黑客攻防技术宝典(一)
第一章 web应用程序安全与风险
- 1.1 web应用程序发展历程
- 1.1.1 web应用程序常见功能
- 1.1.2 web应用程序的优点
- 1.2 web应用程序安全
- 1.2.1 “本站点是安全的”
- 1.2.2 核心安全问题:用户可提交任意输入
- 1.2.3 关键问题因素
- 1.2.3 新的安全边界
- 1.2.5 web应用程序安全的未来
- 1.3 小结
1.1 web应用程序发展历程
1.1.1 web应用程序常见功能
- 购物
- 社交网络
- 银行服务
- web搜索
- 拍卖
- 博彩与投机
- 博客
- web邮件
- 交互信息
1.1.2 web应用程序的优点
- HTTP协议是轻量级的,无须链接
- 用户通过浏览器即可访问
- 界面美观,并可通过浏览器插件扩展功能
- 用于开发web程序的核心技术和语言相对简单
1.2 web应用程序安全
1.2.1 “本站点是安全的”
大多数web应用程序都声称是安全的,因为它们使用SSL。SSL是一种用于为用户浏览器和web服务器质检传输的数据提供机密性与完整性保护功能的技术。有助于防止信息泄露,并可保证用户处理的web服务器的安全性。但是SSL并不能抵御直接针对某个应用程序的服务器或客户端组件的攻击。
常见漏洞
- 不完善的身份验证措施
- 不完善的访问控制机制
- SQL注入
- 跨站点脚本
- 信息泄露
- 跨站点请求伪造
1.2.2 核心安全问题:用户可提交任意输入
绝大多数针对web应用程序的攻击都设计向服务器提交输入,旨在引起一些应用程序设计者无法预料或不希望出现的事件。
- 用户可干预客户端与服务器间传送的所有数据
- 用户可按任何顺序发送请求
- 用户不限于使用一种web浏览器访问应用程序
1.2.3 关键问题因素
- 不成熟的安全意识
- 独立开发
- 欺骗性的简化
- 迅速发展的威胁形势
- 资源与时间限制
- 技术上强其所难
- 对功能的需求不断增强
1.2.3 新的安全边界
- 必须在应用程序内部执行防御措施
- 第三方组件的安全
- 对访问用户的攻击
- 对客户端的攻击
1.2.5 web应用程序安全的未来
- 漏洞变得更加难以发现和利用
- 攻击目标由传统的服务器端应用转向用户应用程序
- 技术领域的变革
1.3 小结
黑客攻防技术宝典(一)相关推荐
- 热评一箩筐——《黑客攻防技术宝典》
< 黑客攻防技术宝典: Web实战篇 > 自 8 月初上市,将近两个月共计销售 2500 多册(在今年金融危机这个大环境下,能有这样的销量还是相当不错的). 下面是我们收集的读者对这本书的 ...
- 跟安全技术大师学习黑客攻防技术 ——《黑客攻防技术宝典:web实战篇》
跟安全技术大师学习黑客攻防技术 --<黑客攻防技术宝典: web 实战篇> 随着网络技术的快速发展以及网络带宽的不断扩张, Web 应用程序几乎无处不在,渗透到社会的经济.文化.娱乐等各个 ...
- 《黑客攻防技术宝典Web实战篇@第2版》读书笔记1:了解Web应用程序
读书笔记第一部分对应原书的第一章,主要介绍了Web应用程序的发展,功能,安全状况. Web应用程序的发展历程 早期的万维网仅由Web站点构成,只是包含静态文档的信息库,随后人们发明了Web浏览器用来检 ...
- 《黑客攻防技术宝典:Web实战篇》习题答案(一)
译者按:以下为<黑客攻防技术宝典:Web实战篇>一书第二版中的习题答案,特在此推出.如果读者发现任何问题,请与本人联系.英文答案请见:The Web Application Hacker' ...
- 《黑客攻防技术宝典Web实战篇》.Dafydd.Stuttard.第2版中文高清版pdf
下载地址:网盘下载 内容简介 编辑 <黑客攻防技术宝典(Web实战篇第2版)>从介绍当前Web应用程序安全概况开始,重点讨论渗透测试时使用的详细步骤和技巧,最后总结书中涵盖的主题.每章后还 ...
- 黑客攻防技术宝典web实战篇:核心防御机制习题
猫宁!!! 参考链接:http://www.ituring.com.cn/book/885 黑客攻防技术宝典web实战篇是一本非常不错的书,它的著作人之一是burpsuite的作者,课后的习题值得关注 ...
- 全面分析Web应用程序安全漏洞——《黑客攻防技术宝典:web实战篇》
媒体评论 "想成为 Web 安全高手吗?读这本书吧,你一定不会失望!" --Amazon.com "没有空洞的理论和概念,也没有深奥的行话,除了实战经验,还是实战经验-- ...
- 黑客攻防技术宝典Web实战篇 第2版 pdf
下载地址:网盘下载 内容简介 · · · · · · 越来越多的关键应用现在已经迁移到网站上,这些Web应用的安全已经成为各机构的重要挑战.知己知彼,方能百战不殆.只有了解Web应用程序中存在的可被 ...
- 黑客攻防技术宝典:Web实战篇(第2版)与第1版的区别
第1版出版4年以来,许多事情发生了改变,而许多事情仍保持原状.当然,新技术继续高速发展,这引发了各种新型漏洞和攻击.同时,黑客们还开发出了新的攻击技术,设计了利用旧有漏洞的新方法.但是,这些技术或人为 ...
- 黑客攻防技术宝典(二十)
Web应用程序黑客工具包 20.1 Web浏览器 20.2 集成测试套件 20.2.1 工作原理 20.2.2 测试工作流程 20.2.3 拦截代理服务器替代工具 20.3 独立漏洞扫描器 20.3. ...
最新文章
- 了解CSS/CSS3原生变量var (转)
- Python 炫技操作:合并字典的七种方法
- c语言数组本质,c语言数组的本质
- 电脑不能上网之硬件故障
- 基于深度学习的脑电图识别 综述篇(二)数据采样及处理
- 深入解剖unsigned int 和 int
- OVS vswitchd启动(三十八)
- 头条一面竟然问我Maven?
- [UE4]创建游戏、加入游戏
- origin如何绘制双y轴曲线_Origin对曲线进行多峰拟合
- android实现超酷的腾讯视频首页和垂直水平网格瀑布流一揽子效果
- 图解TCPIP-ICMP
- git原理详解与实操指南_基于dockercompose的Gitlab CI/CD实践amp;排坑指南
- 云服务器怎么配置文件,云服务器网卡怎么配置文件
- 十分钟快速自制CMSIS_DAP仿真器~将ST-LINK-V2变身DAP仿真器~
- 定义标准的POJO类
- linux stubs 32.h,解决 error: gnu/stubs-32.h: No such file or directory
- Linux- 什么是PID?
- 120. Triangle(三角矩阵)
- leach协议c++代码_leach协议.doc
热门文章
- 超外差ASK\RF433m、RF315m射频遥控模块解码教程,无线遥控器、电动窗帘遥控、RF遥控器电平信号、协议分析
- ZOJ Monthly, January 2019 - A 规律
- js/jQuery/vue练习
- 黑盒测试方法四(正交实验法)
- Gerrit Trigger配置
- hr看php简历,HR:“有这样的简历,才值得一见!”
- 睡五分钟等于六钟头的方法(熬夜必看)
- java简单信息管理_用java写一个简单的学生信息管理系统
- x230接2K显示器
- C练题笔记之:Leetcode-654. 最大二叉树