更新时间:2020-05-06 16:50:11
封面
版权信息
数字版权声明
作者简介
版权声明
译者序
前言
致谢名单
致谢
第1章 Web应用程序安全与风险
1.1 Web应用程序的发展历程
1.2 Web应用程序安全
1.3 小结
第2章 核心防御机制
2.1 处理用户访问
2.2 处理用户输入
2.3 处理攻击者
2.4 管理应用程序
2.5 小结
2.6 问题
第3章 Web应用程序技术
3.1 HTTP
3.2 Web功能
3.3 编码方案
3.4 下一步
3.5 问题
第4章 解析应用程序
4.1 枚举内容与功能
4.2 分析应用程序
4.3 小结
4.4 问题
第5章 避开客户端控件
5.1 通过客户端传送数据
5.2 收集用户数据:HTML表单
5.3 收集用户数据:浏览器扩展
5.4 安全处理客户端数据
5.5 小结
5.6 问题
第6章 攻击验证机制
6.1 验证技术
6.2 验证机制设计缺陷
6.3 验证机制执行缺陷
6.4 保障验证机制的安全
6.5 小结
6.6 问题
第7章 攻击会话管理
7.1 状态要求
7.2 会话令牌生成过程中的薄弱环节
7.3 会话令牌处理中的薄弱环节
7.4 保障会话管理的安全
7.5 小结
7.6 问题
第8章 攻击访问控制
8.1 常见漏洞
8.2 攻击访问控制
8.3 保障访问控制的安全
8.4 小结
8.5 问题
第9章 攻击数据存储区
9.1 注入解释型语言
9.2 注入SQL
9.3 注入NoSQL
9.4 注入XPath
9.5 注入LDAP
9.6 小结
9.7 问题
第10章 测试后端组件
10.1 注入操作系统命令
10.2 操作文件路径
10.3 注入XML解释器
10.4 注入后端HTTP请求
10.5 注入电子邮件
10.6 小结
10.7 问题
第11章 攻击应用程序逻辑
11.1 逻辑缺陷的本质
11.2 现实中的逻辑缺陷
11.3 避免逻辑缺陷
11.4 小结
11.5 问题
第12章 攻击其他用户
12.1 XSS的分类
12.2 进行中的XSS攻击
12.3 查找并利用XSS漏洞
12.4 防止XSS攻击
12.5 小结
12.6 问题
第13章 攻击用户:其他技巧
13.1 诱使用户执行操作
13.2 跨域捕获数据
13.3 同源策略深入讨论
13.4 其他客户端注入攻击
13.5 本地隐私攻击
13.6 攻击ActiveX控件
13.7 攻击浏览器
13.8 小结
13.9 问题
第14章 定制攻击自动化
14.1 应用定制自动化攻击
14.2 枚举有效的标识符
