PHP Web安全開發實戰 ( 簡體 字) |
| 作者:湯青松 | 類別:1. -> 程式設計 -> 網路編程 -> PHP
2. -> 安全 -> 網路安全 -> 駭客攻擊與入侵 |
| 譯者: |
| 出版社:清華大學出版社 |  3dWoo書號: 50056
詢問書籍請說出此書號!【缺書】
NT售價: 295 元 |
| 出版日:10/1/2018 |
| 頁數:210 |
| 光碟數:0 |
|
站長推薦:  |
| 印刷:黑白印刷 | 語系: ( 簡體 版 ) |
| |
加入購物車  │加到我的最愛
(請先登入會員) |
| ISBN:9787302511274 |
| 作者序 | 譯者序 | 前言 | 內容簡介 | 目錄 | 序 |
| (簡體書上所述之下載連結耗時費功, 恕不適用在台灣, 若讀者需要請自行嘗試, 恕不保證) |
| 作者序: |
| 譯者序: |
前言:在準備寫這本書的時候參考了很多Web安全方面的資料和書籍,我發現很多書籍和資料都是從攻擊者的角度來講述Web安全的。為了防止本書和其他的書籍以及相關資料同質化,在規劃本書的時候,特意從PHP開發者的角度出發,目的是讓開發者提升安全開發的能力,書中會講到目前Web安全中的常見漏洞、相關的漏洞案例、最佳的安全防范方法,以及我自己的觀點,希望能幫到需要提升安全知識的PHP從業者。
本書內容
第1章 信息泄露
此書面向安全意識薄弱的開發者,因此在第1章中帶領讀者入門,主要介紹攻擊者在攻擊服務器時在前期如何探查服務器信息,攻擊者有哪些手段來挖掘漏洞,讓讀者能夠快速了解漏洞是如何被發現的。
第2章 常規漏洞
講解開發者在編碼過程中,因缺乏安全意識或遺漏而導致的安全問題;同時通過生動的案例分析來說明攻擊者是如何發現此類安全問題的;最后在章節末尾會提到開發者如何規避這些編碼導致的安全問題。
第3章 業務邏輯安全
在設計一些業務的時候,不僅編碼會產生安全漏洞,業務同樣會產生大問題,比如常見的越權漏洞、支付漏洞、驗證碼問題,這些問題其實在設計功能之初就應該考慮到項目計劃中去。
第4章 LANMP安全配置
對于PHP開發者來說,一定離不開Nginx、Apache、MySQL、PHP、Redis等配置,不過這些配置并不會經常用到,通常是配置一次,后面就不用再理會。這也導致了開發者因為對配置的陌生而出現不少安全問題,本章會總結出因為配置不當而帶來的安全問題,同時也會給出正確的安全配置建議。
第5章 認證與加密
在進行業務開發的過程中,我們很頻繁地使用加密與解密,但對其底層原理卻了解得甚少,甚至部分開發者無法分清認證與加密的區別,本章主要介紹加密和認證的相關技術,以幫助開發人員了解其技術特點,從而開發出安全的應用。
第6章 其他Web安全主題
攻擊者的攻擊方式是多樣的,我們在防范安全問題的同時,一定要有重點目標,所以本章會提到漏洞的危險等級劃分、CMS引起的漏洞如何防御、對自身的業務如何安全測試、在測試的同時如何提升效率,本章還會介紹兩款經典的安全檢測工具: Burp Suite和SQLMap,讓讀者能夠對自己開發的產品進行安全檢測。
本書讀者對象
這本書面向懂PHP開發但不擅長安全方面的開發者,可以通過此書讓你在Web安全方面快速成長,在書中列出了很多互聯網的漏洞案例,目的是讓讀者看了之后更加了解攻擊者是如何發現漏洞的,從而讓開發者在開發時能夠對癥下藥。
由于編者水平有限,雖已盡力,但書中肯定還會存在許多不妥甚至謬誤,敬請廣大讀者和專家不吝指教,非常感謝。
湯青松
2018年4月于北京 |
內容簡介:本書結合在安全方面的開發經驗,站在開發者的角度,循序漸進地介紹了大量實際發生的漏洞案例,并給出了技術解決方案,包括:常見的網絡攻擊、代碼安全、前端腳本安全、后端應用安全、賬戶安全、加解密認證、SQL注入以及服務器配置等內容。通過閱讀本書,讀者能夠對整個網絡安全有一個全新的認識和深入的理解,從而成為一位懂安全、會防護的工程師,避免在工作中成為黑客攻擊的對象。
本書適合PHP開發人員、網絡維護人員以及對網絡安全攻防技術感興趣的讀者閱讀。 |
目錄:第1章信息泄露 1
1.1主機信息 1
1.1.1子域名信息 2
1.1.2端口信息 5
1.1.3域名注冊信息 10
1.1.4網站后臺地址 12
1.2源碼泄露 14
1.2.1Git源碼泄露 15
1.2.2SVN源碼泄露 17
1.2.3.DS_Store文件泄露 18
1.2.4網站備份壓縮文件 20
1.2.5WEB-INF/web.xml泄露 21
1.2.6防御方案 24
1.3賬戶弱口令 24
1.3.1漏洞成因 24
1.3.2漏洞危害 25
1.3.3漏洞案例 26
1.3.4防范方法 29
第2章常規漏洞 31
2.1SQL注入 31
2.1.1注入方式 32
2.1.2漏洞的3種類型 39
2.1.3檢測方法 41
2.1.4防范方法 43
2.1.5代碼審查 45
2.1.6小結 47
2.2XSS跨站 47
2.2.1XSS漏洞類型 48
2.2.2漏洞危害 51
2.2.3防范方法 54
2.2.4操作實踐 56
2.2.5代碼審查 58
2.2.6小結 59
2.3代碼注入與命令執行 59
2.3.1漏洞類型 60
2.3.2漏洞案例 62
2.3.3防御方法 65
2.3.4命令執行 65
2.3.5小結 67
2.4CSRF跨站請求偽造 67
2.4.1原理分析 67
2.4.2漏洞案例 68
2.4.3操作實踐 72
2.4.4防御方法 73
2.4.5防御代碼示例 74
2.4.6小結 75
2.5文件包含 76
2.5.1漏洞成因 76
2.5.2本地文件包含 76
2.5.3遠程文件包含 79
2.5.4測試方法 82
2.5.5使用PHP封裝協議 83
2.5.6小結 84
2.6文件上傳漏洞 85
2.6.1利用方式 85
2.6.2上傳檢測 86
2.6.3解析漏洞 87
2.6.6小結 92
第3章業務邏輯安全 93
3.1驗證碼安全 93
3.1.1圖片驗證碼 94
3.1.2數字暴力破解 98
3.1.3空驗證碼突破 99
3.1.4繞過測試 101
3.1.5憑證返回 102
3.1.6小結 103
3.2密碼找回 103
3.2.1敏感信息泄露 104
3.2.2郵箱弱token 105
3.2.3驗證的有效性 106
3.2.4注冊覆蓋 107
3.2.5小結 109
3.3接口盜用 109
3.3.1API盜用 109
3.3.2短信轟炸 111
3.4賬戶越權 116
3.4.1未授權訪問 116
3.4.2水平越權 118
3.4.3垂直越權 120
3.4.4小結 121
3.5支付漏洞 121
3.5.1支付流程分析 122
3.5.2金額數據篡改 123
3.5.3商品數量篡改 125
3.5.4運費金額修改 127
3.5.5小結 128
3.6SSRF服務端請求偽造 129
3.6.1漏洞成因 129
3.6.2漏洞案例 131
3.6.3總結 134
第4章LANMP安全配置 135
4.1PHP安全配置 135
4.2PHP安全擴展 139
4.2.1taint簡介 139
4.2.2安裝taint 140
4.2.3測試驗證 141
4.2.4小結 144
4.3Apache安全配置 144
4.3.1屏蔽版本信息 144
4.3.2目錄權限隔離 145
4.3.3關閉默認主機 145
4.3.4低權限運行 145
4.3.5防止用戶自定義設置 145
4.3.6禁止顯示目錄 146
4.4Nginx安全配置 148
4.4.1配置防御 148
4.4.2防止權限擴大 149
4.4.3WAF擴展 150
4.4.4Nginx解析漏洞 152
4.5Redis配置 154
4.5.1漏洞成因 154
4.5.2漏洞案例 156
4.5.3小結 157
4.6MySQL安全配置 157
4.6.1權限安全 157
4.6.2網絡配置 162
4.6.3MySQL日志 163
4.6.4主機配置 164
4.6.5啟動選項 165
第5章認證與加密 167
5.1數據加密與簽名 167
5.1.1對稱加密與非對稱加密 167
5.1.2數字簽名 169
5.1.3數字證書 170
5.2HTTPS安全 171
5.2.1HTTPS簡介 171
5.2.2HTTPS被攻擊的方式 173
5.2.3常見誤區 174
5.3密碼加密策略 175
5.3.1密碼存儲 176
5.3.2密碼傳輸 178
5.3.3漏洞案例 178
5.3.4總結 180
第6章其他Web安全主題 181
6.1DDoS攻擊 181
6.1.1DDoS分類 182
6.1.2應對方案 183
6.1.3漏洞案例 184
6.1.4小結 186
6.2CMS通用漏洞 186
6.2.1漏洞簡介 186
6.2.2等級劃分 187
6.2.3漏洞案例 188
6.2.4防御方法 191
6.3網頁掛馬 192
6.3.1掛馬類型 193
6.3.2掛馬檢測 194
6.3.3小結 196
6.4BurpSuite 196
6.4.1攔截數據包 197
6.4.2修改數據包 198
6.4.3頁面鏈接抓取 199
6.4.4自動化挖掘 201
6.4.5暴力破解 201
6.5SQLMap 203
6.5.1查看數據庫賬戶 205
6.5.2查看數據庫中的所有賬戶 206
6.5.3獲取所有數據庫名稱 207
6.5.4獲取數據庫表名稱 208
6.5.5查看表結構 209
6.5.6導出數據 210 |
| 序: |
