✍ Scribed by 阅海钊李江涛 张敬刘新鹏
No coin nor oath required. For personal study only.
本书全面介绍与 Web 安全相关的常见洞的原理分析和代码分析方法。全书共 13 章,第 1章为Web 安全基础,第 2~13 章讲述与 Web 安全相关的各类常见漏洞的原理分析与代码分析,涉及 SQL注人漏洞、文件上传漏洞、文件包含漏洞、命令执行漏洞、代码执行漏洞、XSS 漏洞、SSRF 漏洞、XXE 漏洞反序列化漏洞、中间件漏洞、解析漏洞、数据库漏洞,并分析了 Web 安全的攻击和防御方式。各章均提供了思考题。
本书适合作为信息安全、网络空间安全、网络工程等相关专业的教材,也可供网络安全运维人员、网络管理人员和对网络空间安全感兴趣的读者参考。
封面
扉页
内容简介
版权页
编审委员会
出版说明
前言
目录
第1章 Web安全基础
1.1 网络安全现状
1.2 常见的Web安全漏洞
1.3 HTTP基础
1.4 Cookie和Session
1.5 Burp Suite工具
1.6 信息收集
1.7 思考题
第2章 SQL注入漏洞
2.1 SQL注入漏洞简介
2.2 数字型注入
2.3 字符型注入
2.4 My SQL注入
2.5 Oracle注入
2.6 SQLServer注入
2.7 Access注入
2.8 二次注入
2.9 自动化SQL注入工具sqlmap
2.10 SQL注入绕过
2.11 My SQL注入漏洞修复
2.12 思考题
第3章 文件上传漏洞
3.1 文件上传漏洞简介
3.2 前端JS过滤绕过
3.3 文件名过滤绕过
3.4 Content-Type过滤绕过
3.5 文件头过滤绕过
3.6 .htaccess文件上传
3.7 文件截断上传
3.8 竞争条件文件上传
3.9 文件上传漏洞修复
3.10 思考题
第4章 文件包含漏洞
4.1 文件包含漏洞简介
4.2 文件包含漏洞常见函数
4.3 文件包含漏洞示例代码分析
4.4 无限制本地文件包含漏洞
4.5 有限制本地文件包含漏洞
4.6 Session文件包含
4.7 日志文件包含
4.8 远程文件包含
4.9 PHP伪协议
4.10 文件包含漏洞修复
4.11 思考题
第5章 命令执行漏洞
5.1 命令执行漏洞简介
5.2 Windows下的命令执行漏洞
5.3 Linux下的命令执行漏洞
5.4 命令执行绕过
5.5 命令执行漏洞修复
5.6 思考题
第6章 代码执行漏洞
6.1 代码执行漏洞简介
6.2 PHP可变函数
6.3 思考题
第7章 XSS漏洞
7.1 XSS漏洞简介
7.2 XSS漏洞分类
7.3 反射型XSS
7.4 存储型XSS
7.5 DOM型XSS
7.6 XSS漏洞利用
7.7 XSS漏洞修复
7.8 思考题
第8章 SSRF漏洞
8.1 SSRF漏洞简介
8.2 SSRF漏洞示例代码分析
8.3 SSRF漏洞修复
8.4 思考题
第9章 XXE漏洞
9.1 XXE漏洞简介
9.2 XML基础
9.3 XML漏洞利用
9.4 XML漏洞修复
9.5 思考题
第10章 反序列化漏洞
10.1 序列化和反序列化简介
10.2 序列化
10.3 反序列化
10.4 反序列化漏洞利用
10.5 反序列化漏洞示例代码分析
10.6 反序列化漏洞利用实例详解
10.7 思考题
第11章 中间件漏洞
11.1 IIS服务器简介
11.2 IIS6.0PUT上传漏洞
11.3 IIS短文件名枚举漏洞
11.4 IISHTTP.sys漏洞
11.5 JBoss服务器漏洞
11.6 Tomcat服务器漏洞
11.7 Web Logic服务器漏洞
11.8 思考题
第12章 解析漏洞
12.1 Web容器解析漏洞简介
12.2 Apache解析漏洞
12.3 PHPCGI解析漏洞
12.4 IIS解析漏洞
12.5 IIS7.x解析漏洞
12.6 Nginx解析漏洞
12.7 思考题
第13章 数据库漏洞
13.1 SQLServer数据库漏洞
13.2 My SQL数据库漏洞
13.3 Oracle数据库漏洞
13.4 Redis数据库未授权访问漏洞
13.5 数据库漏洞修复
13.6 思考题
正文结束
附录A 英文缩略语
📜 SIMILAR VOLUMES
本书围绕网络安全技术体系的建立,系统介绍了计算机网络安全知识和理论,全书共分17章,内容包括网络安全基础、网络安全威胁、密码学概述、对称加密、公钥密码、消息认证和散列函数、鉴别和密钥分配协议、身份认证和访问控制、PKI技术、IPSec协议、电子邮件安全、Web安全、防火墙技术、虚拟专用网、入侵检测系统和网络诱骗系统、无线网络安全、恶意代码。本书既重视基础原理和基本概念的阐述,又紧密联系当前的前沿科技知识,注重理论和实践的统一,可以有效加深学生对于网络安全的理解,培养学生的创新能力。本书可作为信息安全、计算机、信息管理、电子商务等专业本科生和研究生的教材,也可供从事相关专业的教学、科研和工程人员
本书主要阐述网络安全的原理与技术。全书共分为三大部分:第一部分着重讲述网络安全的原理及本质,从网络安全的定义、网络安全的产生以及网络的基本原理和网络的攻击几个方面进行了详尽的阐述;第二部分结合UntangleUTM系统,从UTM的配置入手,讲解了UntangleUTM的主要功能模块,从中很好地介绍了相关的网络安全的基本知识;第三部分是具体的开发,其中有整体系统的分解与代码介绍,如反垃圾邮件模块、反钓鱼攻击模块、反病毒模块的设计以及流量分析与图形展示,便于读者从事开发和研究工作。本书经过7年实际教学使用,选取的内容力求丰富全面,基本概念的讲解细致,深入浅出,简单明白;各种操作的讲解,都配有大
本书主要介绍了X射线晶体衍射的基本原理,晶体的培养与衍射数据的收集,晶体结构解析与精修的基本概念、结果的表达,有关的晶体学数据库和软件资源,结构解析的实际例子及常用软件的使用方法等。本书结合作者多年从事晶体结构分析所积累的经验,总结了结构解析过程中常见的问题与解决方法,并提供了**的有关文献资料。作者对*版进行增删、修改,旨在进一步提高理论基础的易读性和实用性,突出与实践密切相关的内容,对面探衍射仪的操作、数据处理等内容做了适当的增加,提供了更多有助于读者解决结构解析和精修过程中容易遇到问题的内容和实例。
本书比较全面地介绍了网络安全协议的关键技术和主要应用模式。特别对VPN网络的特点、分类及应用模式等方面进行了比较深入的分析和探讨。本书介绍数据链路层安全协议、网络层安全协议、传输层安全协议、会话层安全协议和应用层安全协议等方面的内容。本书重点阐述了三种常见的VPN网络应用模式,并比较详细地介绍了VPN网络的工作原理和配置。本书还介绍了网络协议安全性的测试工具,并以应用范例的方式介绍了测试工具的使用方法。本书通俗易懂,注重可操作性和实用性。采用大量、真实案例讲解安全协议的应用,在真机实验设备上,分步介绍网络安全协议的环境搭建、命令配置、安全性测试等内容。使读者能够举一反三。本书可作为广大计算机用
《软件保护及分析技术——原理与实践》对软件安全领域的保护与分析技术进行了全面的讨论和剖析,通过保护与分析的对比讲解,结合代码和操作流程,对软件安全领域的各种技术进行了详尽的讨论,并将理论与实践相结合,利用具体的程序代码进行演示。同时,对现今较为成熟的保护系统进行了分析,全面介绍了软件安全领域的保护与分析技术。最后,结合多年从事软件软件保护与分析的经验,讲解了软件保护与分析中的各种经验和技巧。 《软件保护及分析技术——原理与实践》适合信息安全领域相关人员、高校相关专业学生及爱好者阅读。