黑客攻防技術寶典Web實戰篇【第2版】

#學習資料 ·2025-11-19 14:11:24

總體而言，本書根據不同主題之間的依賴關系將內容組織在一起。如果你還不了解黑客是如何攻擊Web應用程序的，應該從頭至尾讀完本書，以了解在后續有關章節中需要用到的背景信息和技巧。如果你在這方面已經擁有一定的經驗，可以直接跳到特別感興趣的任何章節或部分。

必要時，我們將提供其他章節的交叉參考，以幫助你彌補理解上的欠缺。本書前3章介紹一些背景信息，描述當前Wcb應用程序的安全狀況，說明它將來的發展趨勢。然后將介紹影響Wcb應用程序的核心安全問題，以及應用程序為解決這些問題所采取的防御機制。

同時還將介紹當前Web應用程序所使用的關鍵技術。本書的主要部分重點討論核心主題--滲透測試員在攻擊Web應用程序時使用的技巧。我們根據實施全面攻擊所需要完成的關鍵任務組織材料，這些任務依次為解析應用程序的功能，檢查和攻擊它的核心防御機制，探查特殊類型的安全漏洞。

最后3章對本書涵蓋的各種主題進行簡要總結描述，如何在應用程序源代碼中查找漏洞。從而能夠在回顧中幫助滲透測試員更好理解攻擊Web應用程序的工具。詳細介紹攻擊方法論，說明滲透測試員如何對一個目標應用程序實施全面而深入的攻擊。

第1章描述當前在因特網上運行的Web應用程序的安全狀況。盡管軟件商常常保證Web應用程序是安全的，但絕大多數的應用程序并不真正安全，只要掌握一些技巧，就能夠攻破它們。Web應用程序中的漏洞源于一個核心問題，用戶可提交任意輸入。這一章將分析造成當今應用程序安全狀況不佳的關鍵因素，并說明Web應用程序中存在的缺陷如何導致組織龐大的技術基礎架構非常易于受到攻擊。

第2章描述Web應用程序為解決“所有用戶輸入都不可信”這個基本問題而采用的核心安全機制。應用程序通過這些機制管理用戶訪問、控制用戶輸入、抵御攻擊者。這些機制還為管理員提供各種功能，幫助他們管理和監控應用程序自身。應用程序的核心安全機制還是它的主要受攻擊面，在對它們實施有效攻擊前，滲透測試員必須了解這些機制的工作原理。第3章簡要介紹滲透測試員在攻擊Web應用程序時可能遇到的關鍵技術，包括相關HTTP協議、客戶端與服務器端常用的技術以及各種數據編碼方案。已經熟悉主要Web技術的讀者可以跳過本章。

第4章描述滲透測試員在攻擊一個新的應用程序時所需采取的第一步，即盡可能多地收集與應用程序有關的信息，以確定它的受攻擊面，制訂攻擊計劃。滲透測試員需要搜索并探查應用程序，枚舉它的全部內容與功能，確定所有用戶輸入進入點，并查明它所使用的技術。第5章描述了存在漏洞的第一個區域。如果一個應用程序依靠在客戶端實現的控件來保護它的安全，就可能造成這種漏洞。這種保護應用程序的方法往往存在缺陷，因為攻擊者可輕易避開任何客戶端控件。應用程序易于受到攻擊的原因有兩個:(1)通過客戶端傳送數據，認為這些數據不會被修改;(2)依賴客戶端對用戶輸入進行檢查。這一章將介紹一系列有用的技術，包括HTML、HTTP與JavaScript所采用的輕量級控件，以及使用Javaapplet、ActiveX控件、Silverlight和Flash對象的重量級控件。