黑客攻防技术宝典(一)
第一章 web应用程序安全与风险
- 1.1 web应用程序发展历程
- 1.1.1 web应用程序常见功能
- 1.1.2 web应用程序的优点
- 1.2 web应用程序安全
- 1.2.1 “本站点是安全的”
- 1.2.2 核心安全问题:用户可提交任意输入
- 1.2.3 关键问题因素
- 1.2.3 新的安全边界
- 1.2.5 web应用程序安全的未来
- 1.3 小结
1.1 web应用程序发展历程
1.1.1 web应用程序常见功能
- 购物
- 社交网络
- 银行服务
- web搜索
- 拍卖
- 博彩与投机
- 博客
- web邮件
- 交互信息
1.1.2 web应用程序的优点
- HTTP协议是轻量级的,无须链接
- 用户通过浏览器即可访问
- 界面美观,并可通过浏览器插件扩展功能
- 用于开发web程序的核心技术和语言相对简单
1.2 web应用程序安全
1.2.1 “本站点是安全的”
大多数web应用程序都声称是安全的,因为它们使用SSL。SSL是一种用于为用户浏览器和web服务器质检传输的数据提供机密性与完整性保护功能的技术。有助于防止信息泄露,并可保证用户处理的web服务器的安全性。但是SSL并不能抵御直接针对某个应用程序的服务器或客户端组件的攻击。
常见漏洞
- 不完善的身份验证措施
- 不完善的访问控制机制
- SQL注入
- 跨站点脚本
- 信息泄露
- 跨站点请求伪造
1.2.2 核心安全问题:用户可提交任意输入
绝大多数针对web应用程序的攻击都设计向服务器提交输入,旨在引起一些应用程序设计者无法预料或不希望出现的事件。
- 用户可干预客户端与服务器间传送的所有数据
- 用户可按任何顺序发送请求
- 用户不限于使用一种web浏览器访问应用程序
1.2.3 关键问题因素
- 不成熟的安全意识
- 独立开发
- 欺骗性的简化
- 迅速发展的威胁形势
- 资源与时间限制
- 技术上强其所难
- 对功能的需求不断增强
1.2.3 新的安全边界
- 必须在应用程序内部执行防御措施
- 第三方组件的安全
- 对访问用户的攻击
- 对客户端的攻击
1.2.5 web应用程序安全的未来
- 漏洞变得更加难以发现和利用
- 攻击目标由传统的服务器端应用转向用户应用程序
- 技术领域的变革
1.3 小结
黑客攻防技术宝典(一)相关推荐
- 热评一箩筐——《黑客攻防技术宝典》
< 黑客攻防技术宝典: Web实战篇 > 自 8 月初上市,将近两个月共计销售 2500 多册(在今年金融危机这个大环境下,能有这样的销量还是相当不错的). 下面是我们收集的读者对这本书的 ...
- 跟安全技术大师学习黑客攻防技术 ——《黑客攻防技术宝典:web实战篇》
跟安全技术大师学习黑客攻防技术 --<黑客攻防技术宝典: web 实战篇> 随着网络技术的快速发展以及网络带宽的不断扩张, Web 应用程序几乎无处不在,渗透到社会的经济.文化.娱乐等各个 ...
- 《黑客攻防技术宝典Web实战篇@第2版》读书笔记1:了解Web应用程序
读书笔记第一部分对应原书的第一章,主要介绍了Web应用程序的发展,功能,安全状况. Web应用程序的发展历程 早期的万维网仅由Web站点构成,只是包含静态文档的信息库,随后人们发明了Web浏览器用来检 ...
- 《黑客攻防技术宝典:Web实战篇》习题答案(一)
译者按:以下为<黑客攻防技术宝典:Web实战篇>一书第二版中的习题答案,特在此推出.如果读者发现任何问题,请与本人联系.英文答案请见:The Web Application Hacker' ...
- 《黑客攻防技术宝典Web实战篇》.Dafydd.Stuttard.第2版中文高清版pdf
下载地址:网盘下载 内容简介 编辑 <黑客攻防技术宝典(Web实战篇第2版)>从介绍当前Web应用程序安全概况开始,重点讨论渗透测试时使用的详细步骤和技巧,最后总结书中涵盖的主题.每章后还 ...
- 黑客攻防技术宝典web实战篇:核心防御机制习题
猫宁!!! 参考链接:http://www.ituring.com.cn/book/885 黑客攻防技术宝典web实战篇是一本非常不错的书,它的著作人之一是burpsuite的作者,课后的习题值得关注 ...
- 全面分析Web应用程序安全漏洞——《黑客攻防技术宝典:web实战篇》
媒体评论 "想成为 Web 安全高手吗?读这本书吧,你一定不会失望!" --Amazon.com "没有空洞的理论和概念,也没有深奥的行话,除了实战经验,还是实战经验-- ...
- 黑客攻防技术宝典Web实战篇 第2版 pdf
下载地址:网盘下载 内容简介 · · · · · · 越来越多的关键应用现在已经迁移到网站上,这些Web应用的安全已经成为各机构的重要挑战.知己知彼,方能百战不殆.只有了解Web应用程序中存在的可被 ...
- 黑客攻防技术宝典:Web实战篇(第2版)与第1版的区别
第1版出版4年以来,许多事情发生了改变,而许多事情仍保持原状.当然,新技术继续高速发展,这引发了各种新型漏洞和攻击.同时,黑客们还开发出了新的攻击技术,设计了利用旧有漏洞的新方法.但是,这些技术或人为 ...
- 黑客攻防技术宝典(二十)
Web应用程序黑客工具包 20.1 Web浏览器 20.2 集成测试套件 20.2.1 工作原理 20.2.2 测试工作流程 20.2.3 拦截代理服务器替代工具 20.3 独立漏洞扫描器 20.3. ...
最新文章
- 结对第2次作业——WordCount进阶需求
- oracle中触发器的讲解
- 修改oracle用户资源限制,RHEL5中安装Oracle11gR2修改用户SHELL限制、环境配置、内核参数...
- 静止的人如何看待高速运动的球?
- 简单版---JS获得某天是一年当中的第几天
- 轴固定位置_何为轴?来看看你对轴了解了么
- 论跨境电商ERP系统与wms仓储管理系统之间有何区别和联系?
- 含有百分数的简便运算_青岛版三年级上册数学6.1不含括号的混合运算(一)微课知识点精讲+练习...
- Python Flask Web 第十课 —— flask-wtf
- 高中计算机学业水平测试知识点总结,高中生物学业水平测试知识点总结
- ubuntu20.04 开机速度非常慢
- 香槟分校计算机专业毕业生去向,数据会告诉你 伊利诺伊大学香槟分校计算机系有多可怕...
- STM32毕业设计题目大全
- miui9免解锁root,Miui解锁
- window7系统下如何使用虚拟机安装苹果系统
- 使用VMware虚拟机搭建爱快路由器PPPoE服务器环境
- 程序物语(五):经营自己的程序生涯
- DTS、杜比2.0、杜比5.1、AC3各是什么意思
- win10无法登录Microsoft账号(登录页面无法加载)
- php让手机全屏,手机网站按比例显示铺满手机全屏/网站两边不留白