Web 代碼安全漏洞深度剖析

Web 代碼安全漏洞深度剖析

作者: 曹玉杰 王樂 李家輝 孔韜循
出版社: 機械工業
出版在: 2021-09-01
ISBN-13: 9787111690252
ISBN-10: 7111690257
裝訂格式: 平裝
總頁數: 263 頁





內容描述


本書系統化介紹代碼審計的步驟和業務漏洞分析,總結了作者在信息安全領域多年的實踐經驗,內容豐富,實踐性強。
本書分三大部分,共14章。
“準備工作”部分介紹漏洞剖析環境搭建和輔助工具簡單使用,為後續分析打下基礎。
“常規應用漏洞分析”部分介紹了幾種漏洞的基本概念和實例解剖,如SQL注入、
XSS跨站、CSRF/XSRF、文件類型、代碼執行與命令執行等漏洞,並介紹了代碼審計的思路和步驟。
“業務安全漏洞分析”部分通過實例介紹了業務安全中的典型漏洞,如短信驗證碼、
會話驗證、密碼找回、支付、越權等漏洞,並針對漏洞給出了防禦措施。


目錄大綱


本書讚譽
序言
前言
致謝
第一部分 準備工作
第1章 搭建代碼審計環境2
1.1 基於Windows搭建phpStudy2
1.2 基於Linux搭建phpStudy4
1.3 在Linux下利用Docker搭建PHP環境6
1.4 phpStorm遠程連接Docker容器14
1.5 小結20
第2章 輔助工具21
2.1 代碼調試工具phpStorm+Xdebug21
2.2 火狐瀏覽器56.0的HackBar和FoxyProxy 26
2.3 抓包工具Burp Suite34
2.4 小結47
第3章 了解目標48
3.1 代碼審計的思路與流程48
3.2 漏洞分析前的準備工作52
3.3 php.ini配置53
3.4 小結55
第二部分 常規應用漏洞分析
第4章 SQL注入漏洞及防禦58
4.1 SQL注入的原理及審計思路58
4.2 GET型SQL注入防禦腳本繞過案例剖析60
4.3 Joomla 注入案例分析67
4.4 SQL 存儲顯現insert注入案例分析72
4.5 小結81
第5章 跨站腳本攻擊及防禦82
5.1 XSS簡介82
5.2 反射型XSS三次URL編碼案例分析88
5.3 存儲型XSS案例分析95
5.4 DOM型 XSS案例分析103
5.5 小結107
第6章 跨站請求偽造漏洞及防禦109
6.1 CSRF原理109
6.2 GET型CSRF案例分析112
6.3 POST型CSRF分析117
6.4 小結121
第7章 文件類型漏洞及防禦122
7.1 文件上傳漏洞122
7.2 文件上傳漏洞案例剖析124
7.3 文件下載漏洞134
7.4 文件下載漏洞實際案例剖析134
7.5 文件刪除漏洞137
7.6 文件刪除漏洞實際案例剖析137
7.7 文件包含漏洞140
7.8 本地文件包含日誌漏洞案例剖析145
7.9 本地前台圖片上傳包含漏洞案例剖析153
7.10 遠程文件包含漏洞案例剖析156
7.11 小結159
第8章 代碼執行漏洞與命令執行漏洞160
8.1 代碼執行漏洞的原理160
8.2 代碼執行案例剖析165
8.3 反序列化代碼執行案例剖析169
8.4 命令執行漏洞178
8.5 命令執行漏洞案例分析182
8.6 小結186
第9章 常規應用漏洞的其他類型187
9.1 XXE漏洞187
9.2 XXE漏洞案例剖析190
9.3 URL 跳轉漏洞193
9.4 URL跳轉漏洞案例剖析194
9.5 SSRF漏洞198
9.6 SSRF漏洞案例剖析201
9.7 PHP 變量覆蓋漏洞203
9.8 變量覆蓋漏洞案例剖析210
9.9 小結215
第三部分 業務安全漏洞分析
第10章 短信驗證碼漏洞及防禦218
10.1 短信驗證碼業務的安全問題及防禦思路218
10.2 短信驗證碼漏洞案例剖析220
10.3 小結228
第11章 會話驗證漏洞及防禦229
11.1 會話驗證的過程229
11.2 Cookie 認證會話漏洞案例剖析230
11.3 Session身份認證漏洞案例剖析234
11.4 小結239
第12章 密碼找回漏洞及防禦240
12.1 簡介240
12.2 密碼找回漏洞案例剖析241
12.3 小結246
第13章 支付漏洞及防禦247
13.1 簡介247
13.2 支付漏洞案例剖析248
13.3 小結253
第14章 越權漏洞及防禦254
14.1 簡介254
14.2 平行越權案例剖析255
14.3 垂直越權案例剖析259
14.4 小結263


作者介紹


王樂博士
廣州大學網絡空間先進技術研究院副教授,長期從事網絡空間內容安全、網絡與信息系統安全運維等的研究和工程實踐,
承擔本科和碩士研究生軟件安全分析等課程的教學任務,發表論文10餘篇,參與編寫專著2部,
獲省部級科技進步獎1項、國家信息化教學比賽一等獎1項、校教學比賽二等獎1項,
參與多項國家網絡空間安全相關課題和軍地大型網絡信息系統研製與運用項目。




相關書籍

Computer & Internet Security: A Hands-on Approach ,2e

作者 Wenliang Du

2021-09-01

Hackers: Heroes of the Computer Revolution - 25th Anniversary Edition (Paperback)

作者 Steven Levy

2021-09-01

信息時代的幽靈:黑客

作者 許榕生

2021-09-01