新書推薦:
《
控制权视角下的家族企业管理与传承
》
售價:NT$
398.0
《
冯友兰和青年谈心系列
》
售價:NT$
762.0
《
利他主义的生意:偏爱“非理性”的市场(英国《金融时报》推荐读物!)
》
售價:NT$
352.0
《
认知行为疗法:心理咨询的顶层设计
》
售價:NT$
454.0
《
FANUC工业机器人装调与维修
》
售價:NT$
454.0
《
吕著中国通史
》
售價:NT$
286.0
《
爱琴海的光芒 : 千年古希腊文明
》
售價:NT$
908.0
《
不被他人左右:基于阿德勒心理学的无压力工作法
》
售價:NT$
301.0
|
編輯推薦: |
减少Web应用安全漏洞,提高Web系统的安全性。
|
內容簡介: |
本书内容共分五章,从Web应用漏洞扫描产品的技术实现和标准入手,对Web应用漏洞扫描产品的产生需求、技术原理、实现机制、产品标准、典型应用和产品等内容进行了全面、翔实的介绍。
|
關於作者: |
俞优,硕士,副研究员。长期围绕网络安全等级保护、网络安全产品等方向开展相关测试方法、标准和工具的研究。在网络安全相关领域,作为负责人或子任务负责人完成多项国家\省部级科研项目;牵头或作为主要完成人制定30余项国家标准\行业标准;先后获得4次公安部科学技术奖三等奖,1次中国电子学会科技进步奖三等奖,1次上海市标准化优秀技术成果二等奖。
|
目錄:
|
第1章 综述 1
1.1 为什么需要进行Web应用漏洞扫描 1
1.1.1 Web应用安全现状 1
1.1.2 Web应用攻击形式 2
1.1.3 采用Web应用漏洞扫描技术的必要性 3
1.2 Web应用漏洞扫描技术发展历程 5
1.2.1 漏洞检测技术 5
1.2.2 Web应用漏洞检测技术 6
第2章 Web系统及安全扫描技术 10
2.1 Web系统 10
2.1.1 Web的发展 10
2.1.2 Web系统构成 11
2.1.3 Web应用架构 15
2.1.4 Web访问方法 16
2.1.5 Web编程语言 20
2.1.6 Web数据库访问技术 24
2.1.7 Web服务器 27
2.2 HTTP协议 30
2.2.1 HTTP协议通信过程 31
2.2.2 统一资源定位符 32
2.2.3 HTTP的连接方式和无状态性 33
2.2.4 HTTP请求报文 34
2.2.5 HTTP响应报文 37
2.2.6 HTTP报文结构汇总 39
2.2.7 HTTP会话管理 40
2.3 HTTPS协议 42
2.3.1 HTTPS和HTTP的主要区别 43
2.3.2 HTTPS通信过程 44
2.3.3 HTTPS的优点 44
2.3.4 HTTPS的缺点 45
2.4 Web应用漏洞的定义和分类 45
2.4.1 Web应用漏洞的定义 45
2.4.2 Web应用漏洞的分类 46
2.4.3 OWASP与WASC 49
2.4.4 Web应用漏洞产生的原因 51
2.5 Web应用漏洞扫描产品工作机制 51
2.6 扫描机制 55
2.6.1 被动模式 55
2.6.2 主动模式 62
2.7 爬虫技术 65
2.8 漏洞检测技术 68
2.8.1 SQL注入漏洞分析 68
2.8.2 跨站脚本攻击漏洞分析 75
2.8.3 CSRF漏洞分析 79
2.8.4 任意文件下载漏洞分析 83
2.8.5 文件包含漏洞分析 85
2.8.6 网页木马分析 91
2.8.7 逻辑漏洞分析 95
2.8.8 暗链原理分析 98
2.9 漏洞验证与渗透测试 99
2.9.1 SQL注入漏洞验证与渗透测试 101
2.9.2 跨站脚本漏洞验证 104
2.9.3 CSRF漏洞验证 105
2.10 常见过滤绕过技术 105
2.11 网页内容检测技术 107
2.11.1 本地检测技术 108
2.11.2 远程检测技术 109
2.12 性能与效率 110
2.12.1 爬虫效率的提升 110
2.12.2 检测效率的提升 114
第3章 Web应用漏洞扫描产品标准介绍 115
3.1 如何评价Web应用漏洞扫描产品 115
3.2 行业标准编制情况概述 116
3.2.1 标准的主要内容 116
3.2.2 标准的主要条目解释 119
3.3 国家标准编制情况概述 123
3.3.1 标准介绍 123
3.3.2 标准的主要内容 124
3.4 测试环境介绍 149
3.4.1 常见测试环境 149
3.4.2 WebGoat安装部署 150
3.4.3 DVWA安装部署 153
第4章 Web应用漏洞扫描产品的典型应用 155
4.1 应用场景一 155
4.1.1 背景及需求 155
4.1.2 应用案例 156
4.2 应用场景二 159
4.2.1 背景及需求 159
4.2.2 应用案例 159
4.3 应用场景三 161
4.3.1 背景及需求 161
4.3.2 解决方案分析 161
4.3.3 建设目标 162
4.3.4 系统架构 163
第5章 Web应用漏洞扫描产品介绍 164
5.1 Acunetix Web Vulnerability Scanner 164
5.2 IBM Rational AppScan 165
5.3 明鉴Web应用弱点扫描器 165
5.4 绿盟Web应用漏洞扫描系统 166
5.5 天融信Web扫描系统 167
5.6 360网站漏洞扫描系统 168
5.7 天泰Web安全监测系统 169
5.8 更多产品 170
参考文献 172
|
內容試閱:
|
随着大数据时代的来临,海量数据在互联网中传播,其中不乏来自用户的大量敏感信息,而在Web交互性增强的同时,也引入了更多的网络安全威胁,Web应用的安全性值得广泛关注。同时,随着网络技术日趋成熟,黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。利用Web应用潜在的隐患与风险,攻击者不但可以劫持用户会话,甚至可以盗取用户账户信息、窃取财产、破坏服务数据或散布恶意信息等。这些都会阻碍整个互联网的健康发展。
然而种种证据表明,Web应用安全漏洞广泛存在,而且潜在的影响十分恶劣,无论是对因特网业务收入日益增长的企业,还是向Web应用托付敏感信息的用户,Web应用的安全性都是值得关注的话题。为了减少Web应用安全漏洞,提高Web系统的安全性,最有效的途径是提高Web应用开发、维护等从业人员的素质,并在安全管控方面有针对性地对其进行培训和提升,增强其安全意识。尽管如此,即使再优秀的设计与实现都难免会存在一些安全风险,无论是设计缺陷、编码不严谨,还是管理不严格,都可能给攻击者留下可乘之机。早期由于技术不成熟,Web应用的规模较小,应用也不够广泛,传统的人工安全漏洞检测还可以处理相对简单的情况,而其检测质量仍然受到检测人员的素质、水平与经验的约束。但是,随着Web应用系统规模变大,软件开发周期变短,人工检测的工作量越来越大,而且存在许多重复性的工作,这使得人工检测变得不仅费时费力、效率不高,而且效果也很差。因此,必须借助自动化技术进行漏洞扫描。Web应用漏洞扫描产品就是来解决这些问题的,它可以自动发现Web应用漏洞,并且指导开发人员对漏洞进行修复,从而可以在很大程度上提升Web应用的安全性,保障Web应用的质量。同时,也降低了人工成本,使得测试人员可以把更多的精力放在对业务逻辑的确认上,从而提高测试效率。
Web应用漏洞扫描的各项技术是如何实现的?带着这些问题,本书从Web系统及安全扫描技术、产品标准、典型应用等方面进行介绍和分析,期望能够带给读者一定的借鉴。
本书的编写人员均来自公安部计算机信息系统安全产品质量监督检验中心,同时,本书编写人员也参与了国家标准《信息安全技术 Web应用安全检测系统安全技术要求和测试评价方法》、公共安全行业标准《信息安全技术Web应用安全扫描产品安全技术要求》(GAT 11072013)的编制工作,因此,本书在标准介绍和描述方面具有一定的权威性。
本书第1章由俞优撰写,第2章由俞优、杨元原撰写,第3~5章由沈亮、邹春明撰写。顾健作为丛书主编,负责把握全书技术方面,并对各章节的具体编写提供了指导性意见。全书由俞优统稿。此外,王志佳、张笑笑等同志也参与了本书资料的收集和部分编写工作。由于编写人员水平有限且时间紧迫,本书不足之处在所难免,恳请各位专家和读者不吝批评指正。
本书的编写得到了北京天融信网络安全技术有限公司、网神信息技术(北京)股份有限公司、杭州安恒信息技术有限公司和北京神州绿盟科技有限公司的大力协助,在此表示衷心的感谢!
|
|