8 (905) 200-03-37 Владивосток
с 09:00 до 19:00
CHN - 1.14 руб. Сайт - 17.98 руб.

Хакерские оскорбительные и защитные технологии сокровища Веб -фактические бои главы 2 издания серии серии серии серии программ серии сети Tugin

Цена: 1 421руб.    (¥79)
Артикул: 588871311195

Вес товара: ~0.7 кг. Указан усредненный вес, который может отличаться от фактического. Не включен в цену, оплачивается при получении.

Этот товар на Таобао Описание товара
Продавец:墨涵图书专营店
Адрес:Хэнань
Рейтинг:
Всего отзывов:0
Положительных:0
Добавить в корзину
Другие товары этого продавца
¥49.8896руб.
¥31.5567руб.
¥23.2418руб.
¥44.2795руб.
  • Информация о товаре
  • Фотографии

 

Основная информация, обратитесь к следующему введению
наименование товара:  Хакерская атакующая и оборонительная технология: веб -фактическая боевая глава (2 -е издание)
Автор:  [Английский] Дафидд Штуттард Маркус Пинто
Рыночная цена:  119.8
Номер ISBN:   9787115283924
Издательство:   Люди после прессы
Типы продукта:  книги

  Другая справочная информация(Принимая фактический объект)
  Фрагментация:Оплата в мягкой обложке  формат:16  Язык:Китайский
  Опубликованная дата:2012-07-01  Версия:1  Количество страниц:626
  Время печати:2012-07-01  Индийский:1  Слова:957,00 тысячи слов

  Оглавление

Глава 1 Безопасность и риск веб -приложений 1

1.1 Разработка веб -приложений 1

1.1.1 Общие функции веб -приложений 3

1.1.2 Преимущества веб -приложений 4

1.2 Веб -приложение безопасно 4

1.2.1“Этот сайт безопасен” 5

1.2.2 Проблемы с базовой безопасности: пользователи могут отправить любой вход 6

1.2.3. Ключевые задачи 7

1.2.4 Новая граница безопасности 8

1.2.5 Веб -приложение безопасно в будущем 10

1.3 Резюме 10


Глава 2 Основной защитный механизм 12

2.1 обработать доступ к пользователю 12

2.1.1 Аутентификация 13

2.1.2 Управление сеансом 13

2.1.3 Контроль доступа 14

2.2 Процесс пользовательского ввода 15

2.2.1 Разнообразие ввода 15

2.2.2 Метод обработки ввода 16

2.2.3. Подтверждение границ 18

2.2.4 Многоэтапное подтверждение и стандартизация 20

2.3 Обработка злоумышленника 21

2.3.1 Ошибка лечения 21

2.3.2 Поддержание журнала аудита 22

2.3.3 Отправить предупреждение администратору 23

2.3.4 Копировать атаку 24

2.4 Приложение управления 25

2.5 Резюме 26

2.6 Вопрос 26


Глава 3 Технология веб -приложений 27

3.1 HTTP 27

3.1.1 HTTP -запрос 27

3.1.2 http -ответ 28

3.1.3 HTTP Метод 29

3.1.4 URL 30

3.1.5 REST 31

3.1.6 HTTP Head Head 31

3.1.7 cookie 33

3.1.8 Код состояния 33

3.1.9 HTTPS 34

3.1.10 http proxy 35

3.1.11 HTTP Authentication 35

3.2 Веб -функция 36

3.2.1 Функция на стороне сервера 36

3.2.2 Клиентская функция 40

3.2.3 Участие в штате 46

3.3 Схема кодирования 47

3.3.1 код URL 47

3.3.2 Кодирование Unicode 48

3.3.3 HTML Кодирование 48

3.3.4 BASE64 Кодирование 49

3.3.5 Шестнадцать -в коде 49

3.3.6 Отдаленная и сериализованная структура 49

3.4 Следующий шаг 50

3.5 Вопрос 50


Глава 4 Анализ Приложение 51

4.1 Содержание и функция измерения 51

4.1.1.

4.1.2 Crab 54, указанный пользователем

4.1.3 Откройте для себя скрытый контент 56

4.1.4 Страница приложения и функциональный путь 67

4.1.5 Открытие скрытых параметров 69

4.2 Приложение анализа 69

4.2.1 Определить точку ввода пользователя 70

4.2.2 Определить технологию сервера 72

4.2.3 Определить функцию сервера 76

4.2.4 Анализ поверхности атаки 79

4.2.5 Анализ экстремального приложения для покупок в Интернете 80

4.3 Резюме 81

4.4 Вопрос 82


Глава 5 Избегайте контроля клиента 83

5.1 Отправить данные через клиента 83

5.1.1 Скрыть поле формы 84

5.1.2 HTTP cookie 86

5.1.3 Параметр URL 86

5.1.4 РЕЗЕКТИРОВАННА

5.1.5 смутные данные 88

5.1.6 ASP.NET ViewState 89

5.2 Соберите пользовательские данные: HTML Form 91

5.2.1 Ограниченный лимит 91

5.2.2 Подтверждение на основе сценария 93

5.2.3 Отключить элемент 94

5.3 Соберите пользовательские данные: расширение браузера 95

5.3.1 Общая технология расширения браузера 96

5.3.2 Метод Attack Browser Extension 97

5.3.3 Перехватив трафик расширения браузера 97

5.3.4 Антикофиляционное расширение браузера 100

5.3.5 Дополнительный отладчик 109

5.3.6 Локальный клиент компонент 111

5.4 Обработка безопасности данных клиента 112

5.4.1 Передача данных через клиент 112

5.4.2 Подтвердите данные, сгенерированные клиентом 112

5.4.3 Log and Alert 113

5.5 Резюме 114

5.6 Вопрос 114


Глава 6 Механизм проверки атаки 115

6.1 Технология проверки 115

6.2. Механизм проверки дефект 116

6.2.1 Конфиденциальность пароля не является сильной 116

6.2.2 Вход 117

6.2.3 Подробные новости о неудаче 120

6.2.4 Передача сертификата легко атаковать 122

6.2.5 Функция изменения пароля 124

6.2.6 Забудьте о функции пароля 125

6.2.7“запомнить меня”Функция 127

6.2.8 Пользовательская камуфляж Функция 129

6.2.9 подтверждение сертификата неполное 131

6.2.10 НЕ- UNIQUE Имя пользователя 131

6.2.11 Предсказуемое имя пользователя 132

6.2.12 Предшественник начального пароля 133

6.2.13 Распределение сертификатов небезопасно 133

6.3 Дефект выполнения механизма проверки 134

6.3.1 Отказ открытый механизм входа 134

6.3.2 Дефекты в многоэтажном механизме входа в систему 135

6.3.3 Небезопасное хранилище сертификата 138

6.4 Безопасность механизма проверки гарантий 139

6.4.1 Используйте надежный сертификат 140

6.4.2 Сертификат обработки безопасности 140

6.4.3 Правильный сертификат подтверждения 141

6.4.4 предотвратить утечку информации 142

6.4.5 Предотвратить атаку грубой силы 143

6.4.6. Функция модификации пароля 144

6.4.7 Профилактика функции восстановления учетной записи 145

6.4.8.

6.5 Резюме 146

6.6 Вопрос 147


Глава 7 Управление сессиями атаки 148

7.1 Требования к статусу 148

7.2 Слабая связь в процессе сессионного токена 151

7.2.1 Токен имеет определенное значение 152

7.2.2 Токен может быть предсказан 153

7.2.3 Зашифрованный токен 162

7.3 Слабая связь в обработке токена сеанса 170

7.3.1 Утечка токена 170 в Интернете

7.3.2 Токен утечек в журнале 173

7.3.3 Токен—Картирование диалога подвержено атаке 175

7.3.4 Синтез Термидная эволюционная атака 176

7.3.5 Клиент подвергается риску захвата токенов 177

7.3.6 Большой диапазон печенья 178

7.4 Безопасность гарантийного управления сеансом 180

7.4.1. Создание сильного токена 181

7.4.2 Безопасность всей гарантии жизненного цикла 182

7.4.3 Журнал, мониторинг и тревога 184

7.5 Резюме 185

7.6 Вопрос 185


Глава 8 Контроль доступа к атаке 187

8.1 Общие уязвимости 187

8.1.1 Функция полностью незащищенного 188

8.1.2 Функция на основе идентификатора 190

8.1.3 многоэтажная функция 191

8.1.4 Статический файл 191

8.1.5 Ошибка конфигурации платформы 192

8.1.6 Метод контроля доступа не является безопасным 192

8.2 Контроль доступа к атаке 193

8.2.1 Используйте различные учетные записи пользователей для тестирования 194

8.2.2 Проверка многоэтажного процесса 197

8.2.3 Проверка через ограниченные разрешения доступа 199

8.2.4 Тест“Метод прямого доступа” 201

8.2.5 Контроль испытания статических ресурсов 202

8.2.6 Ограничьте реализацию метода HTTP 202

8.3 Безопасность для контроля доступа 203

8.4 Резюме 206

8.5 Вопрос 207


Глава 9 Область хранения данных атаки 208

9.1 Язык интерпретации. 208

9.2 Inject SQL 210

9.2.1 Используйте базовую уязвимость 211

9.2.2 инъекция разных операторов тип 213

9.2.3 Проверка уязвимости инъекции SQL 216

9.2.4“Отпечаток пальца”Идентификационная база данных 219

9.2.5 Union Operator 220

9.2.6 Извлечение полезных данных 224

9.2.7 Используйте Union для извлечения данных 224

9.2.8 Избегайте фильтрации 226

9.2.9 Второй -заказ SQL Incection 227

9.2.10 Усовершенствованное использование 229

9.2.11 В дополнение к инъекции SQL: расширить диапазон атаки базы данных 236

9.2.12 Используйте инструмент SQL -инъекции 238

9.2.13 Синтаксис и ошибка SQL.

9.2.14 предотвратить инъекцию SQL 246

9.3 Inject nosql 249

9.4 Inject XPath 250

9.4.1 Уничтожить логику приложения 251

9.4.2 Будь осторожным XPath Incection 252

9.4.3 Слепой XPath инъецирован 252

9.4.4 Найти уязвимость XPath Incement 253

9.4.5 Предотвратить xPath Inject 254

9,5 инъекция LDAP 254

9.5.1 Используйте LDAP для инъекции 255

9.5.2 Найти уязвимость инъекции LDAP 257

9.5.3 предотвратить инъекцию LDAP 258

9.6 Резюме 258

9,7 Вопрос 258


Глава 10 Проверьте задний конечный компонент 260

10.1 Инъекция команды операционной системы 260

10.1.1 Пример 1: Введите его через Perl в 261

10.1.2 Пример 2: вводите его через ASP 262

10.1.3 Введите его в 264 через динамическое выполнение

10.1.4 Найдите команду ОС для инъекции уязвимостей 264

10.1.5 Найти динамическую уязвимость выполнения 267

10.1.6 Предотвращение команды ОС 268

10.1.7 Предотвратить уязвимость инъекции сценария 268

10.2 Путь файла операции 268

10.2.1 Проверка уязвимости 269

10.2.2 Файл содержит уязвимости 278

10.3 Inject XML -интерпретатор 279

10.3.1 Inject XML внешняя сущность 279

10.3.2 инъекционное мыло 281

10.3.3 Найдите и используйте мыло для инъекции 283

10.3.4 предотвратить инъекцию мыла 284

10.4 Введите обратный http -запрос 284

10.4.1 Серверная сторона http перенаправление на 285

10.4.2 http parameter -инъекция 287

10.5 Электронная почта 290

10.5.1 Манипулировать заголовком E -Mail 290

10.5.2 SMTP Command Inject 291

10.5.3 Найти уязвимость инъекции SMTP 292

10.5.4 Предотвратить SMTP от инъекции 293

10.6 Резюме 294

10.7 Вопрос 294


Глава 11 Атака Логика приложения 296

11.1 Суть логического дефекта 296

11.2 Логические дефекты в реальности 297

11.2.1 Пример 1: Сплошные советы 297

11.2.2 Пример 2: Функция изменения пароля обман 298

11.2.3 Пример 3: прямое урегулирование 299

11.2.4 Случай 4: Измените страховой полис 300

11.2.5 Случай 5: Инвазивный банк 302

11.2.6 Случай 6: Избегайте предела транзакции 303

11.2.7 Случай 7: Получите большую скидку 305

11.2.8 Случай 8: Избегайте праведности 305

11.2.9 Случай 9: Избегайте входного подтверждения 306

11.2.10 Пример 10: Функция поиска злоупотреблений 308

11.2.11 Случай 11: Используйте сообщение отладки 310

11.2.12 Пример 12: Конкуренция с механизмом входа 311

11.3 Избегайте логических дефектов 312

11.4 Резюме 313

11.5 Вопрос 314


Глава 12 атакует других пользователей 315

12.1 Классификация XSS 316

12.1.1 Отражающая уязвимость XSS 316

12.1.2 Save XSS уязвимость 320

12.1.3 Уязвимость XSS на основе DOM 322

12.2 XSS Attack 323

12.2.1 Real XSS Attack 323

12.2.2 XSS Атака Эффективная нагрузка 324

12.2.3 Механизм передачи XSS Attack 327

12.3 Найти и использовать уязвимости XSS 329

12.3.1. Найти и использовать уязвимости для рефлексивных XSS 331

12.3.2 Найдите и используйте сохранившуюся уязвимость XSS 352

12.3.3 Найти и использовать DOM на основе уязвимостей XSS 357

12.4 Предотвратить XSS Attack 360

12.4.1 Предотвращение рефлексивных и сохранившихся уязвимостей XSS 360

12.4.2 Предотвращение уязвимостей XSS на основе DOM 364

12.5 Резюме 365

12.6 Вопрос 365


Глава 13 Пользователи атаки: другие советы 366

13.1 Tastrate Операция выполнения пользователя 366

13.1.1 Запрос выброшен 366

13.1.2 UI Camouflage 374

13.2 Данные захвата Cross -377

13.2.1 Данные захвата путем инъекции HTML 377

13.2.2 Катальные данные путем инъекции CSS 378

13.2.3 JavaScript Chacicking 380

13.3 Обследование гомологичных стратегий 384

13.3.1 Стратегия Homerior и расширение браузера 384

13.3.2 Homoton Strategy и HTML5 386

13.3.3 Cross -Domain 388 через заявки на обслуживание агентства

13.4 Другой клиент, инъекционная атака 389

13.4.1 HTTP Message Head Inject 389

13.4.2.

13.4.3 Открытое перенаправление на уязвимость 396

13.4.4 Клиент SQL Inject 402

13.4.5. Загрязнение параметров http клиента 402

13.5 Атака местной конфиденциальности 403

13.5.1 Постоянное печенье 404

13.5.2 Кэш веб -контент 404

13.5.3 Просмотр исторической записи 405

13.5.4 Автоматическое завершение 406

13.5.5 Flash Local Shared Общий объект 406

13.5.6 Silverlight Independent Storage 406

13.5.7 Internet Explorer userData 407

13.5.8 HTML5 Локальный механизм хранения 407

13.5.9 Предотвратить атаку местной конфиденциальности 407

13.6 Attack Activex Control 408

13.6.1 Найти уязвимость ActiveX 409

13.6.2 Предотвратить уязвимость ActiveX 410

13.7 Brower 411 Attack 411

13.7.1 Ключи записи 411

13.7.2 Уровень браузера Исторические записи и поисковый запрос 412

13.7.3 Применение в настоящее время используется 412

13.7.4 Сканирование кондора 412

13.7.5 атаковать другой сетевой хост 413

13.7.6 Использование не -HTTP Service 413

13.7.7 Используйте уязвимости браузера 414

13.7.8 DNS Rewinsert 414

13.7.9 Браузер использует кадр 415

13.7.10 Средние люди атакуют 416

13.8 Резюме 418

13.9 Вопрос 418


Глава 14 Индивидуальная автоматизация атаки 419

14.1 Применение индивидуальной атаки автоматизации 419

14.2 ограниченный эффективный идентификатор 420

14.2.1 Основные шаги 420

14.2.2 Обнаружение“Контакт” 421

14.2.3 Напишите сценарий атаки 422

14.2.4 JAttack 423

14.3 Получите полезные данные 428

14.4 Частые уязвимости Неопределенный тест 431

14.5 Интегрированные все функции: Burp Intruder 434

14.6 Реализация автоматизации 442

14.6.1 Механизм обработки сеанса 443

14.6.2 Captcha Control 448

14.7 Резюме 451

14.8 Вопрос 451


Глава 15 Используйте утечку информации 453

15.1 Используйте сообщение об ошибке 453

15.1.1 Скрипт сообщения об ошибке 453

15.1.2 Отслеживание стека 454

15.1.3 Подробное сообщение отладки 455

15.1.4 Сообщение сервера и базы данных 456

15.1.5 Используйте публичную информацию 458

15.1.6 Создание подробных сообщений об ошибках 459

15.2 Сбор информации опубликована 460

15.3 Использование вывода 461

15.4 Предотвратить утечку информации 462

15.4.1 Используйте обычное сообщение об ошибке 462

15.4.2 Защита конфиденциальной информации 462

15.4.3 Попробуйте уменьшить утечку информации о клиенте 463

15.5 Резюме 463

15.6 Вопрос 463


Глава 16 Атака Приложение локального компиляции 466

16.1 Уязвимость переполнения подушки 467

16.1.1 Переполнение стека 467

16.1.2 переполнение упаковки 467

16.1.3“Сдвиг”Уязвимость 468

16.1.4 Найти уязвимость буфера переполнения 470

16.2 Межоверная уязвимость 472

16.2.1 целое число переполнения 472

16.2.2 Ошибка символа 472

16.2.3 Найдите целочисленную уязвимость 473

16.3 Уязвимость формата 474

16.4 Резюме 475

16.5 Вопрос 475


Глава 17 Архитектура приложения атаки 477

17.1 Слоистая архитектура 477

17.1.1 Атакуйная архитектура 478

17.1.2 Безопасность слоистой архитектуры 482

17.2 Общий хост и поставщик услуг приложений 483

17.2.1 Виртуальный хост 484

17.2.2 Share Application Service 484

17.2.3 Среда обмена атаками 485

17.2.4 Безопасность обеспечения общей среды 490

17.3 Резюме 491

17.4 Вопрос 491


Глава 18 Attack Web Server 493

18.1 Дефект конфигурации веб -сервера 493

18.1.1 Сертификат по умолчанию 493

18.1.2 Содержание по умолчанию 494

18.1.3 Список каталогов 499

18.1.4 Метод Webdav 500

18.1.5 Веб -сервер как прокси -сервер 503

18.1.6 Дефект конфигурации виртуального хоста 504

18.1.7 Безопасность конфигурации веб -сервера 504

18.2 Серверное программное обеспечение 505

18.2.1. Дефект приложения. Дефект 505

18.2.2 Уязвимость управления памятью 507

18.2.3 Кодирование и стандартизированная уязвимость 508

18.2.4 Найти уязвимость веб -сервера 512

18.2.5 Безопасность программного обеспечения веб -сервера 513

18.3 Веб -брандмауэр 514

18.4 Резюме 515

18.5 Вопрос 516


Глава 19 Найдите уязвимость в исходном коде 517

19.1 Метод обзора кода 517

19.1.1“черный ящик”Тест и“белая коробка”Тест 517

19.1.2 Метод обзора кода 518

19.2 Общие уязвимости подпись 519

19.2.1 Сценарий Креста 519

19.2.2 SQL Inject 520

19.2.3 Переход 520

19.2.4 Любое ремонт 521

19.2.5 Команда ОС для инъекции 522

19.2.6.

19.2.7 Уязвимость локального кода 522

19.2.8 Аннотация исходного кода 524

19.3 Java Platform 524

19.3.1 Определите данные, представленные пользователем 524

19.3.2 Сессионное взаимодействие 525

19.3.3 Потенциальная опасная API 526

19.3.4 Настройте Java Environment 528

19.4 ASP.NET 529

19.4.1 Определите данные, представленные пользователем 529

19.4.2 Сессионное взаимодействие 530

19.4.3 Потенциальный опасный API 531

19.4.4 Настройка среды ASP.NET 533

19.5 PHP 534

19.5.1 Определите данные, представленные пользователем 534

19.5.2 Диалоговое взаимодействие 536

19.5.3 Потенциальная опасная API 536

19.5.4 Настройте среду PHP 540

19.6 Perl 542

19.6.1 Определите данные, представленные пользователем 542

19.6.2 Сессионное взаимодействие 543

19.6.3 Потенциальный опасный API 543

19.6.4 Настройка среды Perl 544

19.7 JavaScript 545

19.8 Код базы данных компонент 546

19.8.1 SQL Inject 546

19.8.2 Вызовите опасность функцию 547

19.9 Инструмент кода 547

19.10 Резюме 548

19.11 Вопрос 548


Глава 20 Инструменты для хакеры веб -приложения 550

20.1 Веб -браузер 550

20.1.1 Internet Explorer 550

20.1.2 Firefox 551

20.1.3 Chrome 552

20.2 Интегрированный тестовый комплект 552

20.2.1 Принцип работы 553

20.2.2 Тестовый процесс 566

20.2.3 Перехват инструмент замены прокси -сервера 568

20.3 Независимый сканер уязвимости 570

20.3.1 Уязвимость 570 обнаружена сканером

20.3.2 Внутренний предел сканера 571

20.3.3 Технические проблемы, с которыми сталкивается сканер 572

20.3.4 Текущий продукт 574

20.3.5 Используйте сканер уязвимости 576

20.4 Другие инструменты 577

20.4.1 Wikto/Nikto 577

20.4.2 Firebug 577

20.4.3 Hydra 578

20.4.4 Пользовательский сценарий 578

20.5 Резюме 581


Глава 21 Методология тестирования проникновения веб -приложений 582

21.1 Анализ Содержание приложения 584

21.1.1 Поиск может быть видимым контентом 584

21.1.2 Обзор государственных ресурсов 585

21.1.3 Откройте для себя скрытый контент 586

21.1.4 Найдите контент по умолчанию 586

21.1.5 Функции, указанные в идентификаторе логотипа 586

21.1.6 Параметры отладки 587

21.2 Анализ Приложение 587

21.2.1 Определить функцию 587

21.2.2 Определить точку ввода данных 587

21.2.3 Определите технологию, используемую 588

21.2.4 Анализ поверхности атаки 588

21.3 Проверка управления клиентом 588

21.3.1 Передача данных через клиент 589

21.3.2 Управление вводом клиента 589

21.3.3 Компонент расширения браузера 590

21.4 Механизм проверки 592

21.4.1 Понять механизм проверки 592

21.4.2 Проверка пароля 593

21.4.3 Тестовая имени пользователя перечисление 593

21.4.4 Адаптируемость пароля тестирования Угадайте 593

21.4.5 Функция восстановления тестовой учетной записи 594

21.4.6 Тест“запомнить меня”Функция 594

21.4.7 Функция тестирования камуфляжа 594

21.4.8.

21.4.9 Предсказанный 595 Сертификат испытаний 595

21.4.10 Передача сертификата небезопасной проверки 595

21.4.11 Неточное распределение сертификатов 596

21.4.12 Тест Небезопасное хранилище 596

21.4.13 Дефект логики тестирования 596

21.4.14 Используйте уязвимости для получения несанкционированного доступа 597

21.5 Механизм управления беседой 598

21.5.1 Понять механизм управления сеансом 598

21.5.2 Значение тестового токена 599

21.5.3 Проверьте предсказуемость токена 599

21.5.4 Проверьте небезопасную передачу токена 600

21.5.5 Проверьте токен 600 просочился в журнале

21.5.6.

21.5.7 Тестовые символы завершения 601

21.5.8 Сессия теста исправлена ​​602

21.5.9 Проверьте CSRF 602

21.5.10 Проверьте диапазон cookie 602

21.6 контроль доступа к тестированию 603

21.6.1 Понять требования к контролю доступа 603

21.6.2 Используйте несколько учетных записей для тестирования 604

21.6.3 Используйте ограниченную проверку разрешений 604

21.6.4 Тестирование неточных методов контроля доступа 605

21.7 Проверьте уязвимость ввода 605

21.7.1 Неопределенный тест все параметры запроса 605

21.7.2 Тест SQL -инъекция 607

21.7.3 Тест XSS и другие ответы на Inject 609

21.7.4 Команда тестовой ОС для ввода 611

21.7.5 Тестовый путь, пройдя 612

21.7.6 Инъекция испытательного сценария 613

21.7.7 Тестовые файлы включают 613

21.8 Входные уязвимости в специальных функциях 613

21.8.1 Тест SMTP Inject 614

21.8.2 Проверка уязвимости локального кода 614

21.8.3 Тестовая инъекция мыла 616

21.8.4 Тест LDAP Инъекция 616

21.8.5 тест xPath Inject 617

21.8.6 Проверьте задний запрос на инъекцию 617

21.8.7 Тест xxe inject 617

21.9 Тестовая логика дефект 618

21.9.1. Определите ключевого нападающего 618

21.9.2 Проверка многоэтажного процесса 618

21.9.3 Проверка неполного ввода 619

21.9.4.

21.9.5 Тестовая логика транзакции 619

21.10 Уязвимость обмена тестированием 620

21.10.1 Проверка изоляции между общей инфраструктурой 620

21.10.2 Тестовая изоляция между приложениями с использованием ASP Host 620

21.11 Тестовая уязвимость веб -сервера 621

21.11.1 Проверка сертификата по умолчанию 621

21.11.2 Проверка содержимого по умолчанию 621

21.11.3 HTTP Метод испытательной опасности 622

21.11.4 Тестовая прокси -функция 622

21.11.5 Проверьте, что конфигурация виртуального хоста неверно 622

21.11.6 Тестирование Уязвимость программного обеспечения веб -сервера 622

21.11.7 Тестовый веб -приложение брандмауэр 623

21.12 Другие проверки 623

21.12.1 Тестовые атаки DOM на основе DOM 624

21.12.2 Проверка локальной уязвимости конфиденциальности 624

21.12.3 Проверьте алгоритм хрупкого шифрования SSL 625

21.12.4 Проверьте конфигурацию гомологичной стратегии 625

21.13 Проверьте информацию утечку 625


  Захватывающий контент
 
......

  краткое введение
«Технология сокровищ Matrix: Web Real Episode (2 -е издание)» - это практическое руководство по изучению и изучению веб -приложений.Автор использует большое количество фактических случаев и примеров кода, чтобы подробно ввести недостатки различных типов веб -приложений, а также в -depth объяснение того, как провести конкретные инфильтрационные тесты для веб -приложений.«Наступательная и защитная технология Matrix: Web Actual Combat Gate (2nd Edition)», начиная с представления текущего обзора безопасности веб -приложений, сосредоточенного на обсуждении подробных шагов и методов, используемых во время тестирования на проникновение, и, наконец, суммирование темы, описанной в книге.Есть также упражнения после каждой главы, которая удобна для читателей, чтобы консолидировать то, что они узнали.Второе издание добавило новую ситуацию в области безопасности веб -приложений в последние годы и предоставляет сотни интерактивных типов в виде попытки доступа.“Лаборатория уязвимости”Для читателей удобно быстро овладеть всевозможными и защитными знаниями и навыками.«Наступательные и оборонные технологии Matrix: веб -реальность (2 -е издание)» подходит для чтения и управления в области компьютерной безопасности и веб -разработки и управления.

  об авторе
Dafydd Stuttard World -Консультант по безопасности, писатель, разработчик программного обеспечения.Доктор Оксфордский университет, соучредитель MDSEC, особенно хорош в тесте на проникновение веб -приложений и программного обеспечения для компиляции.Dafydd использует репутацию Net Name Portswigger. Это хорошо известный разработчик Burp Suite, известной платформы интегрированной веб -приложения.Старший эксперт по тестам на проникновение Маркуса Пинто, магистр Кембриджского университета и основатель MDSEC.Marcus предоставляет тестирование и обучение и обучение в области проникновения в веб -приложения для глобальных финансов, правительств, телекоммуникаций, игр, розничной торговли и других отраслей*организаций и учреждений.