Web Application黑客手册:安全漏洞的发现与利用The Web Application Hacker's Handbook : Discovering and Exploiting Security Flaws 下载 pdf 百度网盘 epub 免费 2025 电子书 mobi 在线
Web Application黑客手册:安全漏洞的发现与利用The Web Application Hacker's Handbook : Discovering and Exploiting Security Flaws电子书下载地址
- 文件名
- [epub 下载] Web Application黑客手册:安全漏洞的发现与利用The Web Application Hacker's Handbook : Discovering and Exploiting Security Flaws epub格式电子书
- [azw3 下载] Web Application黑客手册:安全漏洞的发现与利用The Web Application Hacker's Handbook : Discovering and Exploiting Security Flaws azw3格式电子书
- [pdf 下载] Web Application黑客手册:安全漏洞的发现与利用The Web Application Hacker's Handbook : Discovering and Exploiting Security Flaws pdf格式电子书
- [txt 下载] Web Application黑客手册:安全漏洞的发现与利用The Web Application Hacker's Handbook : Discovering and Exploiting Security Flaws txt格式电子书
- [mobi 下载] Web Application黑客手册:安全漏洞的发现与利用The Web Application Hacker's Handbook : Discovering and Exploiting Security Flaws mobi格式电子书
- [word 下载] Web Application黑客手册:安全漏洞的发现与利用The Web Application Hacker's Handbook : Discovering and Exploiting Security Flaws word格式电子书
- [kindle 下载] Web Application黑客手册:安全漏洞的发现与利用The Web Application Hacker's Handbook : Discovering and Exploiting Security Flaws kindle格式电子书
内容简介:
This book is a practical guide to discovering and exploiting security flaws in web applications. The authors explain each category of vulnerability using real-world examples, screen shots and code extracts. The book is extremely practical in focus, and describes in detail the steps involved in detecting and exploiting each kind of security weakness found within a variety of applications such as online banking, e-commerce and other web applications.
The topics covered include bypassing login mechanisms, injecting code, exploiting logic flaws and compromising other users. Because every web application is different, attacking them entails bringing to bear various general principles, techniques and experience in an imaginative way. The most successful hackers go beyond this, and find ways to automate their bespoke attacks. This handbook describes a proven methodology that combines the virtues of human intelligence and computerized brute force, often with devastating results.
The authors are professional penetration testers who have been involved in web application security for nearly a decade. They have presented training courses at the Black Hat security conferences throughout the world. Under the alias "PortSwigger", Dafydd developed the popular Burp Suite of web application hack tools.
书籍目录:
Acknowledgments
Introduction
Chapter 1 Web Application (In)security
Chapter 2 Core Defense Mechanisms
Chapter 3 Web Application Technologies
Chapter 4 Mapping the Application
Chapter 5 Bypassing Client-Side Controls
Chapter 6 Attacking Authentication
Chapter 7 Attacking Session Management
Chapter 8 Attacking Access Controls
Chapter 9 Injecting Code
Chapter 10 Exploiting Path Traversal
Chapter 11 Attacking Application Logic
Chapter 12 Attacking Other Users
Chapter 13 Automating Bespoke Attacks
Chapter 14 Exploiting Information Disclosure
Chapter 15 Attacking Compiled Applications
Chapter 16 Attacking Application Architecture
Chapter 17 Attacking the Web Server
Chapter 18 Finding Vulnerabilities in Source Code
Chapter 19 A Web Application Hacker's Toolkit
Chapter 20 A Web Application Hacker's Methodology
Index
作者介绍:
Dafydd Stuttard is a Principal Security Consultant at Next Generation Security Software, where he leads the web application security competency. He has nine years’ experience in security consulting and specializes in the penetration testing of web applic
出版社信息:
暂无出版社相关信息,正在全力查找中!
书籍摘录:
暂无相关书籍摘录,正在全力查找中!
在线阅读/听书/购买/PDF下载地址:
原文赏析:
应用程序必须假设所有输入的信息都是恶意的输入,并必须采取措施确保攻击者无法使用专门设计的输入破坏应用程序,
任何设计安全应用程序的开发人员必须基于这样一个假设:应用程序将成为意志坚定且经验丰富的攻击者的直接攻击目标。
如果可能,最好避免清除某些不良输入的做法,完全拒绝这种类型的输入。
这里是介绍
大多数Web应用程序使用三层相互关联的安全机制处理用户访问: 身份验证; 会话管理; 访问控制。
令牌是一个唯一的字符串,应用程序将其映射到会话中。当用户收到一个令牌时,浏览器会在随后的HTTP请求中将它返回给服务器,帮助应用程序将请求与该用户联系起来。虽然许多应用程序使用隐藏表单字段(hidden form field)或URL查询字符串(query string)传送会话令牌(session token),但HTTP cookie才是实现这一目的的常规方法。如果用户在一段时间内没有发出请求,会话将会自动终止,如图2-2所示。
会话管理机制中存在的漏洞主要分为两类: 会话令牌生成过程中的薄弱环节; 在整个生命周期过程中处理会话令牌的薄弱环节。
渗透测试步骤 (1)如果应用程序使用HTTP验证,它可能并不执行会话管理机制。使用前面描述的方法分析任何可能是令牌的数据的作用。 (2)如果应用程序使用无会话状态机制,通过客户端传送所有必要数据进行状态维护,有时我们可能很难检测出这种机制,但如果发现下列迹象,即可确定应用程序使用这种机制。 向客户端发布的可能令牌的数据相当长(如100 B或超过100 B)。 应用程序对每个请求做出响应,发布一个新的类似令牌的数据。 数据似乎被加密(因此无法辨别其结构)或包含签名(由有意义的结构和几个字节的无意义二进制数据组成)。 应用程序拒绝通过多个请求提交相同数据的做法。 (3)如果相关证据明确表明应用程序并未使用会话令牌管理状态,那么本章描述的任何攻击都不可能达到其目的。因此,最好着手去寻找其他严重的漏洞,如访问控制不完善或代码注入。
其它内容:
编辑推荐
"If you have an interest in web application security, I would highly recommend picking up a copy of this book, especially if you’re interested in being able to audit applications for vulnerabilities".
—Robert Wesley McGrew, McGrew Security
书籍介绍
This book is a practical guide to discovering and exploiting security flaws in web applications. The authors explain each category of vulnerability using real-world examples, screen shots and code extracts. The book is extremely practical in focus, and describes in detail the steps involved in detecting and exploiting each kind of security weakness found within a variety of applications such as online banking, e-commerce and other web applications.
The topics covered include bypassing login mechanisms, injecting code, exploiting logic flaws and compromising other users. Because every web application is different, attacking them entails bringing to bear various general principles, techniques and experience in an imaginative way. The most successful hackers go beyond this, and find ways to automate their bespoke attacks. This handbook describes a proven methodology that combines the virtues of human intelligence and computerized brute force, often with devastating results.
The authors are professional penetration testers who have been involved in web application security for nearly a decade. They have presented training courses at the Black Hat security conferences throughout the world. Under the alias "PortSwigger", Dafydd developed the popular Burp Suite of web application hack tools.
网站评分
书籍多样性:8分
书籍信息完全性:5分
网站更新速度:4分
使用便利性:4分
书籍清晰度:8分
书籍格式兼容性:5分
是否包含广告:7分
加载速度:7分
安全性:7分
稳定性:6分
搜索功能:6分
下载便捷性:6分
下载点评
- 速度慢(391+)
- 品质不错(199+)
- 目录完整(352+)
- 三星好评(174+)
- 赞(678+)
- 服务好(174+)
- txt(200+)
下载评价
- 网友 权***波: ( 2024-12-21 03:50:41 )
收费就是好,还可以多种搜索,实在不行直接留言,24小时没发到你邮箱自动退款的!
- 网友 敖***菡: ( 2025-01-03 22:24:59 )
是个好网站,很便捷
- 网友 宫***玉: ( 2025-01-15 13:21:07 )
我说完了。
- 网友 冉***兮: ( 2024-12-25 03:14:49 )
如果满分一百分,我愿意给你99分,剩下一分怕你骄傲
- 网友 步***青: ( 2025-01-16 11:05:16 )
。。。。。好
- 网友 堵***洁: ( 2024-12-22 09:43:44 )
好用,支持
- 网友 曾***玉: ( 2024-12-26 21:13:00 )
直接选择epub/azw3/mobi就可以了,然后导入微信读书,体验百分百!!!
- 网友 养***秋: ( 2024-12-27 09:43:49 )
我是新来的考古学家
- 网友 寇***音: ( 2025-01-02 03:49:11 )
好,真的挺使用的!
- 网友 国***芳: ( 2025-01-17 21:00:52 )
五星好评
- 网友 扈***洁: ( 2025-01-10 01:20:39 )
还不错啊,挺好
- 网友 温***欣: ( 2025-01-07 12:28:48 )
可以可以可以
喜欢"Web Application黑客手册:安全漏洞的发现与利用The Web Application Hacker's Handbook : Discovering and Exploiting Security Flaws"的人也看了
窄门 安德烈 纪德正版同款著李玉民译诺贝尔文学奖获得者书籍外国文学随笔纪德三部曲之一书理论青春爱情外国现当代文学随笔读物直译全新版便读懂了纪德的一生外国小说现代文学书籍 下载 pdf 百度网盘 epub 免费 2025 电子书 mobi 在线
工业机器人操作与运维教程 下载 pdf 百度网盘 epub 免费 2025 电子书 mobi 在线
逆向思维 下载 pdf 百度网盘 epub 免费 2025 电子书 mobi 在线
【中商原版】牛津藏明末闽商航海图研究 港台原版 周运中 兰台网路 下载 pdf 百度网盘 epub 免费 2025 电子书 mobi 在线
伤寒论 下载 pdf 百度网盘 epub 免费 2025 电子书 mobi 在线
- 第4册 常用资料 全国勘察设计注册公用设备工程师给水排水专业执业资格考试教材(2022年版) 下载 pdf 百度网盘 epub 免费 2025 电子书 mobi 在线
- 数字电子技术 下载 pdf 百度网盘 epub 免费 2025 电子书 mobi 在线
- 永夜君王卷三:山雨欲来风满楼 下载 pdf 百度网盘 epub 免费 2025 电子书 mobi 在线
- 莎士比亚密码 (美)弗·菲罗斯 著,张放 译【正版】 下载 pdf 百度网盘 epub 免费 2025 电子书 mobi 在线
- 五度空间 山川设计 尚进 编,兰凡 译 下载 pdf 百度网盘 epub 免费 2025 电子书 mobi 在线
- 变态反应科主治医生525问 下载 pdf 百度网盘 epub 免费 2025 电子书 mobi 在线
- 【2022版】小学数学思维训练三年级 上册下册通用 小学奥数思维训练 逻辑思维拓展应用 闯关模式帮助孩子举一反三 16开大开本 大字本 下载 pdf 百度网盘 epub 免费 2025 电子书 mobi 在线
- 预售【外图台版】世界*美的色彩书:从陆地、海洋、动物、车辆、建筑等超过两千组缤纷图像,带孩子探索世界的色彩 下载 pdf 百度网盘 epub 免费 2025 电子书 mobi 在线
- 楚辞 张甲子 译注 下载 pdf 百度网盘 epub 免费 2025 电子书 mobi 在线
- 氢与燃料电池(原书第2版)约翰内斯·特普勒机械工业出版社9787111714392蔚蓝书店 下载 pdf 百度网盘 epub 免费 2025 电子书 mobi 在线
书籍真实打分
故事情节:3分
人物塑造:5分
主题深度:3分
文字风格:3分
语言运用:5分
文笔流畅:5分
思想传递:4分
知识深度:5分
知识广度:7分
实用性:8分
章节划分:8分
结构布局:4分
新颖与独特:5分
情感共鸣:7分
引人入胜:3分
现实相关:3分
沉浸感:9分
事实准确性:8分
文化贡献:3分