Web應(yīng)用漏洞掃描產(chǎn)品原理與應(yīng)用
定 價(jià):69.8 元
叢書(shū)名:信息安全產(chǎn)品技術(shù)叢書(shū)
- 作者:俞優(yōu) 等
- 出版時(shí)間:2020/4/1
- ISBN:9787121387227
- 出 版 社:電子工業(yè)出版社
- 中圖法分類(lèi):TP393.408
- 頁(yè)碼:184
- 紙張:
- 版次:01
- 開(kāi)本:16開(kāi)
本書(shū)內(nèi)容共分五章,從Web應(yīng)用漏洞掃描產(chǎn)品的技術(shù)實(shí)現(xiàn)和標(biāo)準(zhǔn)入手,對(duì)Web應(yīng)用漏洞掃描產(chǎn)品的產(chǎn)生需求、技術(shù)原理、實(shí)現(xiàn)機(jī)制、產(chǎn)品標(biāo)準(zhǔn)、典型應(yīng)用和產(chǎn)品等內(nèi)容進(jìn)行了全面、翔實(shí)的介紹。
俞優(yōu),碩士,副研究員。長(zhǎng)期圍繞網(wǎng)絡(luò)安全等級(jí)保護(hù)、網(wǎng)絡(luò)安全產(chǎn)品等方向開(kāi)展相關(guān)測(cè)試方法、標(biāo)準(zhǔn)和工具的研究。在網(wǎng)絡(luò)安全相關(guān)領(lǐng)域,作為負(fù)責(zé)人或子任務(wù)負(fù)責(zé)人完成多項(xiàng)國(guó)家\省部級(jí)科研項(xiàng)目;牽頭或作為主要完成人制定30余項(xiàng)國(guó)家標(biāo)準(zhǔn)\行業(yè)標(biāo)準(zhǔn);先后獲得4次公安部科學(xué)技術(shù)獎(jiǎng)三等獎(jiǎng),1次中國(guó)電子學(xué)會(huì)科技進(jìn)步獎(jiǎng)三等獎(jiǎng),1次上海市標(biāo)準(zhǔn)化優(yōu)秀技術(shù)成果二等獎(jiǎng)。
第1章 綜述 1
1.1 為什么需要進(jìn)行Web應(yīng)用漏洞掃描 1
1.1.1 Web應(yīng)用安全現(xiàn)狀 1
1.1.2 Web應(yīng)用攻擊形式 2
1.1.3 采用Web應(yīng)用漏洞掃描技術(shù)的必要性 3
1.2 Web應(yīng)用漏洞掃描技術(shù)發(fā)展歷程 5
1.2.1 漏洞檢測(cè)技術(shù) 5
1.2.2 Web應(yīng)用漏洞檢測(cè)技術(shù) 6
第2章 Web系統(tǒng)及安全掃描技術(shù) 10
2.1 Web系統(tǒng) 10
2.1.1 Web的發(fā)展 10
2.1.2 Web系統(tǒng)構(gòu)成 11
2.1.3 Web應(yīng)用架構(gòu) 15
2.1.4 Web訪(fǎng)問(wèn)方法 16
2.1.5 Web編程語(yǔ)言 20
2.1.6 Web數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)技術(shù) 24
2.1.7 Web服務(wù)器 27
2.2 HTTP協(xié)議 30
2.2.1 HTTP協(xié)議通信過(guò)程 31
2.2.2 統(tǒng)一資源定位符 32
2.2.3 HTTP的連接方式和無(wú)狀態(tài)性 33
2.2.4 HTTP請(qǐng)求報(bào)文 34
2.2.5 HTTP響應(yīng)報(bào)文 37
2.2.6 HTTP報(bào)文結(jié)構(gòu)匯總 39
2.2.7 HTTP會(huì)話(huà)管理 40
2.3 HTTPS協(xié)議 42
2.3.1 HTTPS和HTTP的主要區(qū)別 43
2.3.2 HTTPS通信過(guò)程 44
2.3.3 HTTPS的優(yōu)點(diǎn) 44
2.3.4 HTTPS的缺點(diǎn) 45
2.4 Web應(yīng)用漏洞的定義和分類(lèi) 45
2.4.1 Web應(yīng)用漏洞的定義 45
2.4.2 Web應(yīng)用漏洞的分類(lèi) 46
2.4.3 OWASP與WASC 49
2.4.4 Web應(yīng)用漏洞產(chǎn)生的原因 51
2.5 Web應(yīng)用漏洞掃描產(chǎn)品工作機(jī)制 51
2.6 掃描機(jī)制 55
2.6.1 被動(dòng)模式 55
2.6.2 主動(dòng)模式 62
2.7 爬蟲(chóng)技術(shù) 65
2.8 漏洞檢測(cè)技術(shù) 68
2.8.1 SQL注入漏洞分析 68
2.8.2 跨站腳本攻擊漏洞分析 75
2.8.3 CSRF漏洞分析 79
2.8.4 任意文件下載漏洞分析 83
2.8.5 文件包含漏洞分析 85
2.8.6 網(wǎng)頁(yè)木馬分析 91
2.8.7 邏輯漏洞分析 95
2.8.8 暗鏈原理分析 98
2.9 漏洞驗(yàn)證與滲透測(cè)試 99
2.9.1 SQL注入漏洞驗(yàn)證與滲透測(cè)試 101
2.9.2 跨站腳本漏洞驗(yàn)證 104
2.9.3 CSRF漏洞驗(yàn)證 105
2.10 常見(jiàn)過(guò)濾繞過(guò)技術(shù) 105
2.11 網(wǎng)頁(yè)內(nèi)容檢測(cè)技術(shù) 107
2.11.1 本地檢測(cè)技術(shù) 108
2.11.2 遠(yuǎn)程檢測(cè)技術(shù) 109
2.12 性能與效率 110
2.12.1 爬蟲(chóng)效率的提升 110
2.12.2 檢測(cè)效率的提升 114
第3章 Web應(yīng)用漏洞掃描產(chǎn)品標(biāo)準(zhǔn)介紹 115
3.1 如何評(píng)價(jià)Web應(yīng)用漏洞掃描產(chǎn)品 115
3.2 行業(yè)標(biāo)準(zhǔn)編制情況概述 116
3.2.1 標(biāo)準(zhǔn)的主要內(nèi)容 116
3.2.2 標(biāo)準(zhǔn)的主要條目解釋 119
3.3 國(guó)家標(biāo)準(zhǔn)編制情況概述 123
3.3.1 標(biāo)準(zhǔn)介紹 123
3.3.2 標(biāo)準(zhǔn)的主要內(nèi)容 124
3.4 測(cè)試環(huán)境介紹 149
3.4.1 常見(jiàn)測(cè)試環(huán)境 149
3.4.2 WebGoat安裝部署 150
3.4.3 DVWA安裝部署 153
第4章 Web應(yīng)用漏洞掃描產(chǎn)品的典型應(yīng)用 155
4.1 應(yīng)用場(chǎng)景一 155
4.1.1 背景及需求 155
4.1.2 應(yīng)用案例 156
4.2 應(yīng)用場(chǎng)景二 159
4.2.1 背景及需求 159
4.2.2 應(yīng)用案例 159
4.3 應(yīng)用場(chǎng)景三 161
4.3.1 背景及需求 161
4.3.2 解決方案分析 161
4.3.3 建設(shè)目標(biāo) 162
4.3.4 系統(tǒng)架構(gòu) 163
第5章 Web應(yīng)用漏洞掃描產(chǎn)品介紹 164
5.1 Acunetix Web Vulnerability Scanner 164
5.2 IBM Rational AppScan 165
5.3 明鑒Web應(yīng)用弱點(diǎn)掃描器 165
5.4 綠盟Web應(yīng)用漏洞掃描系統(tǒng) 166
5.5 天融信Web掃描系統(tǒng) 167
5.6 360網(wǎng)站漏洞掃描系統(tǒng) 168
5.7 天泰Web安全監(jiān)測(cè)系統(tǒng) 169
5.8 更多產(chǎn)品 170
參考文獻(xiàn) 172