Web安全深度剖析

Web安全深度剖析

详情

第1篇 基础篇

第1章 Web安全简介

1.1 服务器是如何被入侵的

1.2 如何更好地学习Web安全

第2章 深入HTTP请求流程

2.1 HTTP协议解析

2.1.1 发起HTTP请求

2.1.2 HTTP协议详解

2.1.3 模拟HTTP请求

2.1.4 HTTP协议与HTTPS协议的区别

2.2 截取HTTP请求

2.2.1 Burp Suite Proxy 初体验

2.2.2 Fiddler

2.2.3 WinSock Expert

2.3 HTTP应用:黑帽SEO之搜索引擎劫持

2.4 小结

第3章 信息探测

3.1 Google Hack

3.1.1 搜集子域名

3.1.2 搜集Web信息

3.2 Nmap初体验

3.2.1 安装Nmap

3.2.2 探测主机信息

3.2.3 Nmap脚本引擎

3.3 DirBuster

3.4 指纹识别

3.5 小结

第4章 漏洞扫描

4.1 Burp Suite

4.1.1 Target

4.1.2 Spider

4.1.3 Scanner

4.1.4 Intruder

4.1.5 辅助模块

4.2 AWVS

4.2.1 WVS向导扫描

4.2.2 Web扫描服务

4.2.3 WVS小工具

4.3 AppScan

4.3.1 使用AppScan扫描

4.3.2 处理结果

4.3.3 AppScan辅助工具

4.4 小结

第2篇 原理篇

第5章 SQL注入漏洞

5.1 SQL注入原理

5.2 注入漏洞分类

5.2.1 数字型注入

5.2.2 字符型注入

5.2.3 SQL注入分类

5.3 常见数据库注入

5.3.1 SQL Server

5.3.2 MySQL

5.3.3 Oracle

5.4 注入工具

5.4.1 SQLMap

5.4.2 Pangolin

5.4.3 Havij

5.5 防止SQL注入

5.5.1 严格的数据类型

5.5.2 特殊字符转义

5.5.3 使用预编译语句

5.5.4 框架技术

5.5.5 存储过程

5.6 小结

第6章 上传漏洞

6.1 解析漏洞

6.1.1 IIS解析漏洞

6.1.2 Apache解析漏洞

6.1.3 PHP CGI解析漏洞

6.2 绕过上传漏洞

6.2.1 客户端检测

6.2.2 服务器端检测

6.3 文本编辑器上传漏洞

6.4 修复上传漏洞

6.5 小结

第7章 XSS跨站脚本漏洞

7.1 XSS原理解析

7.2 XSS类型

7.2.1 反射型XSS

7.2.2 存储型XSS

7.2.3 DOM XSS

7.3 检测XSS

7.3.1 手工检测XSS

7.3.2 全自动检测XSS

7.4 XSS高级利用

7.4.1 XSS会话劫持

7.4.2 XSS Framework

7.4.3 XSS GetShell

7.4.3 XSS蠕虫

7.5 修复XSS跨站漏洞

7.5.1 输入与输出

7.5.2 HttpOnly

7.6 小结

第8章 命令执行漏洞

8.1 OS命令执行漏洞示例

8.2 命令执行模型

8.2.1 PHP命令执行

8.2.2 Java命令执行

8.3 框架执行漏洞

8.3.1 Struts2代码执行漏洞

8.3.2 ThinkPHP命令执行漏洞

8.3 防范命令执行漏洞

第9章 文件包含漏洞

9.1 包含漏洞原理解析

9.1.1 PHP包含

9.1.2 JSP包含

9.2 安全编写包含

9.3 小结

第10章 其他漏洞

10.1 CSRF

10.1.1 CSRF攻击原理

10.1.2 CSRF攻击场景(GET)

10.1.3 CSRF攻击场景(POST)

10.1.4 浏览器Cookie机制

10.1.5 检测CSRF漏洞

10.1.6 预防跨站请求伪造

10.2 逻辑错误漏洞

10.2.1 挖掘逻辑漏洞

10.2.2 绕过授权验证

10.2.3 密码找回逻辑漏洞

10.2.4 支付逻辑漏洞

10.2.5 指定账户恶意攻击

10.3 代码注入

10.3.1 XML注入

10.3.2 XPath注入

10.3.3 JSON注入

10.3.4 HTTP Parameter Pollution

10.4 URL跳转与钓鱼

10.4.1 URL跳转

10.4.2 钓鱼

10.5 WebServer远程部署

10.5.1 Tomcat

10.5.2 JBoss

10.5.3 WebLogic

10.6 小结

第3篇 实战篇

第11章 实战入侵与防范

11.1 开源程序安全剖析

11.1.1 0day攻击

11.1.2 网站后台安全

11.1.3 MD5还安全吗

11.2 拖库

11.2.1 支持外连接

11.2.2 不支持外连接

11.3 小结

第4篇 综合篇

第12章 暴力破解测试

12.1 C/S架构破解

12.2 B/S架构破解

12.3 暴力破解案例

12.4 防止暴力破解

12.5 小结

第13章 旁注攻击

13.1 服务器端Web架构

13.2 IP逆向查询

13.3 SQL跨库查询

13.4 目录越权

13.5 构造注入点

13.6 CDN

13.7 小结

第14章 提权

14.1 溢出提权

14.2 第三方组件提权

14.2.1 信息搜集

14.2.2 数据库提权

发表评论
肆 乘 玖 =
评论通过审核后显示。