黑客攻防技术宝典Web实战篇【第2版】

#学习资料 ·2025-11-19 14:11:24

总体而言，本书根据不同主题之间的依赖关系将内容组织在一起。如果你还不了解黑客是如何攻击Web应用程序的，应该从头至尾读完本书，以了解在后续有关章节中需要用到的背景信息和技巧。如果你在这方面已经拥有一定的经验，可以直接跳到特别感兴趣的任何章节或部分。

必要时，我们将提供其他章节的交叉参考，以帮助你弥补理解上的欠缺。本书前3章介绍一些背景信息，描述当前Wcb应用程序的安全状况，说明它将来的发展趋势。然后将介绍影响Wcb应用程序的核心安全问题，以及应用程序为解决这些问题所采取的防御机制。

同时还将介绍当前Web应用程序所使用的关键技术。本书的主要部分重点讨论核心主题--渗透测试员在攻击Web应用程序时使用的技巧。我们根据实施全面攻击所需要完成的关键任务组织材料，这些任务依次为解析应用程序的功能，检查和攻击它的核心防御机制，探查特殊类型的安全漏洞。

最后3章对本书涵盖的各种主题进行简要总结描述，如何在应用程序源代码中查找漏洞。从而能够在回顾中帮助渗透测试员更好理解攻击Web应用程序的工具。详细介绍攻击方法论，说明渗透测试员如何对一个目标应用程序实施全面而深入的攻击。

第1章描述当前在因特网上运行的Web应用程序的安全状况。尽管软件商常常保证Web应用程序是安全的，但绝大多数的应用程序并不真正安全，只要掌握一些技巧，就能够攻破它们。Web应用程序中的漏洞源于一个核心问题，用户可提交任意输入。这一章将分析造成当今应用程序安全状况不佳的关键因素，并说明Web应用程序中存在的缺陷如何导致组织庞大的技术基础架构非常易于受到攻击。

第2章描述Web应用程序为解决“所有用户输入都不可信”这个基本问题而采用的核心安全机制。应用程序通过这些机制管理用户访问、控制用户输入、抵御攻击者。这些机制还为管理员提供各种功能，帮助他们管理和监控应用程序自身。应用程序的核心安全机制还是它的主要受攻击面，在对它们实施有效攻击前，渗透测试员必须了解这些机制的工作原理。第3章简要介绍渗透测试员在攻击Web应用程序时可能遇到的关键技术，包括相关HTTP协议、客户端与服务器端常用的技术以及各种数据编码方案。已经熟悉主要Web技术的读者可以跳过本章。

第4章描述渗透测试员在攻击一个新的应用程序时所需采取的第一步，即尽可能多地收集与应用程序有关的信息，以确定它的受攻击面，制订攻击计划。渗透测试员需要搜索并探查应用程序，枚举它的全部内容与功能，确定所有用户输入进入点，并查明它所使用的技术。第5章描述了存在漏洞的第一个区域。如果一个应用程序依靠在客户端实现的控件来保护它的安全，就可能造成这种漏洞。这种保护应用程序的方法往往存在缺陷，因为攻击者可轻易避开任何客户端控件。应用程序易于受到攻击的原因有两个:(1)通过客户端传送数据，认为这些数据不会被修改;(2)依赖客户端对用户输入进行检查。这一章将介绍一系列有用的技术，包括HTML、HTTP与JavaScript所采用的轻量级控件，以及使用Javaapplet、ActiveX控件、Silverlight和Flash对象的重量级控件。

本书高清版下载链接：https://www.alipan.com/s/hSuXcJFo1RM