当前位置:主页 > 计算机电子书 > 信息安全 > Web安全下载
Web攻防之业务安全实战指南

Web攻防之业务安全实战指南 PDF 清晰完整版

  • 更新:2019-05-14
  • 大小:46.6 MB
  • 类别:Web安全
  • 作者:陈晓光
  • 出版:电子工业出版社
  • 格式:PDF

  • 资源介绍
  • 相关推荐

Web攻防之业务安全实战指南

Web攻防之业务安全实战指南

读者评价

还不错,书中讲到了很多的东西, 如果能够把软件的安装和使用详细一点就更好了

不到两个小时看完全书。大量的burp配图扩充了页码数。大部分案例是常规手段。全是梳理了一下逻辑漏洞的知识体系吧。适合刚入门渗透的童鞋看

感觉不到作者的诚意啊,连个测试环境作者都不给出,实在是太不厚道了..建议这种书籍只需要看看电子版的即可。。。没有必要买字纸版的,真是的是浪费金钱啊.如果满分是100分的话,我愿意给个不及格,国内人大多数感觉只是为了出书而出书。。。想学习真正的知识还是转到国外吧,比如h1之类的,那才叫良心

内容介绍

业务安全漏洞作为常见的Web安全漏洞,在各大漏洞平台时有报道,《Web攻防之业务安全实战指南》是一本从原理到案例分析,系统性地介绍这门技术的书籍。撰写团队具有10年大型网站业务安全测试经验,成员们对常见业务安全漏洞进行梳理,总结出了全面、详细的适用于电商、银行、金融、证券、保险、游戏、社交、招聘等业务系统的测试理论、工具、方法及案例。

本书共18章,包括理论篇、技术篇和实践篇。理论篇首先介绍从事网络安全工作涉及的相关法律法规,请大家一定要做一个遵纪守法的白帽子,然后介绍业务安全引发的一些安全问题和业务安全测试相关的方法论,以及怎么去学好业务安全。技术篇和实践篇选取的内容都是这些白帽子多年在电商、金融、证券、保险、游戏、社交、招聘、O2O等不同行业、不同的业务系统存在的各种类型业务逻辑漏洞进行安全测试总结而成的,能够帮助读者理解不同行业的业务系统涉及的业务安全漏洞的特点。具体来说,技术篇主要介绍登录认证模块测试、业务办理模块测试、业务授权访问模块测试、输入/输出模块测试、回退模块测试、验证码机制测试、业务数据安全测试、业务流程乱序测试、密码找回模块测试、业务接口模块调用测试等内容。实践篇主要针对技术篇中的测试方法进行相关典型案例的测试总结,包括账号安全案例总结、密码找回案例总结、越权访问案例、OAuth 2.0案例总结、在线支付安全案例总结等。

通过对本书的学习,读者可以很好地掌握业务安全层面的安全测试技术,并且可以协助企业规避业务安全层面的安全风险。本书比较适合作为企业专职安全人员、研发人员、普通高等院校网络空间安全学科的教学用书和参考书,以及作为网络安全爱好者的自学用书。

目录

  • 第1章 网络安全法律法规 2
  • 第2章 业务安全引发的思考 8
  • 第3章 业务安全测试理论 11
  • 第4章 登录认证模块测试 22
  • 第5章 业务办理模块测试 51
  • 第6章 业务授权访问模块 70
  • 第7章 输入/输出模块测试 77
  • 第8章 回退模块测试 92
  • 第9章 验证码机制测试 94
  • 第10章 业务数据安全测试 112
  • 第11章 业务流程乱序测试 129
  • 第12章 密码找回模块测试 134
  • 第13章 业务接口调用模块测试 158
  • 第14章 账号安全案例总结 186
  • 第15章 密码找回安全案例总结 200
  • 第16章 越权访问安全案例总结 227
  • 第17章 OAuth 2.0安全案例总结 248
  • 第18章 在线支付安全案例总结 254

资源下载

资源下载地址1:https://pan.baidu.com/s/1JQpdu_MWqpUZpMSQeQ1XFg

相关资源

网友留言

网友NO.48067
徐洛凝

SQL 注入漏洞(SQL Injection)是 Web 开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息,或者利用数据库的特性执行添加用户,导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统用户最高权限。 而造成 SQL 注入的原因是因为程序没有有效的转义过滤用户的输入,使攻击者成功的向服务器提交恶意的 SQL 查询代码,程序在接收后错误的将攻击者的输入作为查询语句的一部分执行,导致原始的查询逻辑被改变,额外的执行了攻击者精心构造的恶意代码。 很多 Web 开发者没有意识到 SQL 查询是可以被篡改的,从而把 SQL 查询当作可信任的命令。殊不知,SQL 查询是可以绕开访问控制,从而绕过身份验证和权限检查的。更有甚者,有可能通过 SQL 查询去运行主机系统级的命令。

网友NO.37678
师蔓蔓

Web 安全的对于 Web 从业人员来说是一个非常重要的课题 , 所以在这里总结一下 Web 相关的安全攻防知识,希望以后不要再踩雷,也希望对看到这篇文章的同学有所帮助。今天这边文章主要的内容就是分析几种常见的攻击的类型以及防御的方法。 也许你对所有的安全问题都有一定的认识,但最主要的还是在编码设计的过程中时刻绷紧安全那根弦,需要反复推敲每个实现细节,安全无小事。 本文代码 Demo 都是基于 Node.js 讲解,其他服务端语言同样可以参考。 XSS 首先说下最常见的 XSS 漏洞,XSS (Cross Site Script),跨站脚本攻击,因为缩写和 CSS (Cascading Style Sheets) 重叠,所以只能叫 XSS。 XSS 的原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码,当用户浏览该页之时,嵌入其中 Web 里面的脚本代码会被执行,从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的。XSS 的攻击方式千变万化,但还是可以大致细分为几种类型。 非持久型 XSS 非持久型 XSS 漏洞,也叫反射型 XSS 漏洞,一般是通过给别人发送带有恶意脚本代码参数的 URL,当 URL 地址被打开时,特有的恶意代码参数被 HTML 解析、执行。