新书推荐:Web安全深度剖析

Posted by admin at Tue 24th March 2015 11.05AM  • 

作者:张炳帅

预售网址:http://detail.tmall.com/item.htm?spm=a230r.1.14.22.yGs9kk&id=44382680531&ns=1&abbucket=5

1 本书概述
 本书总结了当前最为流行的高危漏洞形成原因、攻击手段及解决方案。并通过大量的示例代码复现漏洞原型、制作模拟环境,更好的帮助读者深入了解Web应用程序中存在的安全漏洞。

 本书刨除了一些研究性、纯理论性的课题,也就是外表看似很高端,但是实用性不大的课题。本书所总结的漏洞,可以说是刀刀见血、剑剑穿心,直接危害到企业安全的漏洞。

 本书也是笔者这些年来的工作总结,几乎每个一个场景都是最为常见的,如果你从事Web渗透测试相关的工作就肯定能碰到本书中的场景。

2 这本书是写给谁的
 本书最适合渗透测试人员、Web开发人员、安全咨询顾问、测试人员、架构师、项目经理、设计等人员阅读。

 本书也可以作为对Web安全、渗透测试有兴趣的学生的教材,这是一本实用的Web安全教材。

2.1 渗透测试人员
 目前并没有高校提供专业的渗透测试课程、也没有一些私企提供专业、正规的技术培训。可以说做渗透测试的人员都是天才,靠着自学,付出了比其他人更多的努力才能胜任这个工作。笔者希望,你们能够从本书中学习到知识、进一步提高自己的水平。


2.2 Web开发人员
 一句老话:程序员不一定是黑客,但是有一定水平的黑客、白帽子一定是程序员。通过这句话可以得知,程序员与黑客是不分家的,一个合格的程序员学习安全知识是非常快的。

 在本书中示例了大量的代码并分析其中的漏洞,更站在了开发人员的角度去讲述如何避免、修复漏洞,希望开发人员能够通过本书让自己的安全水平提高,站在另外一个高度去看待程序。


2.3 信息安全相关专业的学生
 本书也是写给信息安全等相关专业的学生,本书所有的知识点几乎都是从零开始的,你们可以循序渐进的学习。你们都是国家未来的栋梁之才,希望笔者的一点心得能够让你们学到所需要的知识。

 同时,笔者也希望能给高校老师带来一些灵感、然后去培育出更多的网络安全人才。

 借机发下牢骚,学习一定要有吃苦的精神,安全没有那么容易学习,安全甚至比一些其它的专业知识学起来都要苦涩。比如一个高级的安全工程师,需要掌握很多技术,单是编程语言就得精通几种,熟悉多种,说到这不禁想起来我以前学习编程的时候,依稀记得当初学习JAVA,每天晚上凌晨3点睡觉,半年后,头发白了。在学习渗透、安全知识的时候,将7747.net(现红黑联盟)、黑客动画吧、05112、黑鹰等各大安全站点的教学视频下载下来,从头到尾的看了N遍,由衷感谢那些分享视频的人,有你们分享我们才能学到那么多的知识。
 
 话说回来,万丈高楼平地起,笔者希望读者能够掌握Web的核心技术,比如HTTP协议、代码开发、Web容器等。Web层次的漏洞可能有很多,但是我们把基础打牢靠了,新型的漏洞、攻击方式,我们很快就能加以分析。

 在学习时,笔者常把原理性的知识比喻为内功,而具体的实操、技术点比喻为招式,只有招式没有内功是根本无法变成高手的,而有了内功在加上招式才能变为高手!

 在说一句老话,安全是把双刃剑,剑在手中,至于是用其来做好事还是做坏事,只在一念之差。笔者强烈要求各位读者仅在法律的许可范围内使用本书所提供的信息。

3 本书结构
 本书从攻到防,从浅到深,从原理到实战,循序渐进的介绍了WEB安全体系。本书共四篇,16个章节 、这是一个庞大的体系,几乎可以囊括目前流行的一切Web安全类技术。

 本书目录结构就非常像渗透测试人员的一次检测流程,从信息探测到漏洞扫描、漏洞利用、提权等技术。


3.1基础篇
 第一章到第四章为基础篇,是整个Web安全中最为基础的技术。
 
 第一章描述了服务器是如何被黑客入侵的,并从中引导出Web安全的概念,同时也告诉读者如何更快、更好的学习Web安全。

 第二章详细的讲述了Web安全的一个核心知识点:HTTP协议。如果是零基础的读者建议一定要多看HTTP协议,因为在后续的章节中很多内容都是依赖HTTP协议的。
 
 第三章介绍了信息探测的知识点,渗透测试人员工作时,一般都是从信息探测入手的,也就是常说的踩点。信息探测是渗透测试的基本功,为必须学习的内容。本章介绍了Google Hack、Nmap、DirBuster、指纹识别等技术。
 
 第四章讲解了渗透测试人员常用的安全测试工具,包括:Burp Suite、AWVS、APPSCAN等工具。

3.2原理篇
 第五章到第十章为原理篇,阅读本篇需要一定的代码功底、在这些章节中讲述了Web应用程序中最常见的安全漏洞。笔者将这些常见的高危漏洞提取出来,每个漏洞作为单独的一个章节来讲解,从原理到利用,在到解决方案。

 第五章是SQL注入章节,在这一章中,讨论了MySQL、SQL Server、Oracle数据库的注入方式、注入技巧、不同数据库的注入差异。

 攻击者对数据库注入,目的无非是那么几种:1、数据窃取2、文件读写 3、命令执行,掌握了其核心思想,对SQL注入的学习仅仅只剩下语法而已。

 在讲解SQL注入原理后,有介绍SQLMap、Havij等注入工具的介绍,同时也介绍了绕过部分WAF的思路。

 第六章介绍了目前最流程的XSS攻击,其中讲解了XSS的形成原理、三种XSS类型、会话劫持、XSS蠕虫等前端技术,最后笔者也提出了XSS有效的解决方案。

 第七章讲解了上传漏洞、Web容器的漏洞。有时候程序是没有问题的,但如果与Web容器漏洞相结合可能就会造成上传漏洞。

 第八章描述了命令执行漏洞的形成原因及利用方式,同时也介绍了Struts2命令执行漏洞及命令执行漏洞的修复方案。

 第九章讲解了PHP包含漏洞的原理及利用方式,同时也介绍了包含漏洞的修复方案。

 第十章讨论的知识点比较广泛,比如CSRF、逻辑漏洞、远程部署漏洞、代码注入等高危漏洞。

3.3 实战篇
 在第十一章中讲述了开源程序的攻击流程与防御,并着重分析了“拖库”事件时黑客所使用的攻击手段。

3.4 综合篇
 如果仅仅只掌握Web安全漏洞,而对其它漏洞、攻击手法一窍不通,是无法全面找出漏洞的,在综合篇里,介绍了一些其他的检测方式。
 
 在第十二章里笔者详细讲述了暴力破解的测试方式,在本章里分别使用Hydra、Burp Suite、Medusa等工具对MSSQL、MySQL、Web应用程序进行破解。在章节的最后也讲述了验证码的安全性及防止暴力破解的解决方案。

 第十三章讲述了旁注攻击,当目标Web应用程序无法寻找到漏洞时,攻击者常常会使用旁注攻击来入侵目标。在本章里面剖析了旁注攻击的几个关键点,包括:IP逆向查询、SQL跨库查询、绕过CDN等技术。

 第十四章讲述了提权,服务器提权可以更好的解释服务器的脆弱性,本章对Linux、Windows提权均做了分析。比如Windows下的两种提权方式:本地溢出提权、第三方组件提权。也讲解了部分提权时的小技巧,比如:DLL劫持、端口转发、服务器添加后门等技术。

 第十五章讲述了ARP攻击与防御,安全是一个整体,并不是Web应用程序找不到漏洞黑客就拿你没办法了,黑客使用ARP欺骗技术可以轻松的劫持到你的密码!本章从ARP协议学习,然后到深入讲解了ARP欺骗的原理,其中介绍了Cain、Ettercap、NetFuke等嗅探工具。

 第十六章讲述了社会工程学,社会工程学可以说是APT攻击中的关键一环。也被称为没有“技术”却比“技术”更强大的渗透方式。

4 需要的工具
 本书的核心点是从原理到实战案例的剖析,很多时候工具只是作为辅助使用。读者请注意一点:在实际的渗透中,更多靠的是经验、思路,工具反而是其次,不要被众多的“神器”所迷惑,工具仅仅是让我们更方便、高效一些。工具是“死”的,目前的软件开发水平还完全达不到智能化、半智能化,工具只能按照程序员的思维流程来执行。所以,我们能完全依赖的还是我们的大脑。
 
 本书所使用的工具,可以在http://www.secbug.org/tools/index.html页面下载。

标签: web安全 书

 

关于SCAP中文社区

SCAP中文社区是国内第一个以SCAP为主题的中文开放社区。了解更多信息,请查阅[关于本站]

版权声明

CVE/CWE/OVAL均为MITRE公司的注册商标,它们的官方数据源均保存在MITRE公司的相关网站