大小:54.8M
更新时间:23-09-06
系统:Pc
版本:v
web安全测试是一本web安全书籍,由美国程序员Paco Hope和Ben Waltller两人共同编著。本书内容丰富翔实,详细的介绍了Web应用安全测试的基础知识和各种秘诀,包括什么是安全测试、安装免费工具、面向Web的数据编码、自动化批量扫描、用cURL实现特定任务的自动化太丰富、查找设计缺陷等等内容。用户通过阅读本书,可以获取、安装和配置有用且免费的安全测试工具,能够帮助你在测试中更好地模拟攻击,从而学会如何防御和监控web安全,欢迎网站管理人员学习。
在你对Web应用所执行的测试中,安全测试可能是最重要的,但它却常常是最容易被忽略的。《web安全测试》中的秘诀演示了开发和测试人员在进行单元测试、回归测试或探索性测试的同时,如何去检查最常见的Web安全问题。与即兴的安全评估不同的是,这些秘诀是可重复的、简洁的、系统的——可以完美地集成到你的常规测试套装中。WEB安全测中的秘诀所覆盖的基础知识包括了从观察客户端和服务器之间的消息到使用脚本完成登录并执行Web应用功能的多阶段测试。在本书的最后,你将能够建立精确定位到Ajax函数的测试,以及适用于常见怀疑对象(跨站式脚本和注入攻击)的大型多级测试。
《Web安全测试》将帮助你:
1、获取、安装和配置有用的——且免费的——安全测试工具
2、理解你的应用如何与用户通信,这样你就可以在测试中更好地模拟攻击
3、从许多不同的模拟常见攻击(比如SQL注入、跨站式脚本和操纵隐藏表单域)的方法中进行选择
4、作为自动化测试的出发点,通过使用秘诀中的脚本和例子,使你的测试可重复
不用再担心午夜来电话告诉你站点被破坏了。通过本书和示例中所用的免费工具,你可以将安全因素加入到你的测试套装中,从而得以睡个安稳觉。
第1章 绪论 13 1.1 什么是安全测试 13 1.2 什么是Web应用 17 1.3 Web应用基础 21 1.4 Web应用安全测试 25 1.5 方法才是重点 26 第2章 安装免费工具 29 2.1 安装Firefox 29 2.2 安装Firefox扩展 30 2.3 安装Firebug 31 2.4 安装OWASP的WebScarab 32 2.5 在Windows上安装Perl及其软件包 33 2.6 在Linux, Unix或OS X上安装Perl和使用CPAN 34 2.7 安装CAL9000 35 2.8 安装ViewState Decoder 36 2.9 安装cURL 36 2.10 安装Pornzilla 37 2.11 安装Cygwin 38 2.12 安装Nikto 2 39 2.13 安装Burp Suite 40 2.14 安装Apache HTTP Server 41 第3章 基本观察 43 3.1 查看网页的HTML源代码 44 3.2 查看源代码,高级功能 45 3.3 使用Firebug观察实时的请求头 48 3.4 使用WebScarab观察实时的POST数据 52 3.5 查看隐藏表单域 55 3.6 使用TamperData观察实时的响应头 56 3.7 高亮显示JavaScript和注释 59 3.8 检测JavaScript事件 60 3.9 修改特定的元素属性 61 3.10 动态跟踪元素属性 63 3.11 结论 65 第4章 面向Web的数据编码 66 4.1 辨别二进制数据表示 67 4.2 使用Base-64 69 4.3 在网页中转换Base-36数字 71 4.4 在Perl中使用Base-36 71 4.5 使用以URL方式编码的数据 72 4.6 使用HTML实体数据 74 4.7 计算散列值 76 4.8 辨别时间格式 78 4.9 以编程方式对时间值进行编码 80 4.10 解码ASP.NET的视图状态 81 4.11 解码多重编码 83 第5章 篡改输入 85 5.1 截获和修改POST请求 86 5.2 绕过输入限制 89 5.3 篡改URL 90 5.4 自动篡改URL 93 5.5 测试对URL长度的处理 94 5.6 编辑Cookie 96 5.7 伪造浏览器头信息 99 5.8 上传带有恶意文件名的文件 101 5.9 上传大文件 104 5.10 上传恶意XML实体文件 105 5.11 上传恶意XML结构 107 5.12 上传恶意ZIP文件 109 5.13 上传样例病毒文件 110 5.14 绕过用户界面的限制 111 第6章 自动化批量扫描 114 6.1 使用WebScarab爬行网站 115 6.2 将爬行结果转换为清单 117 6.3 减少要测试的URL 120 6.4 使用电子表格程序来精简列表 120 6.5 使用LWP对网站做镜像 121 6.6 使用wget对网站做镜像 123 6.7 使用wget对特定的清单做镜像 124 6.8 使用Nikto扫描网站 125 6.9 理解Nikto的输出结果 127 6.10 使用Nikto扫描HTTPS站点 128 6.11 使用带身份验证的Nikto 129 6.12 在特定起始点启动Nikto 130 6.13 在Nikto中使用特定的会话Cookie 131 6.14 使用WSFuzzer测试Web服务 132 6.15 理解WSFuzzer的输出结果 134 第7章 使用cURL实现特定任务的自动化 137 7.1 使用cURL获取页面 138 7.2 获取URL的许多变体 139 7.3 自动跟踪重定向 140 7.4 使用cURL检查跨站式脚本 141 7.5 使用cURL检查目录遍历 144 7.6 冒充特定类型的网页浏览器或设备 147 7.7 以交互方式冒充另一种设备 149 7.8 使用cURL模仿搜索引擎 151 7.9 通过假造Referer头信息来伪造工作流程 152 7.10 仅获取HTTP头 153 7.11 使用cURL发送POST请求 154 7.12 保持会话状态 156 7.13 操纵Cookie 157 7.14 使用cURL上传文件 158 7.15 建立多级测试用例 159 7.16 结论 164 第8章 使用LibWWWPerl实现自动化 166 8.1 编写简单的Perl脚本来获取页面 167 8.2 以编程方式更改参数 169 8.3 使用POST模仿表单输入 170 8.4 捕获和保存Cookie 172 8.5 检查会话过期 173 8.6 测试会话固定 175 8.7 发送恶意Cookie值 177 8.8 上传恶意文件内容 179 8.9 上传带有恶意名称的文件 181 8.10 上传病毒到应用 182 8.11 使用Perl解析接收到的值 184 8.12 以编程方式来编辑页面 186 8.13 使用线程化提高性能 189 第9章 查找设计缺陷 191 9.1 绕过必需的导航 192 9.2 尝试特权操作 194 9.3 滥用密码恢复 195 9.4 滥用可预测的标识符 197 9.5 预测凭证 199 9.6 找出应用中的随机数 200 9.7 测试随机数 202 9.8 滥用可重复性 204 9.9 滥用高负载操作 206 9.10 滥用限制性的功能 208 9.11 滥用竞争条件 209 第10章 攻击AJAX 211 10.1 观察实时的AJAX请求 213 10.2 识别应用中的JavaScript 214 10.3 从AJAX活动回溯到源代码 215 10.4 截获和修改AJAX请求 216 10.5 截获和修改服务器响应 218 10.6 使用注入数据破坏AJAX 220 10.7 使用注入XML破坏AJAX 222 10.8 使用注入JSON破坏AJAX 223 10.9 破坏客户端状态 224 10.10 检查跨域访问 226 10.11 通过JSON劫持来读取私有数据 227 第11章 操纵会话 229 11.1 在Cookie中查找会话标识符 230 11.2 在请求中查找会话标识符 232 11.3 查找Authentication头 233 11.4 分析会话ID过期 235 11.5 使用Burp分析会话标识符 239 11.6 使用WebScarab分析会话随机性 240 11.7 更改会话以逃避限制 245 11.8 假扮其他用户 247 11.9 固定会话 248 11.10 测试跨站请求伪造 249 第12章 多层面的测试 251 12.1 使用XSS窃取Cookie 251 12.2 使用XSS创建覆盖 253 12.3 使用XSS产生HTTP请求 255 12.4 以交互方式尝试基于DOM的XSS 256 12.5 绕过字段长度限制(XSS) 258 12.6 以交互方式尝试跨站式跟踪 259 12.7 修改Host头 261 12.8 暴力猜测用户名和密码 263 12.9 以交互方式尝试PHP包含文件注入 265 12.10 制作解压缩炸弹 266 12.11 以交互方式尝试命令注入 268 12.12 系统地尝试命令注入 270 12.13 以交互方式尝试XPath注入 273 12.14 以交互方式尝试服务器端包含(SSI)注入 275 12.15 系统地尝试服务器端包含(SSI)注入 276 12.16 以交互方式尝试LDAP注入 278 12.17 以交互方式尝试日志注入 280
1、下载并解压,得出pdf文件
2、如果打不开本文件,请务必下载pdf阅读器
3、安装后,在打开解压得出的pdf文件
4、双击进行阅读
同类热门
类似软件
构建高性能web站点修订版157.35M189人在用构建高性能web站点修订版是一款教你如何改善你的Web站点的性能和扩展规模的教学图书,由郭欣编著,电子工业出版社出版。全书汲及了web系统优化的各个方面,从浏览器、cache到web、数据库和分布式文件系统等,并穿插了大量的实际测试数据和很多流行开源的使
查看web前端开发精品课:html与css基础教程44.88M385人在用web前端开发精品课:html与css基础教程是一本介绍html与css基础的入门教材,由人民邮电出版社出版,莫振杰编著。全书分为两大部分,第一部分是html入门,主要介绍了网页结构基础知识,而第二部分主要讲的是css的入门,介绍了网页样式方面的基础知识
查看大规模web服务开发技术pdf版132.09M171人在用大规模web服务开发技术是一款介绍web服务开发的教材,由伊藤直也,田中慎司[日本]编著,李剑译,电子工业出版社出版。全书内容从操作系统和计算机的原理开始,详细介绍了数据库的分布式方法、实用算法在系统中的应用、能支撑海量数据的搜索引擎的原理,以及统观系统
查看大蜘蛛杀毒软件电脑版513.79M322人在用 大蜘蛛杀毒软件电脑版是一种新型的基因式扫描杀毒软件,能够防御病毒、木马、间谍软件、恶作剧工具、黑客攻击、挂马网站等威胁。可以预防并清除 22000 种以上的病毒及特洛伊木马,其中包括各种高复杂多变异型的病毒,是唯一获得俄罗斯联邦国防部许可证的安全品
查看web page maker(网页编辑软件)3.52M373人在用 Web Page Maker 是一个易于使用的网页编辑器,它可以使你在几分 钟内就创建并上传你的网页,并且不需要你了解任何关于 HTML 的知识。你只需要拖曳对象到页面中并随意的调整它们的位置即可。程序还包含了多个精美的模版让你更加容易的设计出专业的网
查看weblogic server宝典23.14M155人在用WebLogic是美国Oracle公司开发的一个基于JAVAEE架构的中间件,它主要是用于开发、集成、部署和管理大型分布式Web应用,最近国内也有许多的开发者在学习这项技术,如果您也要学的话小编建议您先下载这款weblogic server宝典来看看,该
查看HP WEB JetAdmin 10.2参考手册7.39M148人在用HP WEB JetAdmin 10.2参考手册pdf版电子书,它提供简单而详尽的方式,主动地管理网络周边设备,并为打印效率做最佳化。你可以将周边装置设定群组,甚至可以加上地图,让人了解每台机器的位置。如果您还不了解HP WEB JetAdmin或在使用
查看热门标签
网友评论0人参与,0条评论
最新排行
Asp.NET网络编程技术91.3M杨天奇pdf扫描版 Asp.NET网络编程技术是一本asp.net网络编程开发书籍,由杨天奇编著。本书采用基础知识与实际应用相结合的方法来编写,内容主要包括以下几个部分:asp.net介绍、asp.net集成开发技术、asp.net控件技术、asp.net内置对像的使
查看2017铁路工程管理与实务73.3Mpdf高清版2017铁路工程管理与实务,又称之为2017一级建造师铁路工程管理与实务电子书,是一级建造师必考的科目,该版本根据2014年版一级建造师《专业工程管理与实务)) (铁路工程)科目考试大纲编写,主要阐述了《考试大纲》的核心内容,按照章节目条排序,不考虑前后
查看android编程实战14.52Mpdf扫描版android编程实战是一本安卓编程开发实战手册,由瑞典安卓工程师Erik Hellman编著。本书主要针对具有Android应用程序开发经验的读者,读者需要了解Android的基本知识,才能使用Activity、Service、BroadcastRec
查看c#从入门到精通第3版119.82M明日科技pdf扫描版c#从入门到精通第3版是一本C#语言的入门书籍,由明日科技C#程序开发团队数十名程序员编著。本书内容由浅入深,循序渐进,全书以初、中级程序员为对象,先从C#语言基础学起,再学习C#的核心技术,然后学习C#的高级应用,最后学习开发一个完整项目。讲解过程中步
查看硬件架构的艺术数字电路的设计方法与技术37.73Mpdf扫描版硬件架构的艺术数字电路的设计方法与技术是由印度半导体公司高级系统工程师Mohit Arora编著的一本硬件架构设计图书,简称为硬件架构的艺术,是李海东,来萍,师谦等翻译,机械工业出版社出版。全书主要内容涉及时钟和复位,多时钟域设计,时钟分频器,低功耗设计
查看深入理解oracle rac 12c pdf71.63M赛义德pdf扫描版深入理解oracle rac 12c是一本详细介绍oracle rac 12c的技术详解书籍,由美国数据库管理员Syed Jaffar Hussain、Tariq Farooq、Riyaj Shamsudeen和Kai Yu四人共同编著。本书紧跟Orac
查看黑客大曝光:网络安全机密与解决方案(第7版)42.47M黑客大曝光:网络安全机密与解决方案(第7版)是全球销量第一的网络和计算机信息安全图书,作者(美)麦克克鲁尔,(美)斯坎布雷,(美)克茨著,赵军等译。它也是有史以来写得最为成功的信息安全旷世之作,被信息安全界奉为“武林秘笈”。作者以独创的知己知彼视角揭示了
查看MySQL5权威指南(第3版)55.3M科夫勒pdf扫描版MySQL5权威指南(第3版)是一本非常权威的MySQL5数据库使用指南,由程序员科夫勒和杨晓云两人共同编著。本书内容丰富翔实,详细的介绍了MySQL 5.0,讨论了新的程序设计接口(如PHP 5里的mysqli)和新的系统管理工具,同时还讨论了如何运用
查看matlab智能算法30个案例分析49.54M郁磊pdf扫描版matlab智能算法30个案例分析是一本MATLAB开发实例,由史峰,王辉,郁磊和胡斐四人共同编著。本书采用案例形式,以智能算法为主线,讲解了遗传算法、免疫算法、退火算法、粒子群算法、鱼群算法、蚁群算法和神经网络算法等最常用的智能算法的MATLAB实现,
查看2017年普通高等学校招生全国统一考试大纲2.58Mpdf高清版2017全国统一考试大纲,全称2017年普通高等学校招生全国统一考试大纲,目前由教育部有关部门组织修订、审定于日前正式发布,除了总纲之外,还同时发布了语文、物理、英语、文科数学、文科数学、理科数学、汉语、化学、生物、思想政治、历史、地理等全国统一考试大纲
查看