PHP Web 安全開發實戰
內容描述
本書結合在安全方面的開發經驗,站在開發者的角度,循序漸進地介紹了大量實際發生的漏洞案例,並給出了技術解決方案,包括:常見的網絡攻擊、代碼安全、前端腳本安全、後端應用安全、賬戶安全、加解密認證、SQL註入以及服務器配置等內容。通過閱讀本書,讀者能夠對整個網絡安全有一個全新的認識和深入的理解,從而成為一位懂安全、會防護的工程師,避免在工作中成為黑客攻擊的對象。本書適合PHP開發人員、網絡維護人員以及對網絡安全攻防技術感興趣的讀者閱讀
目錄大綱
第1章信息洩露1
1.1主機信息1
1.1.1子域名信息2
1.1.2端口信息5
1.1.3域名註冊信息10
1.1.4網站後台地址12
1.2源碼洩露14
1.2.1 Git源碼洩露15
1.2 .2 SVN源碼洩露17
1.2.3 .DS_Store文件洩露18
1.2.4網站備份壓縮文件20
1.2.5 WEB-INF/web.xml洩露21
1.2.6防禦方案24
1.3賬戶弱口令24
1.3.1漏洞成因24
1.3.2漏洞危害25
1.3.3漏洞案例26
1.3.4防範方法29
第2章常規漏洞31
2.1 SQL注入31
2.1.1注入方式32
2.1.2漏洞的3種類型39
2.1.3檢測方法41
2.1.4防範方法43
2.1.5代碼審查45
2.1.6小結47
2.2 XSS跨站47
2.2.1 XSS漏洞類型48
2.2.2漏洞危害51
2.2.3防範方法54
2.2.4操作實踐56
2.2.5代碼審查58
2.2.6小結59
2.3代碼注入與命令執行59
2.3.1漏洞類型60
2.3.2漏洞案例62
2.3.3防禦方法65
2.3.4命令執行65
2.3. 5小結67
2.4 CSRF跨站請求偽造67
2.4.1原理分析67
2.4.2漏洞案例68
2.4.3操作實踐72
2.4.4防禦方法73
2.4.5防禦代碼示例74
2.4.6小結75
2.5文件包含76
2.5.1漏洞成因76
2.5.2本地文件包含76
2.5.3遠程文件包含79
2.5.4測試方法82
2.5.5使用PHP封裝協議83
2.5.6小結84
2.6文件上傳漏洞85
2.6.1利用方式85
2.6.2上傳檢測86
2.6.3解析漏洞87
2.6.6小結92
第3章業務邏輯安全93
3.1驗證碼安全93
3.1.1圖片驗證碼94
3.1.2數字暴力破解98
3.1.3空驗證碼突破99
3.1.4繞過測試101
3.1.5憑證返回102
3.1.6小結103
3.2密碼找回103
3.2.1敏感信息洩露104
3.2.2郵箱弱token 105
3.2.3驗證的有效性106
3.2.4註冊覆蓋107
3.2.5小結109
3.3接口盜用109
3.3.1 API盜用109
3.3.2短信轟炸111
3.4賬戶越權116
3.4.1未授權訪問116
3.4.2水平越權118
3.4.3垂直越權120
3.4.4小結121
3.5支付漏洞121
3.5.1支付流程分析122
3.5.2金額數據篡改123
3.5.3商品數量篡改125
3.5.4運費金額修改127
3.5.5小結128
3.6 SSRF服務端請求偽造129
3.6.1漏洞成因129
3.6.2漏洞案例131
3.6.3總結134
第4章LANMP安全配置135
4.1 PHP安全配置135
4.2 PHP安全擴展139
4.2.1 taint簡介139
4.2.2安裝taint 140
4.2.3測試驗證141
4.2.4小結144
4.3 Apache安全配置144
4.3.1屏蔽版本信息144
4.3.2目錄權限隔離145
4.3.3關閉默認主機145
4.3 .4低權限運行145
4.3.5防止用戶自定義設置145
4.3.6禁止顯示目錄146
4.4 Nginx安全配置148
4.4.1配置防禦148
4.4.2防止權限擴大149
4.4.3 WAF擴展150
4.4.4 Nginx解析漏洞152
4.5 Redis配置154
4.5.1漏洞成因154
4.5.2漏洞案例156
4.5.3小結157
4.6 MySQL安全配置157
4.6.1權限安全157
4.6.2網絡配置162
4.6.3 MySQL日誌163
4.6.4主機配置164
4.6.5啟動選項165
第5章認證與加密167
5.1數據加密與簽名167
5.1.1對稱加密與非對稱加密167
5.1.2數字簽名169
5.1.3數字證書170
5.2 HTTPS安全171
5.2.1 HTTPS簡介171
5.2.2 HTTPS被攻擊的方式173
5.2.3常見誤區174
5.3密碼加密策略175
5.3.1密碼存儲176
5.3.2密碼傳輸178
5.3. 3漏洞案例178
5.3.4總結180
第6章其他Web安全主題181
6.1 DDoS攻擊181
6.1.1 DDoS分類182
6.1.2應對方案183
6.1.3漏洞案例184
6.1.4小結186
6.2 CMS通用漏洞186
6.2 .1漏洞簡介186
6.2.2等級劃分187
6.2.3漏洞案例188
6.2.4防禦方法191
6.3網頁掛馬192
6.3.1掛馬類型193
6.3.2掛馬檢測194
6.3.3小結196
6.4 Burp Suite 196
6.4.1攔截數據包197
6.4.2修改數據包198
6.4.3頁面鏈接抓取199
6.4.4自動化挖掘201
6.4.5暴力破解201
6.5 SQLMap 203
6.5.1查看數據庫賬戶205
6.5.2查看數據庫中的所有賬戶206
6.5.3獲取所有數據庫名稱207
6.5.4獲取數據庫表名稱208
6.5.5查看表結構209
6.5.6導出數據210