标签分类
当前位置:首页 > 信息安全电子书 > Web安全电子书网盘下载
Web安全防护指南:基础篇 Web安全防护指南:基础篇
deepdeepwhite

deepdeepwhite 提供上传

资源
23
粉丝
24
喜欢
4
评论
10

    Web安全防护指南:基础篇 PDF 完整影印版

    Web安全电子书
    • 发布时间:

    给大家带来的一篇关于Web安全相关的电子书资源,介绍了关于Web安全、安全防护方面的内容,本书是由机械工业出版社出版,格式为PDF,资源大小225.2 MB,蔡晶晶编写,目前豆瓣、亚马逊、当当、京东等电子书综合评分为:8.5,更多相关的学习资源可以参阅 信息安全电子书、等栏目。

  • Web安全防护指南:基础篇 PDF 下载
  • 下载地址:https://pan.baidu.com/s/1Ghc1x1dTdXc1g33WG5TI8Q
  • 分享码:nvb6
  • Web安全防护指南:基础篇 PDF

    web安全与防护技术是当今安全界关心的网络热点,这书试着对于各种系统漏洞的功防技术开展系统化梳理,从系统漏洞的基本原理到总体功防技术演变全过程开展详尽解读,进而产生对系统漏洞和web安全的系统化的了解。这书包含5个一部分,一部分为基本知识,这种专业知识对Web功防技术了解拥有巨大协助。其次一部分重中之重解读各种基础系统漏洞的基本原理及功防技术抵抗方式,并对于个系统漏洞的测试标准及防护构思开展梳理。最后一部分重中之重解读Web运用的业务逻辑方面安全,但因为各种Web运用的不一样,因而重中之重根据Web运用的用户服务作用下手,解读在客户管理权限的获得、分派、运用层面的各类关键点难题。第三一部分从Web运用总体角度出示功防抵抗全过程中的技术细节,这在具体运维管理全过程中有挺大的功效。第5一部分详细介绍Web安全防范服务体系的基础方式,包括普遍的防护机器设备、Web防护管理体系提议、渗透测试方式及迅速编码财务审计实践活动,深层次掌握在Web安全防范管理体系中的各一部分基本內容及进行方法。

    目录

    • 第一部分 基础知识
    • 第1章 Web安全基础 2
    • 1.1 Web安全的核心问题 2
    • 1.2 HTTP协议概述 5
    • 1.2.1 HTTP请求头的内容 6
    • 1.2.2 HTTP协议响应头的内容 9
    • 1.2.3 URL的基本格式 11
    • 1.3 HTTPS协议的安全性分析 12
    • 1.3.1 HTTPS协议的基本概念 13
    • 1.3.2 HTTPS认证流程 14
    • 1.3.3 HTTPS协议的特点总结 16
    • 1.4 Web应用中的编码与加密 16
    • 1.4.1 针对字符的编码 16
    • 1.4.2 传输过程的编码 18
    • 1.4.3 Web系统中的加密措施 20
    • 1.5 本章小结 22
    • 第二部分 网络攻击的基本防护方法
    • 第2章 XSS攻击 24
    • 2.1 XSS攻击的原理 24
    • 2.2 XSS攻击的分类 25
    • 2.2.1 反射型XSS 26
    • 2.2.2 存储型XSS 26
    • 2.2.3 基于DOM的XSS 26
    • 2.3 XSS攻击的条件 26
    • 2.4 漏洞测试的思路 27
    • 2.4.1 基本测试流程 28
    • 2.4.2 XSS进阶测试方法 30
    • 2.4.3 测试流程总结 40
    • 2.5 XSS攻击的利用方式 40
    • 2.5.1 窃取Cookie 40
    • 2.5.2 网络钓鱼 42
    • 2.5.3 窃取客户端信息 44
    • 2.6 XSS漏洞的标准防护方法 45
    • 2.6.1 过滤特殊字符 45
    • 2.6.2 使用实体化编码 50
    • 2.6.3 HttpOnly 52
    • 2.7 本章小结 52
    • 第3章 请求伪造漏洞与防护 53
    • 3.1 CSRF攻击 54
    • 3.1.1 CSRF漏洞利用场景 58
    • 3.1.2 针对CSRF的防护方案 58
    • 3.1.3 CSRF漏洞总结 61
    • 3.2 SSRF攻击 61
    • 3.2.1 SSRF漏洞利用场景 62
    • 3.2.2 针对SSRF的防护方案 65
    • 3.2.3 SSRF漏洞总结 66
    • 3.3 本章小结 66
    • 第4章 SQL注入 67
    • 4.1 SQL注入攻击的原理 67
    • 4.2 SQL注入攻击的分类 72
    • 4.3 回显注入攻击的流程 72
    • 4.3.1 SQL手工注入的思路 73
    • 4.3.2 寻找注入点 73
    • 4.3.3 通过回显位确定字段数 74
    • 4.3.4 注入并获取数据 76
    • 4.4 盲注攻击的流程 78
    • 4.4.1 寻找注入点 79
    • 4.4.2 注入获取基本信息 81
    • 4.4.3 构造语句获取数据 84
    • 4.5 常见防护手段及绕过方式 86
    • 4.5.1 参数类型检测及绕过 86
    • 4.5.2 参数长度检测及绕过 88
    • 4.5.3 危险参数过滤及绕过 90
    • 4.5.4 针对过滤的绕过方式汇总 95
    • 4.5.5 参数化查询 99
    • 4.5.6 常见防护手段总结 100
    • 4.6 本章小结 101
    • 第5章 文件上传攻击 102
    • 5.1 上传攻击的原理 103
    • 5.2 上传的标准业务流程 103
    • 5.3 上传攻击的条件 106
    • 5.4 上传检测绕过技术 107
    • 5.4.1 客户端JavaScript检测及绕过 107
    • 5.4.2 服务器端MIME检测及绕过 110
    • 5.4.3 服务器端文件扩展名检测及绕过 113
    • 5.4.4 服务器端文件内容检测及绕过 118
    • 5.4.5 上传流程安全防护总结 122
    • 5.5 文件解析攻击 123
    • 5.5.1 .htaccess攻击 123
    • 5.5.2 Web服务器解析漏洞攻击 125
    • 5.6 本章小结 127
    • 第6章 Web木马的原理 128
    • 6.1 Web木马的特点 129
    • 6.2 一句话木马 130
    • 6.2.1 一句话木马的原型 130
    • 6.2.2 一句话木马的变形技巧 131
    • 6.2.3 安全建议 135
    • 6.3 小马与大马 136
    • 6.3.1 文件操作 137
    • 6.3.2 列举目录 139
    • 6.3.3 端口扫描 139
    • 6.3.4 信息查看 140
    • 6.3.5 数据库操作 142
    • 6.3.6 命令执行 143
    • 6.3.7 批量挂马 144
    • 6.4 本章小结 145
    • 第7章 文件包含攻击 146
    • 7.1 漏洞原理 146
    • 7.2 服务器端功能实现代码 147
    • 7.3 漏洞利用方式 148
    • 7.3.1 上传文件包含 148
    • 7.3.2 日志文件包含 148
    • 7.3.3 敏感文件包含 150
    • 7.3.4 临时文件包含 151
    • 7.3.5 PHP封装协议包含 151
    • 7.3.6 利用方式总结 151
    • 7.4 防护手段及对应的绕过方式 152
    • 7.4.1 文件名验证 152
    • 7.4.2 路径限制 154
    • 7.4.3 中间件安全配置 156
    • 7.5 本章小结 158
    • 第8章 命令执行攻击与防御 159
    • 8.1 远程命令执行漏洞 159
    • 8.1.1 利用系统函数实现远程命令
    • 执行 159
    • 8.1.2 利用漏洞获取webshell 163
    • 8.2 系统命令执行漏洞 167
    • 8.3 有效的防护方案 169
    • 8.3.1 禁用部分系统函数 169
    • 8.3.2 严格过滤关键字符 169
    • 8.3.3 严格限制允许的参数类型 169
    • 8.4 本章小结 170
    • 第三部分 业务逻辑安全
    • 第9章 业务逻辑安全风险存在的前提 172
    • 9.1 用户管理的基本内容 173
    • 9.2 用户管理涉及的功能 174
    • 9.3 用户管理逻辑的漏洞 175
    • 9.4 本章小结 176
    • 第10章 用户管理功能的实现 177
    • 10.1 客户端保持方式 177
    • 10.1.1 Cookie 178
    • 10.1.2 Session 179
    • 10.1.3 特定应用环境实例 180
    • 10.2 用户基本登录功能实现及安全情况分析 186
    • 10.3 本章小结 189
    • 第11章 用户授权管理及安全分析 190
    • 11.1 用户注册阶段安全情况 191
    • 11.1.1 用户重复注册 191
    • 11.1.2 不校验用户注册数据 192
    • 11.1.3 无法阻止的批量注册 193
    • 11.2 用户登录阶段的安全情况 194
    • 11.2.1 明文传输用户名/密码 194
    • 11.2.2 用户凭证(用户名/密码)可被暴力破解 198
    • 11.2.3 万能密码 199
    • 11.2.4 登录过程中的安全问题及防护手段汇总 202
    • 11.3 密码找回阶段的安全情况 203
    • 11.3.1 验证步骤可跳过 204
    • 11.3.2 平行

    上一篇:黑客攻防从入门到精通:Web技术实战篇  下一篇:NIO与Socket编程技术指南

    展开 +

    收起 -

    码小辫二维码
     ←点击下载即可登录

    Web安全相关电子书
    学习笔记
    网友NO.504846

    Web安全之XSS攻击与防御小结

    Web安全之XSS攻防 1. XSS的定义 跨站脚本攻击(Cross Site Scripting),缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 2. XSS的原理 攻击者对含有漏洞的服务器发起XSS攻击(注入JS代码)。 诱使受害者打开受到攻击的服务器URL。 受害者在Web浏览器中打开URL,恶意脚本执行。 3. XSS的攻击方式 (1)反射型: 发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS随响应内容一起返回给浏览器,最后浏览器解析执行XSS代码,这个过程就像一次发射,所以叫反射型XSS。 (2)存储型: 存储型XSS和反射型的XSS差别就在于,存储型的XSS提交的代码会存储在服务器端(数据库,内存,文件系统等),下次请求目标页面时不用再提交XSS代码。 4. XSS的防御措施 (1)编码:对用户输入的数据进行HTML Entity编码 (2)过滤:移除用户上传的DOM属性,如onerror等,移除用户上传的style节点,script节点,iframe节点等。 (3)校正:避免直接对HTML Entity编码,使用DOM Prase转换,校正不配对的DOM标签。 5. 应用示例 构建node应用,演示反射型XSS攻击。(Linux操作系统中) 本例子的代码地址:https://github.com/Xganying/Web-XSS (xss_test1) (1) 新建一……

    网友NO.344857

    浅谈webpack SplitChunksPlugin实用指南

    提到前端打包工具,毫无疑问想先到的是webpack。但是前端发展地很快,时不时会有新东西出现,打包工具这边之前也出现parcel和rollup。各种工具的碰撞,相互汲取优点,促进技术的发展。 webpack4中支持了零配置的特性,同时对块打包也做了优化, CommonsChunkPlugin 已经被移除了,现在是使用 optimization.splitChunks 代替。 下面就开始介绍splitChunks的内容。 默认情况 首先webpack会根据下述条件自动进行代码块分割: 新代码块可以被共享引用,或者这些模块都是来自node_modules文件夹里面 新代码块大于30kb(min+gziped之前的体积) 按需加载的代码块,并行请求最大数量应该小于或者等于5 初始加载的代码块,并行请求最大数量应该小于或等于3 块打包默认情况下只会影响按需加载模块,因为对初始块也进行优化打包会影响HTML中的script标签数,增加请求数。 接下来看些例子来理解默认情况的打包。 模块全部是同步引入 // indexA.jsimport React from 'react'import ReactDOM from 'react-dom'import _ from 'lodash'console.log(_.join(['a', 'b'], '~'))ReactDOM.render( divSplitChunk/div, document.getElementById('root')) 默认情况只会影响按需加载模块,所以所有内容全部被打包到一起了。 有模块动态导入 这里首先使用符合ECMAScript 提案 的 import() 语法 // indexA.jsimport React from 'react'import ReactDOM……

    网友NO.833886

    详解webpack4升级指南以及从webpack3.x迁移

    几天前webpack发布了新版本v4.0.0,其中做了很多改动,包括0配置以及移除了CommonsChunkPlugin等。由此而来的还有之前webpack3.x的项目如何迁移到新的webpack版本,本文就一个新的vue-cli创建的基于webpack的项目进行迁移。 题外话:不要看0配置是很有噱头,基本是不能满足大部分用户啊的需求,不过加入了更多的默认配置确实也方便了用户,配置相对简单,是一种开箱即用的方式。毕竟之前parcel的0配置确实抢了很多webpack的风头,然后也去弄了一下parcel使用parcel+vue的简单模版工程,有兴趣可以看一下。 一、webpack4的新东西 0. 安装 不在只安装 webpack 即可,还需要安装一个 webpack-cli : 全局安装 sudo npm install -g webpack webpack-cli 局部安装(当前文件夹) npm install --save-dev webpack webpack-cli 1. 0配置 默认的入口为 './src/' 和默认出口 './dist' ; 对压缩(optimization.minimize)的设置,默认在production时开启,在development时关闭。 默认配置不仅限于上述两项。 2. mode/–mode参数 新增了mode/--mode参数来表示是开发还是生产,mode有两个可选值:development和production,production不支持监听,production侧重于打包后的文件大小,development侧重于构建的速度。 webpack --mode development 也可以在配置文件中配置: // webpack.config.jsmodule.exports = { mode: "production", // ...} 3. 对uglifyjs升级……

    网友NO.649645

    Vue项目从webpack3.x升级webpack4不完全指南

    前段时间,泡面将自己的一个Vue-cli构建的前端框架从webpack3.x升级到了4.x版本,现在才拉出来记录一下,已备忘之用,也和大家分享一下,以免大家采坑。 原先的环境 项目原先通过Vue-cli 2.9.3 版本构建,原先使用的webpack 3.x版本 首先需要对基础包进行更新(package.json) webpack 更新到4.x版本,泡面这里更新到了4.28.3 更新webpack-dev-server,泡面更新到了3.1.14版本, 安装webpack-cli,泡面安装的是3.2.1版本 除了上面的这几个,还需要更新下面几个: vue-loader 泡面直接升级到了15版本, eslint-loader 升级到了1.7.1,这个当时在做启动的时候提示了一些错误,所以索性也就升级了. happypack, 泡面使用了多线程加速,所以这个也必须要升级,否则会报错,泡面更新到了5.0.1 html-webpack-plugin, 这个也需要更新,否则会提示错误,泡面这里升级到了3.2.0 除了上面几个,还需要额外下载一个: mini-css-extract-plugin, 该包是要替换掉extract-text-webpack-plugin来使用,所以后者就遗弃掉了. 接着我们修改一下 webpack.base.conf.js ,没有使用happypack的这步骤可略过... 泡面这里不知道为什么不能使用happypack来挂载 vue-loader ,否则会提示错误,所以泡面这里将原先的happypack的配置修改回了原先: ...const vueLoaderConfig = require('./vue-loader.conf')...module.exports = { ... { test: /\.vue$/, // loader: 'happypack/loader?id=happ……

    Copyright 2018-2019 xz577.com 码农之家

    版权责任说明