![《Web攻防之业务安全实战指南陈晓光著》[40M]百度网盘|pdf下载|亲测有效](/downpdf2/uploads/2024-01-20/2cf942b4fd379ee6.jpg "Web攻防之业务安全实战指南陈晓光著")
Web攻防之业务安全实战指南陈晓光著 pdf下载
8.99¥
10.99¥
内容简介
本篇主要提供Web攻防之业务安全实战指南陈晓光著电子书的pdf版本下载,本电子书下载方式为百度网盘方式,点击以上按钮下单完成后即会通过邮件和网页的方式发货,有问题请联系邮箱ebook666@outlook.com
| 图书基本信息 | |||
| 图书名称 | Web攻防之业务安全实战指南(博文视点出品) | 作者 | 陈晓光 著 |
| 定价 | 69元 | 出版社 | 电子工业出版社 |
| ISBN | 9787121335815 | 出版日期 | 2018-03-01 |
| 字数 | 292000 | 页码 | 220 |
| 版次 | 装帧 | 平装 | |
| 开本 | 16开 | 商品重量 | |
| 内容提要 | |
| 业务安全漏洞作为常见的Web安全漏洞,在各大漏洞平台时有报道,本书是一本从原理到案例分析,系统性地介绍这门技术的书籍。撰写团队具有10年大型网站业务安全测试经验,成员们对常见业务安全漏洞进行梳理,总结出了全面、详细的适用于电商、银行、金融、证券、保险、游戏、社交、招聘等业务系统的测试理论、工具、方法及案例。本书共15章,包括理论篇、技术篇和实践篇。理论篇首先介绍从事网络安全工作涉及的相关法律法规,请大家要做一个遵纪守法的白帽子,然后介绍业务安全引发的一些安全问题和业务安全测试相关的方,以及怎么去学好业务安全。技术篇和实践篇选取的内容都是这些白帽子多年在电商、金融、证券、保险、游戏、社交、招聘、O2O等不同行业、不同的业务系统存在的各种类型业务逻辑漏洞进行安全测试总结而成的,能够帮助读者理解不同行业的业务系统涉及的业务安全漏洞的特点。具体来说,技术篇主要介绍登录认证模块测试、业务办理模块测试、业务授权访问模块测试、输入/输出模块测试、回退模块测试、验证码机制测试、业务数据安全测试、业务流程乱序测试、密码找回模块测试、业务接口模块调用测试等内容。实践篇主要针对技术篇中的测试方法进行相关典型案例的测试总结,包括账号安全案例总结、密码找回案例总结、越权访问案例、OAuth 2.0案例总结、在线支付安全案例总结等。通过对本书的学习,读者可以很好地掌握业务安全层面的安全测试技术,并且可以协助企业规避业务安全层面的安全风险。本书比较适合作为企业专职安全人员、研发人员、普通高等院校网络空间安全学科的教学用书和参考书,以及作为网络安全爱好者的自学用书。 |
| 目录 | |
| 理论篇 章 网络安全法律法规t2 第2章 业务安全引发的思考t8 2.1 行业安全问题的思考t8 2.2 如何更好地学习业务安全t9 第3章 业务安全测试理论t11 3.1 业务安全测试概述t11 3.2 业务安全测试模型t12 3.3 业务安全测试流程t13 3.4 业务安全测试参考标准t18 3.5 业务安全测试要点t18 技术篇 第4章 登录认证模块测试t22 4.1 暴力破解测试t22 4.1.1 测试原理和方法t22 4.1.2 测试过程t22 4.1.3 修复建议t30 4.2 本地加密传输测试t30 4.2.1 测试原理和方法t30 4.2.2 测试过程t30 4.2.3 修复建议t32 4.3 Session测试t32 4.3.1 Session会话固定测试t32 4.3.2 Seesion会话注销测试t35 4.3.3 Seesion会话超时时间测试t39 4.4 Cookie仿冒测试t42 4.4.1 测试原理和方法t42 4.4.2 测试过程t42 4.4.3 修复建议t45 4.5 密文比对认证测试t45 4.5.1 测试原理和方法t45 4.5.2 测试过程t45 4.5.3 修复建议t48 4.6 登录失败信息测试t48 4.6.1 测试原理和方法t48 4.6.2 测试过程t49 4.6.3 修复建议t50 第5章 业务办理模块测试t51 5.1 订单ID篡改测试t51 5.1.1 测试原理和方法t51 5.1.2 测试过程t51 5.1.3 修复建议t55 5.2 篡改测试t55 5.2.1 测试原理和方法t55 5.2.2 测试过程t56 5.2.3 修复建议t57 5.3 用户ID篡改测试t58 5.3.1 测试原理和方法t58 5.3.2 测试过程t58 5.3.3 修复建议t60 5.4 邮箱和用户篡改测试t60 5.4.1 测试原理和方法t60 5.4.2 测试过程t61 5.4.3 修复建议t62 5.5 商品编号篡改测试t63 5.5.1 测试原理和方法t63 5.5.2 测试过程t63 5.5.3 修复建议t65 5.6 竞争条件测试t66 5.6.1 测试原理和方法t66 5.6.2 测试过程t67 5.6.3 修复建议t69 第6章 业务授权访问模块t70 6.1 非授权访问测试t70 6.1.1 测试原理和方法t70 6.1.2 测试过程t70 6.1.3 修复建议t71 6.2 越权测试t72 6.2.1 测试原理和方法t72 6.2.2 测试过程t72 6.2.3 修复建议t76 第7章 输入/输出模块测试t77 7.1 SQL注入测试t77 7.1.1 测试原理和方法t77 7.1.2 测试过程t78 7.1.3 修复建议t84 7.2 XSS测试t84 7.2.1 测试原理和方法t84 7.2.2 测试过程t85 7.2.3 修复建议t88 7.3 命令执行测试t89 7.3.1 测试原理和方法t89 7.3.2 测试过程t89 7.3.3 修复建议t91 第8章 回退模块测试t92 8.1 回退测试t92 8.1.1 测试原理和方法t92 8.1.2 测试过程t92 8.1.3 修复建议t93 第9章 验证码机制测试t94 9.1 验证码暴力破解测试t94 9.1.1 测试原理和方法t94 9.1.2 测试过程t94 9.1.3 修复建议t97 9.2 验证码重复使用测试t97 9.2.1 测试原理和方法t97 9.2.2 测试过程t98 9.2.3 修复建议t100 9.3 验证码客户端回显测试t101 9.3.1 测试原理和方法t101 9.3.2 测试过程t101 9.3.3 修复建议t104 9.4 验证码绕过测试t104 9.4.1 测试原理和方法t104 9.4.2 测试过程t104 9.4.3 修复建议t106 9.5 验证码自动识别测试t106 9.5.1 测试原理和方法t106 9.5.2 测试过程t107 9.5.3 修复建议t111 0章 业务数据安全测试t112 10.1 商品支付金额篡改测试t112 10.1.1 测试原理和方法t112 10.1.2 测试过程t112 10.1.3 修复建议t115 10.2 商品订购数量篡改测试t115 10.2.1 测试原理和方法t115 10.2.2 测试过程t115 10.2.3 修复建议t120 10.3 前端JS限制绕过测试t121 10.3.1 测试原理和方法t121 10.3.2 测试过程t121 10.3.3 修复建议t123 10.4 请求重放测试t123 10.4.1 测试原理和方法t123 10.4.2 测试过程t123 10.4.3 修复建议t125 10.5 业务上限测试t126 10.5.1 测试原理和方法t126 10.5.2 测试过程t126 10.5.3 修复建议t128 1章 业务流程乱序测试t129 11.1 业务流程绕过测试t129 11.1.1 测试原理和方法t129 11.1.2 测试过程t129 11.1.3 修复建议t133 2章 密码找回模块测试t134 12.1 验证码客户端回显测试t134 12.1.1 测试原理和方法t134 12.1.2 测试流程t134 12.1.3 修复建议t137 12.2 验证码暴力破解测试t137 12.2.1 测试原理和方法t137 12.2.2 测试流程t137 12.2.3 修复建议t140 12.3 接口参数账号修改测试t140 12.3.1 测试原理和方法t140 12.3.2 测试流程t141 12.3.3 修复建议t144 12.4 Response状态值修改测试t144 12.4.1 测试原理和方法t144 12.4.2 测试流程t144 12.4.3 修复建议t147 12.5 Session覆盖测试t147 12.5.1 测试原理和方法t147 12.5.2 测试流程t148 12.5.3 修复建议t150 12.6 弱Token设计缺陷测试t150 12.6.1 测试原理和方法t150 12.6.2 测试流程t151 12.6.3 修复建议t153 12.7 密码找回流程绕过测试t153 12.7.1 测试原理和方法t153 12.7.2 测试流程t154 12.7.3 修复建议t157 3章 业务接口调用模块测试t158 13.1 接口调用重放测试t158 13.1.1 测试原理和方法t158 13.1.2 测试过程t158 13.1.3 修复建议t160 13.2 接口调用遍历测试t160 13.2.1 测试原理和方法t160 13.2.2 测试过程t161 13.2.3 修复建议t166 13.3 接口调用参数篡改测试t167 13.3.1 测试原理和方法t167 13.3.2 测试过程t167 13.3.3 修复建议t169 13.4 接口未授权访问/调用测试t169 13.4.1 测试原理和方法t169 13.4.2 测试过程t170 13.4.3 修复建议t172 13.5 Callback自定义测试t172 13.5.1 测试原理和方法t172 13.5.2 测试过程t173 13.5.3 修复建议t177 13.6 WebService测试t177 13.6.1 测试原理和方法t177 13.6.2 测试过程t177 13.6.3 修复建议t184 实践篇 4章 账号安全案例总结t186 14.1 账号安全归纳t186 14.2 账号安全相关案例t187 14.1.1 账号密码直接暴露在互联网上t187 14.1.2 无限制登录任意账号t189 14.1.3 电子邮件账号泄露事件t192 14.1.4 中间人攻击t195 14.1.5 撞库攻击t197 14.3 防范账号泄露的相关手段t199 5章 密码找回安全案例总结t200 15.1 密码找回凭证可被暴力破解t200 15.1.1 某社交软件任意密码修改案例t201 15.2 密码找回凭证直接返回给客户端t203 15.2.1 密码找回凭证暴露在请求链接中t204 15.2.2 加密验证字符串返回给客户端t205 15.2.3 网页源代码中隐藏着密保答案t206 15.2.4 短信验证码返回给客户端t207 15.3 密码重置链接存在弱Tokent209 15.3.1 使用时间戳的md5作为密码重置Tokent209 15.3.2 使用服务器时间作为密码重置Tokent210 15.4 密码重置凭证与用户账户关联不严t211 15.4.1 使用短信验证码找回密码t212 15.4.2 使用邮箱Token找回密码t213 15.5 重新绑定用户手机或邮箱t213 15.5.1 重新绑定用户手机t214 15.5.2 重新绑定用户邮箱t215 15.6 服务端验证逻辑缺陷t216 15.6.1 删除参数绕过验证t217 15.6.2 邮箱地址可控t218 15.6.3 身份验证步骤可被绕过t219 15.7 在本地验证服务端的返回信息――修改返回包绕过验证t221 15.8 注册覆盖――已存在用户可被重复注册t222 15.9 Session覆盖――某电商网站可通过Session覆盖方式重置他人密码t223 15.10 防范密码找回漏洞的相关手段t225 6章 越权访问安全案例总结t227 16.1 平行越权t227 16.1.1 某高校教务系统用户可越权查看其他用户个人信息t227 16.1.2 某电商网站用户可越权查看或修改其他用户信息t229 16.1.3 某手机APP普通用户可越权查看其他用户个人信息t232 16.2 纵向越权t233 16.2.1 某办公系统普通用户权限越权提升为系统权限t233 16.2.2 某中学网站管理后台可越权添加管理员账号t235 16.2.3 某智能机顶盒低权限用户可越权修改超级管理员配置信息t240 16.2.4 某Web防火墙通过修改用户对应菜单类别可提升权限t244 16.3 防范越权访问漏洞的相关手段t247 7章 OAuth 2.0安全案例总结t248 17.1 OAuth 2.0认证原理t248 17.2 OAuth 2.0漏洞总结t250 17.2.1 某社交网站CSRF漏洞导致绑定劫持t250 17.2.2 某社区劫持授权t251 17.3 防范OAuth 2.0漏洞的相关手段t253 8章 在线支付安全案例总结t254 18.1 某快餐连锁店官网订单金额篡改t254 18.2 某网上商城订单数量篡改t256 18.3 某服务器供应商平台订单请求重放测试t257 18.4 某培训机构官网订单其他参数干扰测试t259 18.5 防范在线支付漏洞的相关手段t261 |
| 作者介绍 | |
| 陈晓光恒安嘉新(北京)科技股份公司执行总裁,资深安全专家,毕业于北京邮电大学信息安全专业。长期从事网络与信息安全方面的技术研究、项目管理和市场拓展工作。曾主导和参与多项重大国家标准、国家863 项目和242 安全课题;建设了多个全国性安全系统工程;为电信、金融和等多个行业提供安全建议。在安全风险评估、安全管理体系、安全标准、移动互联网安全和通信安全等领域有着丰富的实践经验。拥有CISSP、CISA、ISO27001 LA 等多项国际安全从业资质。胡兵恒安嘉新(北京)科技股份公司安全攻防与应急响应中心总经理。负责公司安全产品解决方案、安全攻防技术研究、安全咨询服务等工作。多年来,一直致力于安全攻防技术的研究,曾参与国家信息安全有关部门、各大电信运营商、高校多个课题研究项目。带领安全研究团队支撑“中国反网络病毒联盟平台ANVA”、“国家信息安全漏洞共享平台VD”运营工作,以及承担国家重要活动期间的安全保障工作。张作峰(Rce)恒安嘉新(北京)科技股份公司安全攻防与应急响应中心副总经理、轩辕攻防实验室团队负责人、安全专家、互联网白帽子,原启明星辰资深安全研究员。十余年网络安全服务、安全研究、应急保障工作经验,在职期间参与完成了多个大型安全服务、集成、安全课题项目,以及多次国家重要活动的网络安全应急保障任务。 |
| 编辑推荐 | |
| 多年实战经验归纳总结的业务安全测试点和步骤,大量案例再现了典型业务安全场景,梳理出了整个业务安全体系漏洞挖掘的方。
|
![《机器人爱好者第7辑SERVO杂志著,荣耀,徐亦迅,陆国君等译出版》[82M]百度网盘|pdf下载|亲测有效](/downpdf2/uploads/2024-01-20/c42209ed01d36d6f.jpg)
![《C++ Primer习题集(第5版)(博文视点出品)》[49M]百度网盘|pdf下载|亲测有效](/downpdf2/uploads/54dc7cacNc06ad75c.jpg)
![《AdobePhotoshop经典教程彩色版PS教程书籍adobe官方教程淘宝美工后期调色师》[59M]百度网盘|pdf下载|亲测有效](/downpdf2/uploads/2024-01-20/790b0935dc2488d2.jpg)
![《电子元器件故障检测与维修实践技巧全图解王红军,高宏泽中国铁道》[75M]百度网盘|pdf下载|亲测有效](/downpdf2/uploads/2024-01-20/blank.gif)