当前位置:首页 > 信息安全 >
《Web安全防护指南:基础篇》电子书封面

Web安全防护指南:基础篇

  • 发布时间:2019年08月05日 09:48:15
  • 作者:蔡晶晶
  • 大小:225.2 MB
  • 类别:Web安全电子书
  • 格式:PDF
  • 版本:完整影印版
  • 评分:7.3

    Web安全防护指南:基础篇 PDF 完整影印版

      给大家带来的一篇关于Web安全相关的电子书资源,介绍了关于Web安全、安全防护方面的内容,本书是由机械工业出版社出版,格式为PDF,资源大小225.2 MB,蔡晶晶编写,目前豆瓣、亚马逊、当当、京东等电子书综合评分为:7.1。

      内容介绍

      Web安全防护指南:基础篇 PDF

      web安全与防护技术是当今安全界关心的网络热点,这书试着对于各种系统漏洞的功防技术开展系统化梳理,从系统漏洞的基本原理到总体功防技术演变全过程开展详尽解读,进而产生对系统漏洞和web安全的系统化的了解。这书包含5个一部分,一部分为基本知识,这种专业知识对Web功防技术了解拥有巨大协助。其次一部分重中之重解读各种基础系统漏洞的基本原理及功防技术抵抗方式,并对于个系统漏洞的测试标准及防护构思开展梳理。最后一部分重中之重解读Web运用的业务逻辑方面安全,但因为各种Web运用的不一样,因而重中之重根据Web运用的用户服务作用下手,解读在客户管理权限的获得、分派、运用层面的各类关键点难题。第三一部分从Web运用总体角度出示功防抵抗全过程中的技术细节,这在具体运维管理全过程中有挺大的功效。第5一部分详细介绍Web安全防范服务体系的基础方式,包括普遍的防护机器设备、Web防护管理体系提议、渗透测试方式及迅速编码财务审计实践活动,深层次掌握在Web安全防范管理体系中的各一部分基本內容及进行方法。

      目录

      • 第一部分 基础知识
      • 第1章 Web安全基础 2
      • 1.1 Web安全的核心问题 2
      • 1.2 HTTP协议概述 5
      • 1.2.1 HTTP请求头的内容 6
      • 1.2.2 HTTP协议响应头的内容 9
      • 1.2.3 URL的基本格式 11
      • 1.3 HTTPS协议的安全性分析 12
      • 1.3.1 HTTPS协议的基本概念 13
      • 1.3.2 HTTPS认证流程 14
      • 1.3.3 HTTPS协议的特点总结 16
      • 1.4 Web应用中的编码与加密 16
      • 1.4.1 针对字符的编码 16
      • 1.4.2 传输过程的编码 18
      • 1.4.3 Web系统中的加密措施 20
      • 1.5 本章小结 22
      • 第二部分 网络攻击的基本防护方法
      • 第2章 XSS攻击 24
      • 2.1 XSS攻击的原理 24
      • 2.2 XSS攻击的分类 25
      • 2.2.1 反射型XSS 26
      • 2.2.2 存储型XSS 26
      • 2.2.3 基于DOM的XSS 26
      • 2.3 XSS攻击的条件 26
      • 2.4 漏洞测试的思路 27
      • 2.4.1 基本测试流程 28
      • 2.4.2 XSS进阶测试方法 30
      • 2.4.3 测试流程总结 40
      • 2.5 XSS攻击的利用方式 40
      • 2.5.1 窃取Cookie 40
      • 2.5.2 网络钓鱼 42
      • 2.5.3 窃取客户端信息 44
      • 2.6 XSS漏洞的标准防护方法 45
      • 2.6.1 过滤特殊字符 45
      • 2.6.2 使用实体化编码 50
      • 2.6.3 HttpOnly 52
      • 2.7 本章小结 52
      • 第3章 请求伪造漏洞与防护 53
      • 3.1 CSRF攻击 54
      • 3.1.1 CSRF漏洞利用场景 58
      • 3.1.2 针对CSRF的防护方案 58
      • 3.1.3 CSRF漏洞总结 61
      • 3.2 SSRF攻击 61
      • 3.2.1 SSRF漏洞利用场景 62
      • 3.2.2 针对SSRF的防护方案 65
      • 3.2.3 SSRF漏洞总结 66
      • 3.3 本章小结 66
      • 第4章 SQL注入 67
      • 4.1 SQL注入攻击的原理 67
      • 4.2 SQL注入攻击的分类 72
      • 4.3 回显注入攻击的流程 72
      • 4.3.1 SQL手工注入的思路 73
      • 4.3.2 寻找注入点 73
      • 4.3.3 通过回显位确定字段数 74
      • 4.3.4 注入并获取数据 76
      • 4.4 盲注攻击的流程 78
      • 4.4.1 寻找注入点 79
      • 4.4.2 注入获取基本信息 81
      • 4.4.3 构造语句获取数据 84
      • 4.5 常见防护手段及绕过方式 86
      • 4.5.1 参数类型检测及绕过 86
      • 4.5.2 参数长度检测及绕过 88
      • 4.5.3 危险参数过滤及绕过 90
      • 4.5.4 针对过滤的绕过方式汇总 95
      • 4.5.5 参数化查询 99
      • 4.5.6 常见防护手段总结 100
      • 4.6 本章小结 101
      • 第5章 文件上传攻击 102
      • 5.1 上传攻击的原理 103
      • 5.2 上传的标准业务流程 103
      • 5.3 上传攻击的条件 106
      • 5.4 上传检测绕过技术 107
      • 5.4.1 客户端JavaScript检测及绕过 107
      • 5.4.2 服务器端MIME检测及绕过 110
      • 5.4.3 服务器端文件扩展名检测及绕过 113
      • 5.4.4 服务器端文件内容检测及绕过 118
      • 5.4.5 上传流程安全防护总结 122
      • 5.5 文件解析攻击 123
      • 5.5.1 .htaccess攻击 123
      • 5.5.2 Web服务器解析漏洞攻击 125
      • 5.6 本章小结 127
      • 第6章 Web木马的原理 128
      • 6.1 Web木马的特点 129
      • 6.2 一句话木马 130
      • 6.2.1 一句话木马的原型 130
      • 6.2.2 一句话木马的变形技巧 131
      • 6.2.3 安全建议 135
      • 6.3 小马与大马 136
      • 6.3.1 文件操作 137
      • 6.3.2 列举目录 139
      • 6.3.3 端口扫描 139
      • 6.3.4 信息查看 140
      • 6.3.5 数据库操作 142
      • 6.3.6 命令执行 143
      • 6.3.7 批量挂马 144
      • 6.4 本章小结 145
      • 第7章 文件包含攻击 146
      • 7.1 漏洞原理 146
      • 7.2 服务器端功能实现代码 147
      • 7.3 漏洞利用方式 148
      • 7.3.1 上传文件包含 148
      • 7.3.2 日志文件包含 148
      • 7.3.3 敏感文件包含 150
      • 7.3.4 临时文件包含 151
      • 7.3.5 PHP封装协议包含 151
      • 7.3.6 利用方式总结 151
      • 7.4 防护手段及对应的绕过方式 152
      • 7.4.1 文件名验证 152
      • 7.4.2 路径限制 154
      • 7.4.3 中间件安全配置 156
      • 7.5 本章小结 158
      • 第8章 命令执行攻击与防御 159
      • 8.1 远程命令执行漏洞 159
      • 8.1.1 利用系统函数实现远程命令
      • 执行 159
      • 8.1.2 利用漏洞获取webshell 163
      • 8.2 系统命令执行漏洞 167
      • 8.3 有效的防护方案 169
      • 8.3.1 禁用部分系统函数 169
      • 8.3.2 严格过滤关键字符 169
      • 8.3.3 严格限制允许的参数类型 169
      • 8.4 本章小结 170
      • 第三部分 业务逻辑安全
      • 第9章 业务逻辑安全风险存在的前提 172
      • 9.1 用户管理的基本内容 173
      • 9.2 用户管理涉及的功能 174
      • 9.3 用户管理逻辑的漏洞 175
      • 9.4 本章小结 176
      • 第10章 用户管理功能的实现 177
      • 10.1 客户端保持方式 177
      • 10.1.1 Cookie 178
      • 10.1.2 Session 179
      • 10.1.3 特定应用环境实例 180
      • 10.2 用户基本登录功能实现及安全情况分析 186
      • 10.3 本章小结 189
      • 第11章 用户授权管理及安全分析 190
      • 11.1 用户注册阶段安全情况 191
      • 11.1.1 用户重复注册 191
      • 11.1.2 不校验用户注册数据 192
      • 11.1.3 无法阻止的批量注册 193
      • 11.2 用户登录阶段的安全情况 194
      • 11.2.1 明文传输用户名/密码 194
      • 11.2.2 用户凭证(用户名/密码)可被暴力破解 198
      • 11.2.3 万能密码 199
      • 11.2.4 登录过程中的安全问题及防护手段汇总 202
      • 11.3 密码找回阶段的安全情况 203
      • 11.3.1 验证步骤可跳过 204
      • 11.3.2 平行

      学习笔记

      Web安全之XSS攻击与防御小结

      Web安全之XSS攻防 1. XSS的定义 跨站脚本攻击(Cross Site Scripting),缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 2. XSS的原理 攻击者对含有漏洞的服务器发起XSS攻击(注入JS代码)。 诱使受害者打开受到攻击的服务器URL。 受害者在Web浏览器中打开URL,恶意脚本执行。 3. XSS的攻击方式 (1)反射型: 发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS随响应内容一起返回给浏览器,最后浏览器解析执行XSS代码,这个过程就像一次发射,所以叫反射型XSS。 (2)存储型: 存储型……

      浅谈webpack SplitChunksPlugin实用指南

      提到前端打包工具,毫无疑问想先到的是webpack。但是前端发展地很快,时不时会有新东西出现,打包工具这边之前也出现parcel和rollup。各种工具的碰撞,相互汲取优点,促进技术的发展。 webpack4中支持了零配置的特性,同时对块打包也做了优化, CommonsChunkPlugin 已经被移除了,现在是使用 optimization.splitChunks 代替。 下面就开始介绍splitChunks的内容。 默认情况 首先webpack会根据下述条件自动进行代码块分割: 新代码块可以被共享引用,或者这些模块都是来自node_modules文件夹里面 新代码块大于30kb(min+gziped之前的体积) 按需加载的代码块,并行请求最大数量应该小于或者等于5 初始加载的代码块,并行请求……

      详解webpack4升级指南以及从webpack3.x迁移

      几天前webpack发布了新版本v4.0.0,其中做了很多改动,包括0配置以及移除了CommonsChunkPlugin等。由此而来的还有之前webpack3.x的项目如何迁移到新的webpack版本,本文就一个新的vue-cli创建的基于webpack的项目进行迁移。 题外话:不要看0配置是很有噱头,基本是不能满足大部分用户啊的需求,不过加入了更多的默认配置确实也方便了用户,配置相对简单,是一种开箱即用的方式。毕竟之前parcel的0配置确实抢了很多webpack的风头,然后也去弄了一下parcel使用parcel+vue的简单模版工程,有兴趣可以看一下。 一、webpack4的新东西 0. 安装 不在只安装 webpack 即可,还需要安装一个 webpack-cli : 全局安装 sudo npm install -g we……

      Vue项目从webpack3.x升级webpack4不完全指南

      前段时间,泡面将自己的一个Vue-cli构建的前端框架从webpack3.x升级到了4.x版本,现在才拉出来记录一下,已备忘之用,也和大家分享一下,以免大家采坑。 原先的环境 项目原先通过Vue-cli 2.9.3 版本构建,原先使用的webpack 3.x版本 首先需要对基础包进行更新(package.json) webpack 更新到4.x版本,泡面这里更新到了4.28.3 更新webpack-dev-server,泡面更新到了3.1.14版本, 安装webpack-cli,泡面安装的是3.2.1版本 除了上面的这几个,还需要更新下面几个: vue-loader 泡面直接升级到了15版本, eslint-loader 升级到了1.7.1,这个当时在做启动的时候提示了一些错误,所以索性也就升级了. happypack, 泡面使用了多线程加速,所以这个也必须……

      以上就是本次介绍的Web安全电子书的全部相关内容,希望我们整理的资源能够帮助到大家,感谢大家对码农之家的支持。

      上一篇:黑客攻防从入门到精通:Web技术实战篇

      下一篇:NIO与Socket编程技术指南

      展开 +

      收起 -

      • 《Web安全防护指南:基础篇》PDF下载

      下载地址:百度网盘下载
      Web安全相关电子书
      Web攻防之业务安全实战指南
      Web攻防之业务安全实战指南 清晰完整版

      本书讲解了常见的Web安全漏洞——业务安全漏洞,对常见业务安全漏洞进行梳理,总结出了全面、详细的适用于电商、银行、金融、证券、保险、游戏、社交、招聘等业务系统的测试理论、工具、方法及案例

      立即下载
      Web安全之强化学习与GAN
      Web安全之强化学习与GAN 原书完整版

      本书介绍强化学习和生成对抗网络的基础知识和实际应用,特别是在安全领域中攻防建设的实际应用,包含基于机器学习的恶意程序识别技术、AI安全的攻防知识、强化学习等知识

      立即下载
      Web安全之深度学习实战
      Web安全之深度学习实战 高质量扫描版

      本书师零基础学习智能化Web安全技术、AI+安全力作,先介绍如何打造自己的TensorFlow、TFLearn等深度学习工具箱,着重介绍在生产环境搭建深度学习平台需要使用的开源组件,讲解了11个使用机器学习技术解决实际安全问题的案例

      立即下载
      Android应用安全防护和逆向分析
      Android应用安全防护和逆向分析 扫描版

      本书全面介绍Android应用的安全防护方法与逆向分析技术,本书有非常详细的案例讲解,也提供了大量的工具源码,是Android开发人员逆向学习研究的极好工具手册,可以帮助Android开发者成为更全

      立即下载
      白帽子讲浏览器安全
      白帽子讲浏览器安全 完整扫描版

      浏览器是重要的互联网入口,一旦受到漏洞攻击,将直接影响到用户的信息安全。作为攻击者有哪些攻击思路,作为用户有哪些应对手段?在《 白帽子讲浏览器安全 》中我们将给出解答,带你

      立即下载
      密码编码学与网络安全
      密码编码学与网络安全 第6版

      本书系统介绍了密码编码学与网络安全的基本原理和应用技术。全书的内容分为以下七个部分:对称密码部分讨论了对称加密的算法和设计原则;公钥密码部分讨论了公钥密码的算法和设计原

      立即下载
      读者留言
      deepdeepwhite

      deepdeepwhite 提供上传

      资源
      42
      粉丝
      8
      喜欢
      167
      评论
      8

      Copyright 2018-2020 www.xz577.com 码农之家

      版权投诉 / 书籍推广 / 赞助:520161757@qq.com