新書推薦:
《
场景供应链金融:将风口变成蓝海
》
售價:HK$
111.8
《
汗青堂丛书146·布鲁克王朝:一个英国家族在东南亚的百年统治
》
售價:HK$
91.8
《
人生是旷野啊
》
售價:HK$
72.8
《
甲骨文丛书· “安国之道”:英国的殖民情报系统及其在亚洲的扩张
》
售價:HK$
88.5
《
台北人(2024版)
》
售價:HK$
87.4
《
让孩子更有力量:赋权型家庭教育指南
》
售價:HK$
67.0
《
白夜追凶(上下)
》
售價:HK$
109.8
《
财富、战争与智慧——二战股市风云录
》
售價:HK$
132.2
|
編輯推薦: |
从常见的网络攻击入手,介绍代码安全、前端脚本安全、后端应用安全、账户安全、加解密及认证技术、SQL注入以及服务器配置防护等安全知识,以案例揭示安全漏洞并提供解决方案。
|
內容簡介: |
本书结合在安全方面的开发经验,站在开发者的角度,循序渐进地介绍了大量实际发生的漏洞案例,并给出了技术解决方案,包括:常见的网络攻击、代码安全、前端脚本安全、后端应用安全、账户安全、加解密认证、SQL注入以及服务器配置等内容。通过阅读本书,读者能够对整个网络安全有一个全新的认识和深入的理解,从而成为一位懂安全、会防护的工程师,避免在工作中成为黑客攻击的对象。本书适合PHP开发人员、网络维护人员以及对网络安全攻防技术感兴趣的读者阅读。
|
關於作者: |
汤青松,2017 PHP全球开发者大会安全话题演讲嘉宾,前乌云众测研发工程师,慕课网Web安全方向高级讲师;现工作于中国婚博会,负责技术实现与数据安全方面的工作。
|
目錄:
|
目录第1章 信息泄露11.1 主机信息11.1.1 子域名信息21.1.2 端口信息51.1.3 域名注册信息101.1.4 网站后台地址121.2 源码泄露141.2.1 Git源码泄露151.2.2 SVN源码泄露171.2.3 .DS_Store文件泄露181.2.4 网站备份压缩文件201.2.5 WEB-INFweb.xml泄露211.2.6 防御方案241.3 账户弱口令241.3.1 漏洞成因241.3.2 漏洞危害251.3.3 漏洞案例261.3.4 防范方法29第2章 常规漏洞312.1 SQL注入312.1.1 注入方式322.1.2 漏洞的3种类型392.1.3 检测方法412.1.4 防范方法432.1.5 代码审查452.1.6 小结472.2 XSS跨站472.2.1 XSS漏洞类型482.2.2 漏洞危害512.2.3 防范方法542.2.4 操作实践562.2.5 代码审查582.2.6 小结592.3 代码注入与命令执行592.3.1 漏洞类型602.3.2 漏洞案例622.3.3 防御方法652.3.4 命令执行652.3.5 小结672.4 CSRF跨站请求伪造672.4.1 原理分析672.4.2 漏洞案例682.4.3 操作实践722.4.4 防御方法732.4.5 防御代码示例742.4.6 小结752.5 文件包含762.5.1 漏洞成因762.5.2 本地文件包含762.5.3 远程文件包含792.5.4 测试方法822.5.5 使用PHP封装协议832.5.6 小结842.6 文件上传漏洞852.6.1 利用方式852.6.2 上传检测862.6.3 解析漏洞872.6.6 小结92第3章 业务逻辑安全933.1 验证码安全933.1.1 图片验证码943.1.2 数字暴力破解983.1.3 空验证码突破993.1.4 绕过测试1013.1.5 凭证返回1023.1.6 小结1033.2 密码找回1033.2.1 敏感信息泄露1043.2.2 邮箱弱token1053.2.3 验证的有效性1063.2.4 注册覆盖1073.2.5 小结1093.3 接口盗用1093.3.1 API盗用1093.3.2 短信轰炸1113.4 账户越权1163.4.1 未授权访问1163.4.2 水平越权1183.4.3 垂直越权1203.4.4 小结1213.5 支付漏洞1213.5.1 支付流程分析1223.5.2 金额数据篡改1233.5.3 商品数量篡改1253.5.4 运费金额修改1273.5.5 小结1283.6 SSRF服务端请求伪造1293.6.1 漏洞成因1293.6.2 漏洞案例1313.6.3 总结134第4章 LANMP安全配置1354.1 PHP安全配置1354.2 PHP安全扩展1394.2.1 taint简介1394.2.2 安装taint1404.2.3 测试验证1414.2.4 小结1444.3 Apache安全配置1444.3.1 屏蔽版本信息1444.3.2 目录权限隔离1454.3.3 关闭默认主机1454.3.4 低权限运行1454.3.5 防止用户自定义设置1454.3.6 禁止显示目录1464.4 Nginx安全配置1484.4.1 配置防御1484.4.2 防止权限扩大1494.4.3 WAF扩展1504.4.4 Nginx解析漏洞1524.5 Redis配置1544.5.1 漏洞成因1544.5.2 漏洞案例1564.5.3 小结1574.6 MySQL安全配置1574.6.1 权限安全1574.6.2 网络配置1624.6.3 MySQL日志1634.6.4 主机配置1644.6.5 启动选项165第5章 认证与加密1675.1 数据加密与签名1675.1.1 对称加密与非对称加密1675.1.2 数字签名1695.1.3 数字证书1705.2 HTTPS安全1715.2.1 HTTPS简介1715.2.2 HTTPS被攻击的方式1735.2.3 常见误区1745.3 密码加密策略1755.3.1 密码存储1765.3.2 密码传输1785.3.3 漏洞案例1785.3.4 总结180第6章 其他Web安全主题1816.1 DDoS攻击1816.1.1 DDoS分类1826.1.2 应对方案1836.1.3 漏洞案例1846.1.4 小结1866.2 CMS通用漏洞1866.2.1 漏洞简介1866.2.2 等级划分1876.2.3 漏洞案例1886.2.4 防御方法1916.3 网页挂马1926.3.1 挂马类型1936.3.2 挂马检测1946.3.3 小结1966.4 Burp Suite1966.4.1 拦截数据包1976.4.2 修改数据包1986.4.3 页面链接抓取1996.4.4 自动化挖掘2016.4.5 暴力破解2016.5 SQLMap2036.5.1 查看数据库账户2056.5.2 查看数据库中的所有账户2066.5.3 获取所有数据库名称2076.5.4 获取数据库表名称2086.5.5 查看表结构2096.5.6 导出数据210
|
內容試閱:
|
前言在准备写这本书的时候参考了很多Web安全方面的资料和书籍,我发现很多书籍和资料都是从攻击者的角度来讲述Web安全的。为了防止本书和其他的书籍以及相关资料同质化,在规划本书的时候,特意从PHP开发者的角度出发,目的是让开发者提升安全开发的能力,书中会讲到目前Web安全中的常见漏洞、相关的漏洞案例、最佳的安全防范方法,以及我自己的观点,希望能帮到需要提升安全知识的PHP从业者。本书内容第1章 信息泄露此书面向安全意识薄弱的开发者,因此在第1章中带领读者入门,主要介绍攻击者在攻击服务器时在前期如何探查服务器信息,攻击者有哪些手段来挖掘漏洞,让读者能够快速了解漏洞是如何被发现的。第2章 常规漏洞讲解开发者在编码过程中,因缺乏安全意识或遗漏而导致的安全问题;同时通过生动的案例分析来说明攻击者是如何发现此类安全问题的;最后在章节末尾会提到开发者如何规避这些编码导致的安全问题。第3章 业务逻辑安全在设计一些业务的时候,不仅编码会产生安全漏洞,业务同样会产生大问题,比如常见的越权漏洞、支付漏洞、验证码问题,这些问题其实在设计功能之初就应该考虑到项目计划中去。第4章 LANMP安全配置对于PHP开发者来说,一定离不开Nginx、Apache、MySQL、PHP、Redis等配置,不过这些配置并不会经常用到,通常是配置一次,后面就不用再理会。这也导致了开发者因为对配置的陌生而出现不少安全问题,本章会总结出因为配置不当而带来的安全问题,同时也会给出正确的安全配置建议。第5章 认证与加密在进行业务开发的过程中,我们很频繁地使用加密与解密,但对其底层原理却了解得甚少,甚至部分开发者无法分清认证与加密的区别,本章主要介绍加密和认证的相关技术,以帮助开发人员了解其技术特点,从而开发出安全的应用。第6章 其他Web安全主题攻击者的攻击方式是多样的,我们在防范安全问题的同时,一定要有重点目标,所以本章会提到漏洞的危险等级划分、CMS引起的漏洞如何防御、对自身的业务如何安全测试、在测试的同时如何提升效率,本章还会介绍两款经典的安全检测工具: Burp Suite和SQLMap,让读者能够对自己开发的产品进行安全检测。本书读者对象这本书面向懂PHP开发但不擅长安全方面的开发者,可以通过此书让你在Web安全方面快速成长,在书中列出了很多互联网的漏洞案例,目的是让读者看了之后更加了解攻击者是如何发现漏洞的,从而让开发者在开发时能够对症下药。由于编者水平有限,虽已尽力,但书中肯定还会存在许多不妥甚至谬误,敬请广大读者和专家不吝指教,非常感谢。
汤青松2018年4月于北京
|
|