黑客攻击与防御作者:麦克劳尔撒哈等

零捌图书网

首页 - 计算机 - 网络通信 - 网络安全 - 黑客攻防 -> 黑客攻击与防御

书名:黑客攻击与防御
作者:麦克劳尔撒哈等
译者:
出版社:清华大学出版社
价格:40元

简介

本书是一篇虚拟战略规划，有助于您识别并消除可能会使您的网站瘫痪的危险——Motorola首席信息安全官司William C.Boni仅仅安装了防火墙和IDS检测器并不意味着您已经安全了，本书将告诉您为什么——Honeynet Project创始人Lance Spitzner 　本书内容涵盖网络语言和协议、Web数据库服务器、支付系统和购物车系统，以及URL的关键漏洞。本书包括下列内容：·网站篡改 ·盗窃电子商店 ·数据库访问和Web应用程序 ·如何加固Java服务器 ·冒充与会话拦截 ·缓冲区溢出：最恶毒的攻击方式 ·自动攻击工具和蠕虫附录中列出了Web和数据库的端口，远程命令执行和源代码

目录第一部分电子商务的天地第1章 Web语言：21世纪的巴比伦引言 Web语言 HTML 动态HTML（DHTML） XML XHTML Perl PHP ColdFusion ASP CGI Java 小结第2章 Web和数据库服务器引言 Web服务器 Apache Microsoft IIS 数据库服务器 Microsoft SQL Server Oracle 小结第3章购物车和支付网关引言商店的演变电子购物购物车系统电子购物车的功能和存在时间收集. 分析和比较所选商品留意总成本改变主意处理购买购物车应用程序的实现产品目录会话管理数据库接口连接与支付网关的集成拙劣实现的购物车示例 Carello购物车 DCShop购物车 Hassan Consulting的购物车 Cart32和其他几种购物车处理付款确定订单付款方式验证和欺骗保护执行订单和生成发票付款处理系统概述克服信用卡欺骗的新方法订单确认页面支付网关接口交易数据库接口与支付网关接口——一个示例付款系统实现问题集成临时信息 SSL 存储用户简介购物车和支付网关的低效集成造成的安全漏洞 PayPal——使个人接受电子付款小结第4章 HTTP和HTTPS：用于破解的协议引言 Web协议 HTTP HTTPS（建立在SSL技术之上的HTTP）小结第5章 URL：Web黑客之剑引言 URL结构 Web黑客哲学 URL和参数传递 URL编码元字符元字符和输入验证在URL串中指定特殊字符 Unicode编码 Acme Art公司, 破解滥用URL编码 Unicode编码和红色代码的Shell代码 Unicode的漏洞双解码或者多余解码漏洞 HTML表单剖析HTML表单输入元素通过GET和POST的参数传递小结第二部分解读URL 第6章 Web的工作原理引言 Web应用程序的组成部分前端Web服务器 Web应用程序执行环境数据库服务器编写组件本地应用程序处理环境 Web服务器API和插件程序 URL映射和内部代理使用后端应用程序服务器代理示例与数据库的连接最巧妙的破解使用本地数据库API 示例使用ODBC 使用JDBC 专用Web应用程序服务器从URL中识别Web应用程序组件技术识别基础示例更多示例技术识别的高级技巧示例识别数据库服务器对策规则1：使HTTP报头中的信息泄露减到最少规则2：防止错误信息发往浏览器小结第7章体会言外之意引言通过HTML的信息泄露浏览器不会显示的内容 Netscape Navigator-View|Page Source Internet Explorer——查看|源文件应寻找的线索 HTML注释修改历史开发者或作者的详细情况对应用程序其他区域的交叉引用提示和占位符 Web应用程序服务器插入的注释添加注释标签使其不起作用的老代码内部和外部超链接电子邮件地址和用户名 UBE. UCE. 垃圾邮件和广告邮件关键字和Meta标签隐藏字段客户端脚本自动源代码过滤技术使用wget 使用grep Sam Spade. Black Widow和Teleport Pro 小结第8章站点链接分析引言 HTML和站点链接分析站点链接分析方法论第一步：爬行Web站点人工爬行站点 HTTP响应报头详解一些用于站点链接分析的常用工具第一步结束爬行程序和重定向第二步：在应用程序结构中创建逻辑组第二步结束第三步：分析每种Web资源 1.扩展名分析 2.URL路径分析 3.会话分析 4.表单确定 5.Applet和对象识别 6.客户端脚本评价 7.注释和电子邮件地址分析第三步结束第四步：编制Web资源目录小结第三部分他们是如何做到的？第9章计算机涂改引言涂改Acme旅游公司的Web站点映射目标网络反向访问代理服务器暴力破解HTTP身份验证目录浏览上传涂改过的页面哪里出差错了呢？ HTTP暴力破解工具 Brutus WebCracker 4.0 针对Acme旅游公司攻击的对策关闭反向代理采用更强有力的HTTP身份验证密码关闭目录浏览小结第10章电子商店盗窃行为引言构建电子商店商店前端购物车收款台数据库放在一起电子商店的发展抢劫Acme Fashions公司建立Acme的电子商店找出问题避开客户端验证使用搜索引擎寻找隐藏字段彻底修改www.acme－fashions.com 修改后的系统面临一个新的问题事后的调查分析和进一步的对策带有远程命令执行的购物车小结第11章数据库访问引言直接的SQL攻击一个二手汽车经销商被入侵输入验证对策小结第12章 Java：远程命令执行引言 Java驱动的技术 Java应用程序服务器的体系结构攻击Java Web服务器识别Java应用程序服务器的漏洞示例：在线商店交易门户调用FileServlet 对策加固Java Web服务器其他概念上的应对措施小结第13章假冒引言会话劫持：被盗的身份和未按时赴约的约会 5月5日, 7：00—Alice的住所 8：30—Alice的工作场所 10：00——Bob的办公室 11：00—Bob的办公室 12：30—Alice的办公室 21：30—Bertolini意大利餐馆会话劫持会话劫持攻击的事后处理应用程序状态图 HTTP协议和会话跟踪无状态应用程序与有状态应用程序在Unix平台上使用Netscape浏览器控制Cookie Cookie和隐藏字段 Cookie 隐藏字段实现会话和状态跟踪会话标识符应该惟一会话标识符应该不可猜测会话标识符应该是独立的会话标识符应该与客户端连接进行映射小结第14章缓冲区溢出：动态方式引言示例缓冲区溢出缓冲区溢出：最简单的形式缓冲区溢出：示例善后的对策小结第四部分高级Web技巧第15章 Web攻击：自动化工具引言 Netcat Whisker 暴力破解 Brutus Achilles Cookie Pal Teleport Pro 安全性建议小结第16章蠕虫引言红色代码蠕虫 2000年1月26日 2001年6月18日：首次攻击 2001年7月12日 2001年7月19日 2001年8月4日尼姆达蠕虫防止蠕虫的发展反抗和回应小结第17章击败IDS 引言 IDS基本知识网络IDS 基于主机的IDS IDS的准确性通过IDS 安全的入侵——通过SSL入侵示例通过SSL将攻击管道化通过SSL进行入侵检测探测SSL传输多形态URL 十六进制编码法非法Unicode/冗余编码法添加虚假路径插入斜线－点－斜线字符串使用非标准的路径分隔符使用多个斜线混合使用多种技术产生误报攻击漏洞检查器中的IDS躲避潜在的对策 SSL破译 URL解码小结附录A Web和数据库端口列表附录B HTTP/1.1和HTTP/1.0的方法与字段定义附录C 远程命令执行欺骗表附录D 源代码. 文件和目录泄漏欺骗表附录E 资源和链接附录F Web相关工具

零八图书网地图分类友情链接：中国书网稀缺复印分站