閱安全命令、輸入驗(yàn)證檢查表、替換編碼表、在線資源，SQL注入提示和程序測試方法等等。在數(shù)秒內(nèi)從特設(shè)的32頁“參考中心”找到關(guān)鍵信息配置安全的Web服務(wù)器并編寫安全的Web應(yīng)用程序學(xué)會并理解程序巡查和滲透方法防止程序數(shù)據(jù)被非法訪問建立嚴(yán)格的政策、程序和服務(wù) 在Web服務(wù)器日志文件中追蹤程序攻擊的證據(jù) 封堵系統(tǒng)平臺和Web應(yīng)用程序的漏洞掌握處理會話劫持、SQL注入等攻擊的可用工具減少ASP、PHP、JAVA和Perl編程中的程序缺陷通過徹底的日志分析識別基于Web的攻擊作者簡介：Mike Shema是Foundstone安全咨詢公司的首席顧問和培訓(xùn)員。他是Hacking Exposed Web Applications和Anti-Hacker Tool Kit的其中一位作者，并且是《應(yīng)急響應(yīng)》（由清華大學(xué)出版社引進(jìn)出版）的技術(shù)評論。他做過網(wǎng)絡(luò)和Web應(yīng)用程序的安全評估工作。叢書編輯簡介：Mike Horton是Foundstone公司的信息系統(tǒng)安全顧問，他有超過十年的企業(yè)、政府和計(jì)算機(jī)網(wǎng)絡(luò)安全的綜合經(jīng)驗(yàn)。他是《黑客札記》叢書的策劃人，是本套叢書中《網(wǎng)絡(luò)安全手冊》的主要作者，并且是Enigma Server（www.enigmasever.com）安全研究的開拓者。

作者簡介

　　MikeShema是Foundstone公司的首席顧問，他為很多客戶進(jìn)行了幾十項(xiàng)Web應(yīng)用安全的評審，其中包括《財富》100強(qiáng)公司、金融機(jī)構(gòu)以及大型軟件開發(fā)公司。Mike有一套在大量Web應(yīng)用平臺上現(xiàn)場測試過的方法論，同時他還開發(fā)了一些自動化多方位測試的支持工具。Mike發(fā)現(xiàn)商務(wù)Web軟件中的漏洞。Mike還為SecurityFocus及DevX撰寫Web服務(wù)器安全方面的技術(shù)專欄，他還作為合著者把自己的安全經(jīng)驗(yàn)應(yīng)用到HackingExposed：WebApplicationsandTheAnti-HackerToolkit一書中。在空余時間，Mike熱衷于RPG游戲。Mike獲得了Peen州立大學(xué)的電子工程學(xué)及法語學(xué)學(xué)士學(xué)位。MikeShema的聯(lián)系方式是mike@webhackingexposed.com。

圖書目錄

第一部分黑客技術(shù)與防御
第1章 Web攻擊和滲透方法論3
1.1 威脅和安全漏洞4
1.2 勾畫平臺輪廓5
1.3 勾畫應(yīng)用程序輪廓10
1.4 小結(jié)22
第2章關(guān)鍵的黑客攻擊與防御23
2.1 一般的輸入驗(yàn)證25
2.1.1 常用途徑26
2.1.2 源代碼泄露28
2.2 字符編碼29
2.2.1 URL編碼（轉(zhuǎn)義字符）29
2.2.2 Unicode30
2.3 其他的請求方法32
2.4 SQL注入33
2.4.1 Microsoft SQL Server40
2.4.2 Oracle43
2.4.3 MySQL45
2.4.4 PostgreSQL47
2.4.5 博采眾家之長48
2.5 跨站腳本49
2.6 令牌分析512.6.1查找令牌51
2.6.2 編碼與加密52
2.6.3 模式分析56
2.7 會話攻擊57
2.8 基于XML的服務(wù)64
2.9 應(yīng)用程序的基本防范66
2.10 輸入驗(yàn)證66
2.11 小結(jié)73
第二部分主機(jī)評估及安全性強(qiáng)化
第3章平臺評估方法77
3.1 漏洞掃描器78
3.1.1 Whisker及LibWhisker78
3.1.2 Nikto80
3.1.3 Nessus83
3.2 評估工具87
3.2.1 Achilles 88
3.2.2 WebProxy 2.189
3.2.3 Curl93
3.3 重播請求96
3.4 小結(jié)100
第4章評估與加固核對表101
4.1 Web服務(wù)器概述102
4.2 Apache103
4.2.1 編譯時選項(xiàng)104
4.2.2 配置文件：httpdconf109
4.3 IIS112
4.3.1 Adsutilvbs及Metabase113
4.3.2 賬戶114
4.3.3 文件安全性115
4.3.4 日志記錄118
4.3.5 IIS鎖定工具（iislockdexe）1194.4小結(jié)120
第三部分專題
第5章 Web服務(wù)器安全與分析123
5.1 WEB服務(wù)器日志分析124
5.2 代理服務(wù)器131
5.3 負(fù)載均衡器133
5.4 攻擊范圍135
5.4.1 對文件系統(tǒng)進(jìn)行的讀取或?qū)懭朐L問135
5.4.2 執(zhí)行任意命令135
5.5 小結(jié)141
第6章安全編碼143
6.1 安全程序設(shè)計(jì)144
6.2 和語言相關(guān)的問題148
6.2.1 Java148
6.2.2 ASP150
6.2.3 Perl151
6.2.4 PHP152
6.3 小結(jié)153
附錄
附錄A 7位ASCII引用157
附錄B WebGoat165
B.1 安裝WebGoat166
B.2 使用WebGoat167
參考中心
應(yīng)用程序評估方法核對表173
HTTP協(xié)議說明179
輸入驗(yàn)證測試182
常見Web端口和應(yīng)用程序185
命令技術(shù)一覽187應(yīng)用程序默認(rèn)賬戶及配置文件191
Google關(guān)鍵詞搜索192
IIS Metabase設(shè)置及建議193
在線參考198
有用工具199