Web應用漏洞掃描產品原理與應用( 簡體 字) | |
作者:俞優 等 | 類別:1. -> 安全 -> 網路安全 -> 駭客攻擊與入侵 |
出版社:電子工業出版社 | 3dWoo書號: 52772 詢問書籍請說出此書號! 有庫存 NT售價: 350 元 |
出版日:4/1/2020 | |
頁數:184 | |
光碟數:0 | |
站長推薦: | |
印刷:黑白印刷 | 語系: ( 簡體 字 ) |
ISBN:9787121387227 | 加入購物車 │加到我的最愛 (請先登入會員) |
(簡體書上所述之下載連結耗時費功, 恕不適用在台灣, 若讀者需要請自行嘗試, 恕不保證, 繁體書的下載亦請直接連絡出版社) | |
第1章 綜述 1
1.1 為什么需要進行Web應用漏洞掃描 1 1.1.1 Web應用安全現狀 1 1.1.2 Web應用攻擊形式 2 1.1.3 采用Web應用漏洞掃描技術的必要性 3 1.2 Web應用漏洞掃描技術發展歷程 5 1.2.1 漏洞檢測技術 5 1.2.2 Web應用漏洞檢測技術 6 第2章 Web系統及安全掃描技術 10 2.1 Web系統 10 2.1.1 Web的發展 10 2.1.2 Web系統構成 11 2.1.3 Web應用架構 15 2.1.4 Web訪問方法 16 2.1.5 Web編程語言 20 2.1.6 Web數據庫訪問技術 24 2.1.7 Web服務器 27 2.2 HTTP協議 30 2.2.1 HTTP協議通信過程 31 2.2.2 統一資源定位符 32 2.2.3 HTTP的連接方式和無狀態性 33 2.2.4 HTTP請求報文 34 2.2.5 HTTP響應報文 37 2.2.6 HTTP報文結構匯總 39 2.2.7 HTTP會話管理 40 2.3 HTTPS協議 42 2.3.1 HTTPS和HTTP的主要區別 43 2.3.2 HTTPS通信過程 44 2.3.3 HTTPS的優點 44 2.3.4 HTTPS的缺點 45 2.4 Web應用漏洞的定義和分類 45 2.4.1 Web應用漏洞的定義 45 2.4.2 Web應用漏洞的分類 46 2.4.3 OWASP與WASC 49 2.4.4 Web應用漏洞產生的原因 51 2.5 Web應用漏洞掃描產品工作機制 51 2.6 掃描機制 55 2.6.1 被動模式 55 2.6.2 主動模式 62 2.7 爬蟲技術 65 2.8 漏洞檢測技術 68 2.8.1 SQL注入漏洞分析 68 2.8.2 跨站腳本攻擊漏洞分析 75 2.8.3 CSRF漏洞分析 79 2.8.4 任意文件下載漏洞分析 83 2.8.5 文件包含漏洞分析 85 2.8.6 網頁木馬分析 91 2.8.7 邏輯漏洞分析 95 2.8.8 暗鏈原理分析 98 2.9 漏洞驗證與滲透測試 99 2.9.1 SQL注入漏洞驗證與滲透測試 101 2.9.2 跨站腳本漏洞驗證 104 2.9.3 CSRF漏洞驗證 105 2.10 常見過濾繞過技術 105 2.11 網頁內容檢測技術 107 2.11.1 本地檢測技術 108 2.11.2 遠程檢測技術 109 2.12 性能與效率 110 2.12.1 爬蟲效率的提升 110 2.12.2 檢測效率的提升 114 第3章 Web應用漏洞掃描產品標準介紹 115 3.1 如何評價Web應用漏洞掃描產品 115 3.2 行業標準編制情況概述 116 3.2.1 標準的主要內容 116 3.2.2 標準的主要條目解釋 119 3.3 國家標準編制情況概述 123 3.3.1 標準介紹 123 3.3.2 標準的主要內容 124 3.4 測試環境介紹 149 3.4.1 常見測試環境 149 3.4.2 WebGoat安裝部署 150 3.4.3 DVWA安裝部署 153 第4章 Web應用漏洞掃描產品的典型應用 155 4.1 應用場景一 155 4.1.1 背景及需求 155 4.1.2 應用案例 156 4.2 應用場景二 159 4.2.1 背景及需求 159 4.2.2 應用案例 159 4.3 應用場景三 161 4.3.1 背景及需求 161 4.3.2 解決方案分析 161 4.3.3 建設目標 162 4.3.4 系統架構 163 第5章 Web應用漏洞掃描產品介紹 164 5.1 Acunetix Web Vulnerability Scanner 164 5.2 IBM Rational AppScan 165 5.3 明鑒Web應用弱點掃描器 165 5.4 綠盟Web應用漏洞掃描系統 166 5.5 天融信Web掃描系統 167 5.6 360網站漏洞掃描系統 168 5.7 天泰Web安全監測系統 169 5.8 更多產品 170 參考文獻 172 本書內容共分五章,從Web應用漏洞掃描產品的技術實現和標準入手,對Web應用漏洞掃描產品的產生需求、技術原理、實現機制、產品標準、典型應用和產品等內容進行了全面、翔實的介紹。
隨著大數據時代的來臨,海量數據在互聯網中傳播,其中不乏來自用戶的大量敏感信息,而在Web交互性增強的同時,也引入了更多的網絡安全威脅,Web應用的安全性值得廣泛關注。同時,隨著網絡技術日趨成熟,黑客們也將注意力從以往對網絡服務器的攻擊逐步轉移到了對Web應用的攻擊上。利用Web應用潛在的隱患與風險,攻擊者不但可以劫持用戶會話,甚至可以盜取用戶賬戶信息、竊取財產、破壞服務數據或散布惡意信息等。這些都會阻礙整個互聯網的健康發展。
然而種種證據表明,Web應用安全漏洞廣泛存在,而且潛在的影響十分惡劣,無論是對因特網業務收入日益增長的企業,還是向Web應用托付敏感信息的用戶,Web應用的安全性都是值得關注的話題。為了減少Web應用安全漏洞,提高Web系統的安全性,最有效的途徑是提高Web應用開發、維護等從業人員的素質,并在安全管控方面有針對性地對其進行培訓和提升,增強其安全意識。盡管如此,即使再優秀的設計與實現都難免會存在一些安全風險,無論是設計缺陷、編碼不嚴謹,還是管理不嚴格,都可能給攻擊者留下可乘之機。早期由于技術不成熟,Web應用的規模較小,應用也不夠廣泛,傳統的人工安全漏洞檢測還可以處理相對簡單的情況,而其檢測質量仍然受到檢測人員的素質、水平與經驗的約束。但是,隨著Web應用系統規模變大,軟件開發周期變短,人工檢測的工作量越來越大,而且存在許多重復性的工作,這使得人工檢測變得不僅費時費力、效率不高,而且效果也很差。因此,必須借助自動化技術進行漏洞掃描。Web應用漏洞掃描產品就是來解決這些問題的,它可以自動發現Web應用漏洞,并且指導開發人員對漏洞進行修復,從而可以在很大程度上提升Web應用的安全性,保障Web應用的質量。同時,也降低了人工成本,使得測試人員可以把更多的精力放在對業務邏輯的確認上,從而提高測試效率。 Web應用漏洞掃描的各項技術是如何實現的?帶著這些問題,本書從Web系統及安全掃描技術、產品標準、典型應用等方面進行介紹和分析,期望能夠帶給讀者一定的借鑒。 本書的編寫人員均來自公安部計算機信息系統安全產品質量監督檢驗中心,同時,本書編寫人員也參與了國家標準《信息安全技術 Web應用安全檢測系統安全技術要求和測試評價方法》、公共安全行業標準《信息安全技術Web應用安全掃描產品安全技術要求》(GA/T 1107—2013)的編制工作,因此,本書在標準介紹和描述方面具有一定的權威性。 本書第1章由俞優撰寫,第2章由俞優、楊元原撰寫,第3~5章由沈亮、鄒春明撰寫。顧健作為叢書主編,負責把握全書技術方面,并對各章節的具體編寫提供了指導性意見。全書由俞優統稿。此外,王志佳、張笑笑等同志也參與了本書資料的收集和部分編寫工作。由于編寫人員水平有限且時間緊迫,本書不足之處在所難免,懇請各位專家和讀者不吝批評指正。 本書的編寫得到了北京天融信網絡安全技術有限公司、網神信息技術(北京)股份有限公司、杭州安恒信息技術有限公司和北京神州綠盟科技有限公司的大力協助,在此表示衷心的感謝! |