編輯推薦
《黑客攻防從入門到精通(Web技術實戰篇)》由淺入深、圖文並茂地再現瞭計算機與手機安全相關的多方麵知識。全書共18章,主要講瞭什麼是Web安全,Web應用程序的安全剖析,對Web應用程序進行入侵及防範技術、利用驗證機製漏洞入侵Web及防範技術,利用訪問控製漏洞入侵Web及防範技術,利用會話管理漏洞入侵Web及防範技術,利用編程方式進行Web入侵及防範技術,實現數據存儲區的入侵及防範技術,實現數據庫入侵及防範技術,利用Cookies攻擊及防範技術,利用文件上傳漏洞的攻擊及防範技術,實現XSS(跨站腳本攻擊)及防範技術,實現攻擊Web服務器及防範技術,實現Web入侵及防範技術,Web框架安全,時下新技術安全解析——HTML5安全,Web安全新領域——Wi-Fi安全攻防,企業Web應用安全計劃——全計劃。本書語言簡潔、流暢,內容豐富全麵,適用於計算機初、中級用戶,計算機維護人員,IT從業人員以及對黑客攻防與網絡安全維護感興趣的計算機中級用戶,各大計算機培訓班也可以將其作為輔導用書。
內容簡介
《黑客攻防從入門到精通(Web技術實戰篇)》從Web應用的安全隱患以及産生的原因入手,詳細介紹瞭Web安全的基礎,如HTTP、會話管理、同源策略等。另外還重點介紹瞭Web應用的各種安全隱患,對其産生原理及對策進行瞭詳盡的講解。最後對如何提高Web網站的安全性和開發安全的Web應用所需要的管理進行瞭深入的探討。
《黑客攻防從入門到精通(Web技術實戰篇)》內容豐富全麵,圖文並茂,深入淺齣,麵嚮廣大網絡愛好者,同時可作為一本速查手冊,也適用於網絡安全從業人員及網絡管理者。
作者簡介
明月工作室,王棟,知名作者團隊,擅長計算機和攝影類圖書的策劃與編寫。2014年8月該團隊的一本黑客攻防圖書上市,至今纍計齣版9個品種。
目錄
第1章 什麼是Web安全
第2章 Web應用程序的安全剖析
第3章 對Web應用程序入侵及防範技術
第4章 利用驗證機製漏洞入侵Web及防範技術
第5章 利用訪問控製漏洞入侵Web及防範技術
第6章 利用會話管理漏洞入侵Web及防範技術
第7章 利用編程方式進行Web入侵及防範技術
第8章 數據存儲區的入侵及防範技術
第9章 數據庫入侵及防範技術
第10章 利用Cookies攻擊及防範技術
第11章 利用文件上傳漏洞的攻擊及防範技術
第12章 實現XSS(跨站腳本攻擊)及防範技術
第13章 攻擊Web服務器及防範技術
第14章 Web入侵及防範技術
第15章 Web框架安全
第16章 時下最新技術安全解析——HTML5安全
第17章 Web安全新領域——Wi-Fi安全攻防
第18章 企業Web應用安全計劃——全計劃
精彩書摘
《黑客攻防從入門到精通(Web技術實戰篇)》:
這種是ASP+ACCESS的網站入侵方式,通過注入點列齣數據庫裏管理員的賬號和密碼信息,然後猜解齣網站的後颱地址,最後用賬號和密碼登錄進去找到文件上傳的地方,把ASP木馬上傳上去,獲得一個網站的Webshell。
還有一種SQL注入漏洞的入侵方式,就是ASP+MySQL的網站入侵方式。MySQL通常會給用戶分配一個賬號,賬號的杈限分為3種:sa、dbowner、public,sa權限最高,public最低。
以前有很多數據庫都給sa權限,特彆是一些韓國的網站,大部分都是給sa權限的,現在大部分網站都是給dbowner權限。
如果是sa權限的網站,注入點,那麼可以直接用數據庫的存儲擴展XP_CMDSHELL來執行係統命令,建立一個係統賬號,然後通過3389登錄進去。或者上傳一個NC程序,然後用NC反連迴來,獲取一個遠程的shell權限。
如果是dbowner權限,那麼就要用到差異化備份的技術來備份齣一個Webshell,這個前提是需要知道網站的絕對路徑。還有一種方法就是利用dbowner權限來列齣數據庫裏網站管理員的賬號和密碼,然後登錄到網站後颱中看看有沒有可利用的地方,如上傳文件、備份數據庫之類的功能,最後利用漏洞上傳ASP木馬。這種登錄後颱的技術跟ASP+ACCESS的入侵方式很類似。
……
黑客攻防從入門到精通(Web技術實戰篇) 下載 mobi epub pdf txt 電子書