-- 會員 / 註冊 --  
 帳號:
 密碼:
  | 註冊 | 忘記密碼
5/24 新書到! 5/18 新書到! 5/3 新書到! 4/26 新書到!
購書流程Q & A站務留言版客服信箱
3ds MaxMayaRhinoAfter EffectsSketchUpZBrushPainterUnity
PhotoShopAutoCadMasterCamSolidWorksCreoUGRevitNuke
C#CC++Java遊戲程式Linux嵌入式PLCFPGAMatlab
駭客資料庫搜索引擎影像處理FluentVR+ARANSYS深度學習
單晶片AVROpenGLArduinoRaspberry Pi電路設計CadenceProtel
HadoopPythonStm32CortexLabview手機程式AndroidiPhone
可查書名,作者,ISBN,3dwoo書號
詳細書籍分類

Web安全漏洞及代碼審計(微課版)

( 簡體 字)
作者:郭錫泉,陳香錫類別:1. -> 安全 -> 網路安全 -> 駭客攻擊與入侵
譯者:
出版社:電子工業出版社Web安全漏洞及代碼審計(微課版) 3dWoo書號: 55117
詢問書籍請說出此書號!

有庫存
NT售價: 250

出版日:8/1/2021
頁數:240
光碟數:0
站長推薦:
印刷:黑白印刷語系: ( 簡體 版 )
加入購物車 加到我的最愛
(請先登入會員)
ISBN:9787121418488
作者序 | 譯者序 | 前言 | 內容簡介 | 目錄 | 
(簡體書上所述之下載連結耗時費功, 恕不適用在台灣, 若讀者需要請自行嘗試, 恕不保證)
作者序:

譯者序:

前言:

代碼審計是企業安全從業人員必需的基本技能。在企業安全操作、滲透測試、漏洞研究等各項工作中,都需要進行代碼審計。目前,許多公司都在推廣Microsoft的SDL(安全開發生命周期,即需求分析→設計→編碼→測試→發布→維護)。“安全”一詞貫穿了整個軟件開發的生命周期,特別是 SDL的核心階段——設計、編碼和測試。其中,在安全設計過程中,開發人員必須對漏洞形成的原理進行深入了解,并從整體上看待安全問題;在代碼實現過程(編碼階段)中,安全性取決于開發人員的技術基礎和早期的安全性設計;在測試過程中,測試人員需要重點關注白盒測試、黑盒測試和灰盒測試。黑盒測試也被稱為功能測試,是指在不接觸代碼的情況下測試系統功能是否存在錯誤及是否滿足設計要求的測試。白盒測試就是我們所說的代碼審計,即以開放的形式從代碼級別中查找錯誤。如果發現錯誤,則需要修復軟件中的錯誤,直到沒有錯誤,才能發布軟件。
對于滲透測試人員來說,掌握代碼審計非常重要,這是因為滲透測試人員經常需要在滲透過程中調試目標環境的有效負載。另外,如果攻擊者通過掃描程序掃描了Web目錄中的源代碼備份程序包,則他通常會使用源代碼包查找一些配置文件,其原因是這些配置文件中存在數據庫、API等關鍵信息。如果目標環境中存在限制,如目標站點數據庫限制了IP地址連接,則攻擊者對源代碼包的漏洞利用就會結束。對于了解代碼審計的人來說,他們可以對源代碼包進行安全審計,從而發現網站代碼中的漏洞,并利用發現的漏洞進行滲透。
本書圍繞代碼審計前的準備工作、PHP代碼審計中的流程和常見漏洞審計、漏洞的審計方法等環節精心組織內容,通過應用案例,讓讀者深刻體會代碼審計的重要作用。本書內容分為3部分。
第1部分介紹代碼審計前的準備工作,包括第1章“環境配置”和第2章“工具使用”:第1章主要介紹PHP的相關知識和環境的搭建,這些內容是學習代碼審計前必須了解的;第2章主要介紹PHP代碼審計過程中需要準備的工具,以及這些工具的使用方法。
第2部分介紹PHP代碼審計中的流程和常見漏洞審計,包括第3章“審計流程”。
第3部分介紹漏洞的審計方法,包括第4章“SQL注入漏洞審計”、第5章“跨站腳本攻擊漏洞審計”、第6章“跨站請求偽造漏洞審計”、第7章“服務端請求偽造漏洞審計”、第8章“XML外部實體注入漏洞審計”、第9章“代碼執行漏洞審計”、第10章“命令執行漏洞審計”、第11章“反序列化漏洞審計”、第12章“任意文件上傳漏洞審計”、第13章“文件包含漏洞審計”、第14章“文件操作類漏洞審計”、第15章“其他類型漏洞審計”和第16章“框架漏洞審計”。其中,第15章主要介紹審計邏輯漏洞的挖掘方法,因為邏輯漏洞比常規漏洞更復雜,所以本書單獨組織章節內容,并以實戰演練的方式對其進行介紹。第16章主要介紹PHP中常用框架的漏洞審計,本書從攻擊者的角度分析常見功能中通常會出現的安全問題,并在分析出這些安全問題的利用方式后,給出解決方案。
讀者在學習了代碼審計的方法后,可以進一步學習代碼審計的技巧,從而利用這些技巧挖掘更有趣的漏洞。在本書第3部分的每章中,分別介紹了一種常見的漏洞,并對每種漏洞都給出了一個真實的漏洞案例分析過程,以便讀者積累代碼審計的經驗。除了介紹漏洞挖掘的方法,本書還詳細介紹了這些漏洞的修復方法,這些內容對開發人員非常有用。
代碼審計是一項靈活性非常高的工作,建議讀者不要拘泥于“必須這樣做”的固定模式,而要多練習、多嘗試,找到適合自己的做法,從而充分享受代碼審計的樂趣。
本書由清遠職業技術學院的郭錫泉、陳香錫擔任主編。
由于作者水平和時間所限,書中難免存在疏漏和不妥之處,懇請各界專家和讀者朋友不吝賜教、批評指正。
內容簡介:

代碼審計是企業安全從業人員必需的基本技能。在企業安全操作、滲透測試、漏洞研究等各項工作中,都需要進行代碼審計。本書圍繞代碼審計前的準備工作、PHP代碼審計中的流程和常見漏洞審計、漏洞的審計方法等環節精心組織內容,通過應用案例,讓讀者深刻體會代碼審計的重要作用。本書內容分為3部分。第1部分介紹代碼審計前的準備工作,包括第1章“環境配置”和第2章“工具使用”;第2部分介紹PHP代碼審計中的流程和常見漏洞審計,包括第3章“審計流程”;第3部分介紹漏洞的審計方法,包括第4章“SQL注入漏洞審計”、第5章“跨站腳本攻擊漏洞審計”、第6章“跨站請求偽造漏洞審計”、第7章“服務端請求偽造漏洞審計”、第8章“XML外部實體注入漏洞審計”、第9章“代碼執行漏洞審計”、第10章“命令執行漏洞審計”、第11章“反序列化漏洞審計”、第12章“任意文件上傳漏洞審計”、第13章“文件包含漏洞審計”、第14章“文件操作類漏洞審計”、第15章“其他類型漏洞審計”和第16章“框架漏洞審計”。本書配有微課視頻、源代碼、電子課件、教案等教學資源,讀者可以登錄華信教育資源網(www.hxedu.com.cn)注冊后免費進行下載。本書既可以作為高等院校、高等職業院校“網絡與信息安全”課程的教材,也可以作為相關從業人員的參考書。
目錄:

第1部分
第1章 環境配置 1
1.1 知識準備 1
1.1.1 代碼編輯工具 1
1.1.2 WAMP/WNMP環境搭建 3
1.1.3 LAMP環境搭建 4
1.1.4 PHP核心配置 4
1.2 實戰演練——Windows環境部署 8
1.2.1 安裝運行 8
1.2.2 目錄結構 9
1.2.3 主界面 9
1.2.4 切換版本 10
1.2.5 站點配置 10
1.2.6 修改hosts域名解析文件 11
1.2.7 PHP擴展設置 11
1.2.8 MySQL管理 11
1.2.9 phpMyAdmin 12
1.3 強化訓練——Linux環境部署 13
1.3.1 一鍵安裝腳本 13
1.3.2 安裝部署 13
1.3.3 相關操作 14
1.3.4 訪問面板 14
1.3.5 軟件管理 14
1.3.6 數據庫 15
1.3.7 部署服務 16
1.4 課后實訓 16
第2章 工具使用 17
2.1 知識準備 17
2.1.1 代碼編輯工具 17
2.1.2 代碼審計工具 19
2.1.3 輔助驗證工具 28
2.2 實戰演練——Seay源代碼審計系統審計DVWA 36
2.2.1 DVWA簡介 36
2.2.2 環境搭建 36
2.2.3 使用工具審計 40
2.3 強化訓練——RIPS審計DVWA 42
2.3.1 RIPS環境的本地搭建 42
2.3.2 使用工具審計 43
2.4 課后實訓 45
第2部分
第3章 審計流程 46
3.1 知識準備 46
3.1.1 尋找漏洞簽名 46
3.1.2 功能點定向審計 47
3.1.3 通讀全文 47
3.2 實戰演練 47
3.2.1 尋找漏洞簽名 47
3.2.2 功能點定向審計 49
3.2.3 通讀全文 50
3.3 強化訓練 52
3.3.1 暴力破解 52
3.3.2 命令注入 57
3.3.3 跨站請求偽造 62
3.3.4 文件包含 68
3.3.5 文件上傳 72
3.3.6 SQL注入 76
3.3.7 SQL盲注 85
3.3.8 脆弱會話 92
3.3.9 反射型XSS 96
3.3.10 存儲型XSS 99
3.3.11 不安全的驗證流程 103
3.4 課后實訓 114
第3部分
第4章 SQL注入漏洞審計 115
4.1 知識準備 115
4.1.1 漏洞介紹 115
4.1.2 漏洞危害 115
4.1.3 審計思路 116
4.2 實戰演練——SQL注入漏洞 116
4.2.1 普通注入 116
4.2.2 寬字節注入 117
4.2.3 二次注入 119
4.3 強化訓練——審計實戰 121
4.3.1 環境搭建 121
4.3.2 漏洞分析 122
4.3.3 漏洞利用 124
4.4 課后實訓 125
第5章 跨站腳本攻擊漏洞審計 126
5.1 知識準備 126
5.1.1 漏洞介紹 126
5.1.2 漏洞危害 127
5.1.3 審計思路 127
5.2 實戰演練——跨站腳本攻擊漏洞 127
5.2.1 反射型XSS 127
5.2.2 存儲型XSS 128
5.2.3 DOM型XSS 128
5.3 強化訓練——審計實戰 129
5.3.1 環境搭建 129
5.3.2 漏洞分析 131
5.3.3 漏洞利用 132
5.4 課后實訓 134
第6章 跨站請求偽造漏洞審計 135
6.1 知識準備 135
6.1.1 漏洞介紹 135
6.1.2 漏洞危害 135
6.1.3 審計思路 136
6.2 實戰演練——跨站請求偽造漏洞 136
6.3 強化訓練——審計實戰 138
6.3.1 環境搭建 138
6.3.2 漏洞分析 140
6.3.3 漏洞利用 140
6.4 課后實訓 142
第7章 服務端請求偽造漏洞審計 143
7.1 知識準備 143
7.1.1 漏洞介紹 143
7.1.2 漏洞危害 143
7.1.3 審計思路 144
7.2 實戰演練——服務端請求偽造漏洞 144
7.2.1 file_get_contents() 144
7.2.2 fopen() 144
7.2.3 cURL 145
7.3 強化訓練——審計實戰 146
7.3.1 環境搭建 146
7.3.2 漏洞分析 149
7.3.3 漏洞利用 150
7.4 課后實訓 150
第8章 XML外部實體注入漏洞審計 151
8.1 知識準備 151
8.1.1 漏洞介紹 151
8.1.2 基礎知識 151
8.1.3 審計思路 152
8.2 實戰演練——XML外部實體注入漏洞 153
8.2.1 simplexml_load_string() 153
8.2.2 DOM解析器函數 154
8.2.3 SimpleXMLElement() 154
8.3 強化訓練——審計實戰 155
8.3.1 環境搭建 155
8.3.2 漏洞分析 157
8.3.3 漏洞利用 159
8.4 課后實訓 159
第9章 代碼執行漏洞審計 160
9.1 知識準備 160
9.1.1 漏洞介紹 160
9.1.2 漏洞危害 160
9.1.3 審計思路 161
9.2 實戰演練——代碼執行漏洞 161
9.2.1 eval()和assert() 161
9.2.2 回調函數 161
9.2.3 動態執行函數 163
9.2.4 preg_replace() 163
9.3 強化訓練——審計實戰 164
9.3.1 環境搭建 164
9.3.2 漏洞分析 166
9.3.3 漏洞利用 167
9.4 課后實訓 168
第10章 命令執行漏洞審計 169
10.1 知識準備 169
10.1.1 漏洞介紹 169
10.1.2 漏洞危害 169
10.1.3 審計思路 170
10.2 實戰演練——命令執行漏洞 170
10.2.1 system() 170
10.2.2 exec() 170
10.2.3 反引號`和shell_exec() 171
10.2.4 popen()和proc_open() 171
10.3 強化訓練——審計實戰 172
10.3.1 環境搭建 172
10.3.2 漏洞分析 175
10.3.3 漏洞利用 175
10.4 課后實訓 177
第11章 反序列化漏洞審計 178
11.1 知識準備 178
11.1.1 漏洞介紹 178
11.1.2 基礎知識 178
11.1.3 審計思路 179
11.2 實戰演練——反序列化漏洞 180
11.2.1 serialize() 180
11.2.2 unserialize() 180
11.3 強化訓練——審計實戰 181
11.3.1 環境搭建 181
11.3.2 漏洞分析 182
11.3.3 構造PoC 184
11.3.4 漏洞利用 186
11.4 課后實訓 188
第12章 任意文件上傳漏洞審計 189
12.1 知識準備 189
12.1.1 漏洞介紹 189
12.1.2 漏洞危害 189
12.1.3 審計思路 189
12.2 實戰演練——任意文件上傳漏洞 190
12.3 強化訓練——審計實戰 191
12.3.1 環境搭建 191
12.3.2 漏洞分析 193
12.3.3 漏洞利用 194
12.4 課后實訓 195
第13章 文件包含漏洞審計 196
13.1 知識準備 196
13.1.1 漏洞介紹 196
13.1.2 漏洞危害 196
13.1.3 審計思路 197
13.1.4 漏洞利用 197
13.2 實戰演練——文件包含漏洞 197
13.2.1 本地文件包含 198
13.2.2 遠程文件包含 198
13.3 強化訓練——審計實戰 199
13.3.1 環境搭建 199
13.3.2 漏洞分析 200
13.3.3 漏洞利用 201
13.4 課后實訓 202
第14章 文件操作類漏洞審計 203
14.1 知識準備 203
14.1.1 漏洞介紹 203
14.1.2 目錄穿越漏洞介紹 203
14.1.3 審計思路 204
14.2 實戰演練——任意文件讀取/修改漏洞 204
14.2.1 漏洞分析 204
14.2.2 漏洞利用 204
14.3 強化訓練——任意文件刪除漏洞 206
14.3.1 漏洞分析 206
14.3.2 漏洞利用 207
14.4 課后實訓 208
第15章 其他類型漏洞審計 209
15.1 知識準備 209
15.1.1 系統重裝漏洞 209
15.1.2 越權漏洞 210
15.2 實戰演練——系統重裝漏洞 210
15.2.1 環境搭建 210
15.2.2 漏洞分析 212
15.2.3 漏洞利用 213
15.3 強化訓練——越權漏洞 215
15.3.1 環境搭建 215
15.3.2 漏洞分析 217
15.3.3 漏洞利用 218
15.4 課后實訓 220
第16章 框架漏洞審計 221
16.1 知識準備 221
16.1.1 框架理解 221
16.1.2 MVC架構模式 221
16.1.3 常見框架介紹 222
16.2 實戰演練——框架使用 222
16.3 強化訓練——ThinkPHP遠程代碼執行漏洞 224
16.3.1 漏洞影響 224
16.3.2 漏洞分析 224
16.3.3 漏洞利用 227
16.4 課后實訓 228
序: