内容简介
《Web系统攻防技术与实践》从攻击和防护两个角度系统地讲述了WEB安全的相关理论和案例。其中,攻击技术选取了OWASPTOP10(注:开放式web应用安全项目的十大安全问题)中z常见也是危害z大的几类技术进行讲述,包括:跨站脚本、跨站请求伪造、SQL注入、文件上传和文件包含等,每一类技术除了介绍其基本概念和技术原理外,还通过真实发生的实际案例进行深入分析。防护技术方面,在讲解攻击技术的每一章z后,都会有针对性地讲解此类攻击手段的z有效防护方法和原理。此外,《Web系统攻防技术与实践》还通过两个独立的章节,系统地介绍了WEB日志和主机日志分析的方法,讲解如何通过分析日志文件来发现入侵行为,进而针对安全威胁采取对应的防范措施。作者简介
《Web系统攻防技术与实践》由国网湖南省电力公司电力科学研究院组织编写。主编为漆文辉,高工,长期从事电力信息化和信息安全工作,获湖南省公司科技进步一等奖1次,二等奖2次。2014年期负责国网湖南公司信息安全督查工作,完成了信息安全实验室建设、国网湖南公司信息安全红蓝对建设,开展常态化得信息安全督查、渗透测试和安全测评工作。目录
前言
第一章Web系统安全概述
第一节Web系统基础
第二节Web系统安全技术
第二章跨站脚本XSS
第一节XSS原理及危害
第二节XSS分类
第三节XSS注入方式
第四节XSS的过滤与绕过
第五节XSS渗透实例
第六节XSS的防御
第三章跨站请求伪造CSRF
第一节CSRF原理及危害
第二节CSRF分类
第三节CSRF渗透实例
第四节CSRF的防御
第四章SQL注入
第一节SQL注入原理
第二节手工注入
第三节工具注入
第五章文件上传漏洞
第一节文件上传漏洞原理与危害
第二节文件类型检查及绕过
第三节Web服务解析漏洞
第四节文件上传漏洞渗透实例
第五节文件上传漏洞的防御
第六章文件包含漏洞
第一节概述
第二节文件包含漏洞的类型
第三节文件包含漏洞的常见渗透方式
第四节文件包含漏洞渗透实例
第五节文件包含漏洞的防御
第七章Web服务器日志分析
第一节Web服务器日志介绍
第二节日志分析方法
第三节日志分析追踪实例
第八章主机日志分析
第一节Windows系统日志介绍
第二节Windows系统日志分析方法
第三节Linux系统日志介绍
第四节Linux主机日志分析方法
第五节日志分析追踪实例
第九章网页恶意代码
第一节网页恶意代码分析
第二节网页恶意代码防范与检测
参考文献
