基本信息

书名：黑客Web脚本攻击与防御技术核心剖析

定价：49.80元

作者：郝永清

出版社：科学出版社

出版日期：2010-01-01

ISBN：9787030260116

字数：

页码：360

版次：1

装帧：平装

开本：16开

商品重量：0.4kg

编辑推荐

《黑客Web脚本攻击与防御技术核心剖析》主要涉及黑客Web攻击中的脚本(数据库)注入技术和防御体系构建、cookies欺骗和注入攻防、新型的基于Web的DoS攻防案例，以及号称Web 2.0大威胁的跨站脚本攻击(XSS)解析。
四大体系深度讲解Web攻防，逾30个热点攻防案例剖析，模拟真实全面突出易读性，按图索骥实现佳可操作性，在线平台解决新手入门。

内容提要

《黑客Web脚本攻击与防御技术核心剖析》以网络安全技术中时下火爆的Web脚本攻击为主要讲解方向，以实例分析加案例剖解为主要脉络，以作者逾8年的网络安全技术实际经验为借鉴，以藏锋者网络安全网会员关注热点为基础，以图文并茂、按图索骥的方式详细讲解黑客的攻击手法和相应的网络安全管理防御技术，探究黑客Web脚本攻击核心技术，展望以后的黑客Web攻击走向和防御体系建立。网络的发展是当今世界大的革，随网络普及带来的网络信息安全也成为全世界共同关注的热点话题。在世界范围内，关注人数多、技术实用性高、破坏力强、防护难度高的黑客攻击技术非Web脚本攻击莫属——这也是《黑客Web脚本攻击与防御技术核心剖析》的主题。
《黑客Web脚本攻击与防御技术核心剖析》主要涉及黑客Web攻击中的脚本(数据库)注入技术和防御体系构建、cookies欺骗和注入攻防、新型的基于Web的DoS攻防案例，以及号称Web 2.0大威胁的跨站脚本攻击(XSS)解析。
《黑客Web脚本攻击与防御技术核心剖析》适合对网络安全技术有兴趣并想从事相关行业的大学生；就读于网络信息安全相关专业的研究生；负责企业、公司网络信息安全的从业者；网络安全技术专业研究人员；所有对网络安全有兴趣的爱好者参考阅读。

目录

章 脚本(数据库)注入与防注入核心技术
1.1 漫谈脚本注入
1.1.1 注入核心原理
1.1.2 标准化与多元化的注入分类
1.1.3 注入典型流程与规范代码剖析
1.2 注入攻击典型案例模拟
1.2.1 简单IIS测试环境搭建
1.2.2 注入IdeaCMS
1.2.3 PHP注入案例模拟
1.2.4 JSP+Oracle注入案例
1.3 深度注入防范技术与案例解析
1.3.1 深度防注入技术的17条核心法则
1.3.2 服务器防注入配置案例
1.3.3 脚本层防注入案例

第2章 cookies欺骗详解与防御技术剖析
2.1 透析cookies
2.1.1 cookies定义、用途及反对者
2.1.2 探秘系统中的cookies
2.2 cookies欺骗攻击
2.2.1 cookies欺骗原理与技术实现步骤
2.2.2 cookies欺骗攻击案例模拟
2.3 cookies注入
2.3.1 cookies注入成因
2.3.2 cookies注入典型代码分析
2.3.3 cookies注入典型步骤
2.3.4 手工cookies注入案例与中转工具使用
2.4 cookies欺骗和注入的防御
2.4.1 cookies欺骗防范技术核心设计思路分析
2.4.2 cookies欺骗防范的代码实现
2.4.3 cookies注入防范

第3章 基于Web的DDoS攻击与防御
3.1 DoS与DDoS
3.1.1 DoS与：DDoS的基本概念
3.1.2 经典DoS攻击类型
3.1.3 新型DDoS攻击分类
3.1.4 的DDoS体系结构分析
3.1.5 DDoS攻击时的症状
3.1.6 检测DDoS攻击
3.1.7 透析DDoS防御体系
3.2 针对Web端口的DDoS攻防
3.2.1 基于Web端口的DDoS步骤分析
3.2.2 针对Web端口的SYN DDoS攻击案例模拟
3.2.3 基于Web端口的DDoS的防范策略
3.3 基于脚本页面的DDoS攻防
3.3.1 的脚本页面DDoS：CC
3.3.2 脚本页面DDoS攻击的症状
3.3.3 基于脚本页面的DDoS攻击实例模拟
3.3.4 Fr.Qaker的代码层CC防御思路
3.3.5 单一而有效的CC类攻击防御思路
3.3.6 基于脚本页面DDoS的实用防御体系案例

第4章 Web 2.0大威胁：跨站脚本攻击(XSS)
4.1 Web 2.0的大威胁：XSS(跨站脚本攻击)
4.1.1 XSS及分类
4.1.2 XSS的危害
4.2 XSS产生根源和触发条件
4.2.1 常见XSS代码分析
4.3 XSS攻击案例模拟
4.3.1 盗用用户权限攻击案例模拟
4.3.2 XSS挂马攻击案例模拟
4.3.3 XSS提权攻击案例模拟
4.3.4 XSS钓鱼攻击分析
4.3.5 XSS与拒绝服务分析
4.4 XSS防御及展望
4.4.1 用户、服务器管理员角度防范XSS
4.4.2 程序员防御XSS的无奈
附录1 基本概念速查表
附录2 工具、脚本速查表
附录3 八进制、十六进制、十进制字符ASCII码对照表

作者介绍

郝永清 CISSP、CISP、MCSE资深讲师，藏锋者网络安全网核心成员之一，主要从事信息安全相关工作，负责深入分析用户安全需求；有近十年的授课经验，为300多家企业千余IT经理及IT技术人员做过安全培训；有丰富的项目经验，同时密切跟踪外的安全动态，对严重安全事件进行快速响应；对各种恶意软件进行分析，提供检测和解决方案，并完成产品的安全评估，如防火墙、入侵检测、漏洞扫描等；参与众多公司网络的渗透测试项目，并对病毒和木马有深入了解。

文摘

1.1 漫谈脚本注入
脚本系统是我们常接触的一种Web应用服务系统。
技术的发展是一个渐渐进的过程，当下使用B／S模式编写应用程序的技术正在逐渐推广，但是负责编写程序的程序员水平和经验却参差不齐。绝大多数程序员在编写代码的时候，由于工作量巨大、代码习惯落后、安全意识低下等原因，只顾及脚本系统功能的实现，没有进行安全性方面的考量，这就造成现在的各种脚本系统存在大量的安全隐患，也造成了基于脚本注入方面的攻击越来越多，已经成为时下网络安全中的主流热点攻击方式。
从脚本系统的构成来说，典型的脚本系统是由脚本编码加上数据库构成，其中脚本代码按编写和规范可分为ASP、PHP、JSP、ASPX等，而数据库系统常见的有Microsoft Access、Microsoft SQL Server、MySQL、Oracle等，两者分别在脚本系统中承担不同的功能和责任：脚本负责前台表现，也就是为访问者提供一个靓丽、厚重或简便的使用平台，数据库系统在后台提供数据存储，以方便各种数据的增加、修改、删除等操作。一般情况下，数据库是隐藏在内部的，普通访问者无法直接访问数据库或者越权访问数据库中的内容。
因为脚本注入是由脚本层面发起的攻击，是以代码的方式存在。对常规的专职网络安全管理员来讲，基本都没有深厚的脚本开发和脚本代码分析能力，自然也就对这样的攻击方式无从下手，更无法做到提前检测、修补、防护脚本漏洞。
从高于程序员编写程序的层面来说，在一般的网络安全管理员眼中，因为脚本注入（也被称为数据库注入、SQL注入等）是从正常的端口访问，就和普通用户打开网站一样平凡，而且脚本注入表面看起来跟一般的Web页面访问一点区别都没有，所以一般的网络安全管理员无法及时发现这样的攻击，更谈不上修补、堵截这样的漏洞。
当前因特网上的实际情况是，因为脚本攻击的隐蔽性，很多网站、服务器被恶意黑客入侵后，在长达几个月、甚至几年的时间里，根本不会被发现。试想，一个商业站点在长期被黑客控制的情况下何谈隐私？何谈安全？
据机构统计，当下因特网中正常开放的网站，使用ASP+Microsoft Access或ASP+Microsoft SQL Server构架的占700%以上，使用PHP+MySQL构架的占20％左右，其他的构架方式不足10％。从这个实际情况出发，本章的内容主要涉及前两种典型情况的功防技术案例，适当提及其他构架方式的相关案例。

序言