|
-- 會員 / 註冊 --
|
|
|
|
Web攻防之業務安全實戰指南 ( 簡體 字) |
作者:陳曉光 | 類別:1. -> 安全 -> 網路安全 -> 駭客攻擊與入侵 |
譯者: |
出版社:電子工業出版社 | 3dWoo書號: 48612 詢問書籍請說出此書號!【缺書】 NT售價: 345 元 |
出版日:3/1/2018 |
頁數:250 |
光碟數:0 |
|
站長推薦: |
印刷:黑白印刷 | 語系: ( 簡體 版 ) |
|
加入購物車 │加到我的最愛 (請先登入會員) |
ISBN:9787121335815 |
作者序 | 譯者序 | 前言 | 內容簡介 | 目錄 | 序 |
(簡體書上所述之下載連結耗時費功, 恕不適用在台灣, 若讀者需要請自行嘗試, 恕不保證) |
作者序: |
譯者序: |
前言: |
內容簡介: |
目錄:理論篇 第1章 網路安全法律法規 2 第2章 業務安全引發的思考 8 2.1 行業安全問題的思考 8 2.2 如何更好地學習業務安全 9 第3章 業務安全測試理論 11 3.1 業務安全測試概述 11 3.2 業務安全測試模型 12 3.3 業務安全測試流程 13 3.4 業務安全測試參考標準 18 3.5 業務安全測試要點 18 技術篇 第4章 登錄認證模組測試 22 4.1 暴力破解測試 22 4.1.1 測試原理和方法 22 4.1.2 測試過程 22 4.1.3 修復建議 30 4.2 本地加密傳輸測試 30 4.2.1 測試原理和方法 30 4.2.2 測試過程 30 4.2.3 修復建議 32 4.3 Session測試 32 4.3.1 Session會話固定測試 32 4.3.2 Seesion會話註銷測試 35 4.3.3 Seesion會話超時時間測試 39 4.4 Cookie仿冒測試 42 4.4.1 測試原理和方法 42 4.4.2 測試過程 42 4.4.3 修復建議 45 4.5 密文比對認證測試 45 4.5.1 測試原理和方法 45 4.5.2 測試過程 45 4.5.3 修復建議 48 4.6 登錄失敗資訊測試 48 4.6.1 測試原理和方法 48 4.6.2 測試過程 49 4.6.3 修復建議 50 第5章 業務辦理模組測試 51 5.1 訂單ID篡改測試 51 5.1.1 測試原理和方法 51 5.1.2 測試過程 51 5.1.3 修復建議 55 5.2 手機號碼篡改測試 55 5.2.1 測試原理和方法 55 5.2.2 測試過程 56 5.2.3 修復建議 57 5.3 用戶ID篡改測試 58 5.3.1 測試原理和方法 58 5.3.2 測試過程 58 5.3.3 修復建議 60 5.4 郵箱和用戶篡改測試 60 5.4.1 測試原理和方法 60 5.4.2 測試過程 61 5.4.3 修復建議 62 5.5 商品編號篡改測試 63 5.5.1 測試原理和方法 63 5.5.2 測試過程 63 5.5.3 修復建議 65 5.6 競爭條件測試 66 5.6.1 測試原理和方法 66 5.6.2 測試過程 67 5.6.3 修復建議 69 第6章 業務授權訪問模組 70 6.1 非授權訪問測試 70 6.1.1 測試原理和方法 70 6.1.2 測試過程 70 6.1.3 修復建議 71 6.2 越權測試 72 6.2.1 測試原理和方法 72 6.2.2 測試過程 72 6.2.3 修復建議 76 第7章 輸入/輸出模組測試 77 7.1 SQL注入測試 77 7.1.1 測試原理和方法 77 7.1.2 測試過程 78 7.1.3 修復建議 84 7.2 XSS測試 84 7.2.1 測試原理和方法 84 7.2.2 測試過程 85 7.2.3 修復建議 88 7.3 命令執行測試 89 7.3.1 測試原理和方法 89 7.3.2 測試過程 89 7.3.3 修復建議 91 第8章 回退模組測試 92 8.1 回退測試 92 8.1.1 測試原理和方法 92 8.1.2 測試過程 92 8.1.3 修復建議 93 第9章 驗證碼機制測試 94 9.1 驗證碼暴力破解測試 94 9.1.1 測試原理和方法 94 9.1.2 測試過程 94 9.1.3 修復建議 97 9.2 驗證碼重複使用測試 97 9.2.1 測試原理和方法 97 9.2.2 測試過程 98 9.2.3 修復建議 100 9.3 驗證碼用戶端回顯測試 101 9.3.1 測試原理和方法 101 9.3.2 測試過程 101 9.3.3 修復建議 104 9.4 驗證碼繞過測試 104 9.4.1 測試原理和方法 104 9.4.2 測試過程 104 9.4.3 修復建議 106 9.5 驗證碼自動識別測試 106 9.5.1 測試原理和方法 106 9.5.2 測試過程 107 9.5.3 修復建議 111 第10章 業務資料安全測試 112 10.1 商品支付金額篡改測試 112 10.1.1 測試原理和方法 112 10.1.2 測試過程 112 10.1.3 修復建議 115 10.2 商品訂購數量篡改測試 115 10.2.1 測試原理和方法 115 10.2.2 測試過程 115 10.2.3 修復建議 120 10.3 前端JS限制繞過測試 121 10.3.1 測試原理和方法 121 10.3.2 測試過程 121 10.3.3 修復建議 123 10.4 請求重放測試 123 10.4.1 測試原理和方法 123 10.4.2 測試過程 123 10.4.3 修復建議 125 10.5 業務上限測試 126 10.5.1 測試原理和方法 126 10.5.2 測試過程 126 10.5.3 修復建議 128 第11章 業務流程亂序測試 129 11.1 業務流程繞過測試 129 11.1.1 測試原理和方法 129 11.1.2 測試過程 129 11.1.3 修復建議 133 第12章 密碼找回模組測試 134 12.1 驗證碼用戶端回顯測試 134 12.1.1 測試原理和方法 134 12.1.2 測試流程 134 12.1.3 修復建議 137 12.2 驗證碼暴力破解測試 137 12.2.1 測試原理和方法 137 12.2.2 測試流程 137 12.2.3 修復建議 140 12.3 介面參數帳號修改測試 140 12.3.1 測試原理和方法 140 12.3.2 測試流程 141 12.3.3 修復建議 144 12.4 Response狀態值修改測試 144 12.4.1 測試原理和方法 144 12.4.2 測試流程 144 12.4.3 修復建議 147 12.5 Session覆蓋測試 147 12.5.1 測試原理和方法 147 12.5.2 測試流程 148 12.5.3 修復建議 150 12.6 弱Token設計缺陷測試 150 12.6.1 測試原理和方法 150 12.6.2 測試流程 151 12.6.3 修復建議 153 12.7 密碼找回流程繞過測試 153 12.7.1 測試原理和方法 153 12.7.2 測試流程 154 12.7.3 修復建議 157 第13章 業務介面調用模組測試 158 13.1 介面調用重放測試 158 13.1.1 測試原理和方法 158 13.1.2 測試過程 158 13.1.3 修復建議 160 13.2 介面調用遍歷測試 160 13.2.1 測試原理和方法 160 13.2.2 測試過程 161 13.2.3 修復建議 166 13.3 介面調用參數篡改測試 167 13.3.1 測試原理和方法 167 13.3.2 測試過程 167 13.3.3 修復建議 169 13.4 介面未授權訪問/調用測試 169 13.4.1 測試原理和方法 169 13.4.2 測試過程 170 13.4.3 修復建議 172 13.5 Callback自訂測試 172 13.5.1 測試原理和方法 172 13.5.2 測試過程 173 13.5.3 修復建議 177 13.6 WebService測試 177 13.6.1 測試原理和方法 177 13.6.2 測試過程 177 13.6.3 修復建議 184 實踐篇 第14章 帳號安全案例總結 186 14.1 帳號安全歸納 186 14.2 帳號安全相關案例 187 14.1.1 帳號密碼直接暴露在互聯網上 187 14.1.2 無限制登錄任意帳號 189 14.1.3 電子郵件帳號洩露事件 192 14.1.4 中間人攻擊 195 14.1.5 撞庫攻擊 197 14.3 防範帳號洩露的相關手段 199 第15章 密碼找回安全案例總結 200 15.1 密碼找回憑證可被暴力破解 200 15.1.1 某社交軟體任意密碼修改案例 201 15.2 密碼找回憑證直接返回給用戶端 203 15.2.1 密碼找回憑證暴露在請求連結中 204 15.2.2 加密驗證字串返回給用戶端 205 15.2.3 網頁原始程式碼中隱藏著密保答案 206 15.2.4 短信驗證碼返回給用戶端 207 15.3 密碼重置連結存在弱Token 209 15.3.1 使用時間戳記的md5作為密碼重置Token 209 15.3.2 使用伺服器時間作為密碼重置Token 210 15.4 密碼重置憑證與使用者帳戶關聯不嚴 211 15.4.1 使用短信驗證碼找回密碼 212 15.4.2 使用郵箱Token找回密碼 213 15.5 重新綁定用戶手機或郵箱 213 15.5.1 重新綁定用戶手機 214 15.5.2 重新綁定用戶郵箱 215 15.6 服務端驗證邏輯缺陷 216 15.6.1 刪除參數繞過驗證 217 15.6.2 郵箱地址可被操控 218 15.6.3 身份驗證步驟可被繞過 219 15.7 在本地驗證服務端的返回資訊——修改返回包繞過驗證 221 15.8 註冊覆蓋——已存在用戶可被重複註冊 222 15.9 Session覆蓋——某電商網站可通過Session覆蓋方式重置他人密碼 223 15.10 防範密碼找回漏洞的相關手段 225 第16章 越權訪問安全案例總結 227 16.1 平行越權 227 16.1.1 某高校教務系統使用者可越權查看其他使用者個人資訊 227 16.1.2 某電商網站用戶可越權查看或修改其他使用者資訊 229 16.1.3 某手機APP普通用戶可越權查看其他使用者個人資訊 232 16.2 縱向越權 233 16.2.1 某辦公系統普通使用者許可權越權提升為系統許可權 233 16.2.2 某中學網站管理後臺可越權添加管理員帳號 235 16.2.3 某智慧機上盒低許可權用戶可越權修改超級管理員配置資訊 240 16.2.4 某Web防火牆通過修改使用者對應功能表類別可提升許可權 244 16.3 防範越權訪問漏洞的相關手段 247 第17章 OAuth 2.0安全案例總結 248 17.1 OAuth 2.0認證原理 248 17.2 OAuth 2.0漏洞總結 250 17.2.1 某社交網站CSRF漏洞導致綁定劫持 250 17.2.2 某社區劫持授權 251 17.3 防範OAuth 2.0漏洞的相關手段 253 第18章 線上支付安全案例總結 254 18.1 某速食連鎖店官網訂單金額篡改 254 18.2 某網上商城訂單數量篡改 256 18.3 某伺服器供應商平臺訂單請求重放測試 257 18.4 某培訓機構官網訂單其他參數干擾測試 259 18.5 防範線上支付漏洞的相關手段 261
|
序: |
|