Trending on TikTok

Buldak

Sunscreen

Sanrio

English

{{sellerTotalView > 1 ? __("sellers", {number: sellerTotalView}) : __("seller", {number: sellerTotalView}) }}, {{numTotalView > 1 ? __("items", {number: numTotalView}) : __("item", {number: numTotalView}) }}

View Cart & Check Out

Nickname

Let us know how to properly address you.

Update Your Name

xxxxxxx@yamibuy.com

Account Orders Favorites

Points 0

Coupons 0

Gift Card Balance $0.00

Sign Out

Change Your Zip Code

Inventory information and delivery speeds may vary for different locations.

Location History

We will notify you by email when the item back in stock.

Your email: {{remindEmail}}

Cancel

Jingdong book

黑客攻防技术宝典 Web实战篇第2版

View Cart & Check Out

{{buttonTypePin == 3 ? __("Scan to view more PinGo") : __("Scan to start")}}

Books Computers & Internet Computer Security

Jingdong book

黑客攻防技术宝典 Web实战篇第2版

Name: 黑客攻防技术宝典 Web实战篇 第2版
Brand: Jingdong book
SKU: 3118161151
Price: 56.36 USD
Availability: OutOfStock

{{__(":people-members", {'people': item.limit_people_count})}} {{ itemCurrency }}{{ item.valid_price }} {{ itemCurrency }}{{ item.invalid_price }} {{ itemDiscount }}

Ends in

{{ itemCurrency }}{{ priceFormat(item.valid_price / item.bundle_specification) }}/{{ item.unit }}

{{ itemCurrency }}{{ item.valid_price }} {{ itemCurrency }}{{ priceFormat(item.valid_price / item.bundle_specification) }}/{{ item.unit }} {{ itemCurrency }}{{ item.invalid_price }} {{itemDiscount}}

Sale ends in

Sale will starts after Sale ends in

{{ __( "Pay with Gift Card to get sale price: :itemCurrency:price", { 'itemCurrency' : itemCurrency, 'price' : (item.giftcard_price ? priceFormat(item.giftcard_price) : '0.00') } ) }} ({{ itemCurrency }}{{ priceFormat(item.giftcard_price / item.bundle_specification) }}/{{ item.unit }}) Details

Best before

Currently unavailable.

We don't know when or if this item will be back in stock.

Unavailable in your area.

Sold Out

Details

Full product details

Editer Recommend

安全技术宝典全新升级
深入剖析，实战演练，使你如饮醍醐

更多精彩，点击进入品牌店查阅>>

Content Description

《黑客攻防技术宝典.Web实战篇（第2版）》是探索和研究Web 应用程序安全漏洞的实践指南。作者利用大量的实际案例和示例代码，详细介绍了各类Web 应用程序的弱点，并深入阐述了如何针对Web 应用程序进行具体的渗透测试。本书从介绍当前Web 应用程序安全概况开始，重点讨论渗透测试时使用的详细步骤和技巧，总结书中涵盖的主题。每章后还附有习题，便于读者巩固所学内容。
第2 版新增了Web 应用程序安全领域近年来的发展变化新情况，并以尝试访问的链接形式提供了几百个互动式“漏洞实验室”，便于读者迅速掌握各种攻防知识与技能。
《黑客攻防技术宝典.Web实战篇（第2版）》适合各层次计算机安全人士和Web 开发与管理领域的技术人员阅读。

Author Description

Dafydd Stuttard，世界知名安全顾问、作家、软件开发人士。牛津大学博士，MDSec公司联合创始人，尤其擅长Web应用程序和编译软件的渗透测试。Dafydd以网名PortSwigger蜚声安全界，是众所周知的Web应用程序集成攻击平台Burp Suite的开发者。
Marcus Pinto，渗透测试专家，剑桥大学硕士，MDSec公司联合创始人。Marcus为全球金融、政府、电信、博彩、零售等行业组织和机构提供Web应用程序渗透测试和安全防御的咨询与培训。

Comments

★关于黑客攻防技术，没有一本书能比这本书讲解得更为透彻和全面！
——Jason Haddix，惠普公司渗透测试总监

★如果你对Web应用程序安全感兴趣，我强烈推荐本书，它实为Web安全人士必读之作。
——Robert Wesley McGrew，McGrew安全公司研究人员

★第1版本来就是Web安全领域的扛鼎之作，第2版可谓经典之上的完善，值得拥有！
——Daniel Miessler，安全顾问

Catalogue

第1章 Web应用程序安全与风险
1.1 Web应用程序的发展历程
1.1.1 Web应用程序的常见功能
1.1.2 Web应用程序的优点
1.2 Web应用程序安全
1.2.1 “本站点是安全的”
1.2.2 核心安全问题：用户可提交任意输入
1.2.3 关键问题因素
1.2.4 新的安全边界
1.2.5 Web应用程序安全的未来
1.3 小结

第2章核心防御机制
2.1 处理用户访问
2.1.1 身份验证
2.1.2 会话管理
2.1.3 访问控制
2.2 处理用户输入
2.2.1 输入的多样性
2.2.2 输入处理方法
2.2.3 边界确认
2.2.4 多步确认与规范化
2.3 处理攻击者
2.3.1 处理错误
2.3.2 维护审计日志
2.3.3 向管理员发出警报
2.3.4 应对攻击
2.4 管理应用程序
2.5 小结
2.6 问题

第3章 Web应用程序技术
3.1 HTTP
3.1.1 HTTP请求
3.1.2 HTTP响应
3.1.3 HTTP方法
3.1.4 URL
3.1.5 REST
3.1.6 HTTP消息头
3.1.7 cookie
3.1.8 状态码
3.1.9 HTTPS
3.1.10 HTTP代理
3.1.11 HTTP身份验证
3.2 Web功能
3.2.1 服务器端功能
3.2.2 客户端功能
3.2.3 状态与会话
3.3 编码方案
3.3.1 URL编码
3.3.2 Unicode编码
3.3.3 HTML编码
3.3.4 Base64编码
3.3.5 十六进制编码
3.3.6 远程和序列化框架
3.4 下一步
3.5 问题

第4章解析应用程序
4.1 枚举内容与功能
4.1.1 Web抓取
4.1.2 用户指定的抓取
4.1.3 发现隐藏的内容
4.1.4 应用程序页面与功能路径
4.1.5 发现隐藏的参数
4.2 分析应用程序
4.2.1 确定用户输入入口点
4.2.2 确定服务器端技术
4.2.3 确定服务器端功能
4.2.4 解析受攻击面
4.2.5 解析Extreme Internet Shopping应用程序
4.3 小结
4.4 问题

第5章避开客户端控件
5.1 通过客户端传送数据
5.1.1 隐藏表单字段
5.1.2 HTTP cookie
5.1.3 URL参数
5.1.4 Referer消息头
5.1.5 模糊数据
5.1.6 ASP.NET ViewState
5.2 收集用户数据：HTML表单
5.2.1 长度限制
5.2.2 基于脚本的确认
5.2.3 禁用的元素
5.3 收集用户数据：浏览器扩展
5.3.1 常见的浏览器扩展技术
5.3.2 攻击浏览器扩展的方法
5.3.3 拦截浏览器扩展的流量
5.3.4 反编译浏览器扩展
5.3.5 附加调试器
5.3.6 本地客户端组件
5.4 安全处理客户端数据
5.4.1 通过客户端传送数据
5.4.2 确认客户端生成的数据
5.4.3 日志与警报
5.5 小结
5.6 问题

第6章攻击验证机制
6.1 验证技术
6.2 验证机制设计缺陷
6.2.1 密码保密性不强
6.2.2 蛮力攻击登录
6.2.3 详细的失败消息
6.2.4 证书传输易受攻击
6.2.5 密码修改功能
6.2.6 忘记密码功能
6.2.7 “记住我”功能
6.2.8 用户伪装功能
6.2.9 证书确认不完善
6.2.10 非唯一性用户名
6.2.11 可预测的用户名
6.2.12 可预测的初始密码
6.2.13 证书分配不安全
6.3 验证机制执行缺陷
6.3.1 故障开放登录机制
6.3.2 多阶段登录机制中的缺陷
6.3.3 不安全的证书存储
6.4 保障验证机制的安全
6.4.1 使用可靠的证书
6.4.2 安全处理证书
6.4.3 正确确认证书
6.4.4 防止信息泄露
6.4.5 防止蛮力攻击
6.4.6 防止滥用密码修改功能
6.4.7 防止滥用账户恢复功能
6.4.8 日志、监控与通知
6.5 小结
6.6 问题

第7章攻击会话管理
7.1 状态要求
7.2 会话令牌生成过程中的薄弱环节
7.2.1 令牌有一定含义
7.2.2 令牌可预测
7.2.3 加密令牌
7.3 会话令牌处理中的薄弱环节
7.3.1 在网络上泄露令牌
7.3.2 在日志中泄露令牌
7.3.3 令牌-会话映射易受攻击
7.3.4 会话终止易受攻击
7.3.5 客户端暴露在令牌劫持风险之中
7.3.6 宽泛的cookie范围
7.4 保障会话管理的安全
7.4.1 生成强大的令牌
7.4.2 在整个生命周期保障令牌的安全
7.4.3 日志、监控与警报
7.5 小结
7.6 问题

第8章攻击访问控制
8.1 常见漏洞
8.1.1 完全不受保护的功能
8.1.2 基于标识符的功能
8.1.3 多阶段功能
8.1.4 静态文件
8.1.5 平台配置错误
8.1.6 访问控制方法不安全
8.2 攻击访问控制
8.2.1 使用不同用户账户进行测试
8.2.2 测试多阶段过程
8.2.3 通过有限访问权限进行测试
8.2.4 测试“直接访问方法”
8.2.5 测试对静态资源的控制
8.2.6 测试对HTTP方法实施的限制
8.3 保障访问控制的安全
8.4 小结
8.5 问题

第9章攻击数据存储区
9.1 注入解释型语言
9.2 注入SQL
9.2.1 利用一个基本的漏洞
9.2.2 注入不同的语句类型
9.2.3 查明SQL注入漏洞
9.2.4 “指纹”识别数据库
9.2.5 UNION操作符
9.2.6 提取有用的数据
9.2.7 使用UNION提取数据
9.2.8 避开过滤
9.2.9 二阶SQL注入
9.2.10 高级利用
9.2.11 SQL注入之外：扩大数据库攻击范围
9.2.12 使用SQL注入工具
9.2.13 SQL语法与错误参考
9.2.14 防止SQL注入
9.3 注入NoSQL
9.4 注入XPath
9.4.1 破坏应用程序逻辑
9.4.2 谨慎XPath注入
9.4.3 盲目XPath注入
9.4.4 查找XPath注入漏洞
9.4.5 防止XPath注入
9.5 注入LDAP
9.5.1 利用LDAP注入
9.5.2 查找LDAP注入漏洞
9.5.3 防止LDAP注入
9.6 小结
9.7 问题

第10章测试后端组件
10.1 注入操作系统命令
10.1.1 例1：通过Perl注入
10.1.2 例2：通过ASP注入
10.1.3 通过动态执行注入
10.1.4 查找OS命令注入漏洞
10.1.5 查找动态执行漏洞
10.1.6 防止OS命令注入
10.1.7 防止脚本注入漏洞
10.2 操作文件路径
10.2.1 路径遍历漏洞
10.2.2 文件包含漏洞
10.3 注入XML解释器
10.3.1 注入XML外部实体
10.3.2 注入SOAP
10.3.3 查找并利用SOAP注入
10.3.4 防止SOAP注入
10.4 注入后端HTTP请求
10.4.1 服务器端HTTP重定向
10.4.2 HTTP参数注入
10.5 注入电子邮件
10.5.1 操纵电子邮件标头
10.5.2 SMTP命令注入
10.5.3 查找SMTP注入漏洞
10.5.4 防止SMTP注入
10.6 小结
10.7 问题

第11章攻击应用程序逻辑
11.1 逻辑缺陷的本质
11.2 现实中的逻辑缺陷
11.2.1 例1：征求提示
11.2.2 例2：欺骗密码修改功能
11.2.3 例3：直接结算
11.2.4 例4：修改保险单
11.2.5 例5：入侵银行
11.2.6 例6：规避交易限制
11.2.7 例7：获得大幅折扣
11.2.8 例8：避免转义
11.2.9 例9：避开输入确认
11.2.10 例10：滥用搜索功能
11.2.11 例11：利用调试消息
11.2.12 例12：与登录机制竞赛
11.3 避免逻辑缺陷
11.4 小结
11.5 问题

第12章攻击其他用户
12.1 XSS的分类
12.1.1 反射型XSS漏洞
12.1.2 保存型XSS漏洞
12.1.3 基于DOM的XSS漏洞
12.2 进行中的XSS攻击
12.2.1 真实XSS攻击
12.2.2 XSS攻击有效载荷
12.2.3 XSS攻击的传送机制
12.3 查找并利用XSS漏洞
12.3.1 查找并利用反射型XSS漏洞
12.3.2 查找并利用保存型XSS漏洞
12.3.3 查找并利用基于DOM的XSS漏洞
12.4 防止XSS攻击
12.4.1 防止反射型与保存型XSS漏洞
12.4.2 防止基于DOM的XSS漏洞
12.5 小结
12.6 问题

……

Book Abstract

10.2.2文件包含漏洞
许多脚本语言支持使用包含文件（include file）。这种功能允许开发者把可重复使用的代码插入到单个的文件中，并在需要时将它们包含在特殊功能的代码文件中。然后，包含文件中的代码被解释，就好像它插人到包含指令的位置一样。
1.远程文件包含
PHP语言特别容易出现文件包含漏洞，因为它的包含函数接受远程文件路径。这种缺陷已经成为PHP应用程序中大量漏洞的根源。
以一个向不同位置的人们传送各种内容的应用程序为例。用户选择他们的位置后，这个信息通过一个请求参数传送给服务器，代码如下：
https：／／wahh—app.com／main.php?Country=US
应用程序通过以下方式处理Country参数：
这使执行环境加载位于Web服务器文件系统中的US.php文件。然后，这个文件的内容被复制至Umain.php文件中，并得以执行。
攻击者能够以各种方式利用这种行为，最严重的情况是指定一个外部URL作为包含文件的位置。PHP包含函数接受这个位置作为输入，接着，执行环境将获取指定的文件并执行其内容。因此，攻击者能够构建一个包含任意复杂内容的恶意脚本，将其寄存在他控制的web服务器上，并通过易受攻击的应用程序函数调用它然后执行。例如：
2.本地文件包含
有时，应用程序根据用户可控制的数据加载包含文件，但这时不可能给位于外部服务器上的文件指定URL。例如，如果用户可控制的数据被提交给ASP函数Server.Execute，那么攻击者就可以执行任意一段ASP脚本，只要这段脚本属于调用这个函数的相同应用程序。
在这种情况下，攻击者仍然可以利用应用程序的行为执行未授权操作。
口在服务器上可能有一些通过正常途径无法访问的文件，例如，任何访问路径／admin的请求都会被应用程序实施的访问控制阻止。如果能够将敏感功能包含在一个授权访问的页面中，那么就可以访问那个功能。
口服务器上的一些静态资源也受到同样的保护，无法直接访问。如果能够将这些文件动态包含在其他应用程序页面中，那么执行环境就会将静态资源的内容复制到它的响应中。
3.查找文件包含漏洞
任何用户提交的数据项都可能引起文件包含漏洞。它们经常出现在指定一种语言或一个位置的请求参数中，也常常发生在以参数形式传送服务器端文件名的情况下。

Specifications

Brand

Jingdong book

Brand Origin

China

Disclaimer

Product packaging, specifications and price are subject to change without notice. All information about the products on our website is provided for information purposes only. Please always read labels, warnings and directions provided with the product before use.

View Full Terms of Use

Scan to Share

Add to favorites

{{ $isZh ? coupon.coupon_name_sub : coupon.coupon_ename_sub | formatCurrency }}

Clip coupons

Quantity

{{buttonTypePin == 3 ? __("Scan to view more PinGo") : __("Scan to start")}}

Sold by JD@CHINA

Ship to

Free shipping over 69

Genuine guarantee

View details

Region

Added to Cart

Keep Shopping

More to Consider

Coupons

Clip Clipped Over

Expires soon {{ formatTime(coupon.use_end_time) }}

Share this item with friends

Cancel

Yami Gift Card

Get this exclusive deal when paying with gift card

Terms and Conditions

Gift card deals are special offers for selected products;

The gift card deals will automatically be activated if a customer uses gift card balance at check out and the balance is sufficient to pay for the total price of the shopping cart products with gift card deals;

You will not be able to activate the gift card deals if you choose other payment methods besides gift card. The products will be purchased at their normal prices;

If your account balance is not enough to pay for the products with gift card deals, you can choose to reload your gift card balance by clicking on the Reload button at either shopping cart page or check out page;

Products that have gift card deals can be recognized by a special symbol showing 'GC Deal';

For any additional questions or concerns, please contact our customer service;

Yamibuy reserves the right of final interpretation.

Sold by Yami

Service Guarantee

Free Shipping over $49

Easy Returns

Ships from United States

Shipping

United States

Standard Shipping is $5.99 (Excluding Alaska & Hawaii). Free on orders of $49 or more.

Local Express is $5.99 (Available in Parts of CA, NJ, MA & PA). Free on orders of $49 or more.

2-Day Express (Includes Alaska & Hawaii) starts at $19.99.

Return Policy

Yami is committed to provide our customers with a peace of mind when purchasing from us. Most items shipped from Yamibuy.com can be returned within 30 days of receipt of shipment (For Food, Beverages, Snacks, Dry Goods, Health supplements, Fresh Grocery and Perishables Goods, within 7 days of receipt of shipment due to damages or quality issues; To ensure that every customer receives safe and high-quality products, we do not provide refunds or returns for beauty products once they have been opened or used, except in the case of quality issues; Some products may have different policies or requirements associated with them, please see below for products under special categories, or contact Yami Customer Service for further assistance).
Thank you for your understanding and support.

Learn More

Sold by Yami

Terms and Conditions of Yami E-Gift Card

If you choose “Redeem automatically” as your delivery method, your gift card balance will be reload automatically after your order has been processed successfully;

If you choose “Send to Email”as your delivery method, the card number and CVV will be sent to the email address automatically;

Any user can use the card number and CVV to redeem the gift card, please keep your gift card information safely. If you have any trouble receiving email, please contact Yami customer service;

Yami gift card can be used to purchase both Yami owned or Marketplace products;

Yami gift card will never expire;

Yami gift card balance does not have to be used up at once;

Return Policy

Gift card that has already been consumed is non-refundable.

Sold by JD@CHINA

Fulfilled by Yami

Service Guarantee

Free Shipping over $49

Easy Returns

Ships from United States

Shipping

United States

Standard Shipping is $5.99 (Excluding Alaska & Hawaii). Free on orders of $49 or more.

Local Express is $5.99 (Available in Parts of CA, NJ, MA & PA). Free on orders of $49 or more.

2-Day Express (Includes Alaska & Hawaii) starts at $19.99.

Return Policy

You may return product within 30 days upon receiving the product. Items returned must be new in it's original packing, including the original invoice for the purchase. Customer return product at their own expense.

Sold by JD@CHINA

Yami-China FC

Service Guarantee

Cross-store Free Shipping over $69

30-days Return

Yami-China FC

Yami has a consolidation warehouse in China which collects multiple sellers’ packages and combines to one order. Our Yami consolidation warehouse will directly ship the packages to your door. Cross-store free shipping over $69.

Return Policy

You may return products within 30 days upon receiving the products. Sellers take responsibilities for any wrong shipment or missing items. Packing needs to be unopened for any other than quality issues return. We promise to pack carefully, but because goods are taking long journey to destinations, simple damages to packaging may occur. Any damages not causing internal goods quality problems are not allowed to return. If you open the package and any quality problem is found, please contact customer service within three days after receipt of goods.

Shipping Information

Yami Consolidation Service Shipping Fee $9.99(Free shipping over $69)

Sellers in China will ship their orders within 1-2 business days once the order is placed. Packages are sent to our consolidation warehouse in China and combined there. Our Yami consolidation warehouse will directly ship the packages to you via UPS. The average time for UPS to ship from China to the United States is about 10 working days and it can be traced using the tracking number. Due to the pandemic, the delivery time may be delayed by about 5 days. The package needs to be signed by the guest. If the receipt is not signed, the customer shall bear the risk of loss of the package.

Sold by JD@CHINA

Service Guarantee

Free shipping over 69

Genuine guarantee

Shipping

Yami Consolidated Shipping $9.99(Free shipping over $69)

Seller will ship the orders within 1-2 business days. The logistics time limit is expected to be 7-15 working days. In case of customs clearance, the delivery time will be extended by 3-7 days. The final receipt date is subject to the information of the postal company.

Yami Points information

All items are excluding from any promotion or points events on Yamibuy.com

Return Policy

Download the Yami App

Feedback

Back Top

Reviews{{'('+ commentList.posts_count + ')'}}

Have your say. Be the first to help other guests.

Write a review

{{i}} star

{{i}} stars

{{ parseInt(commentRatingList[i]) }}%

{{ showTranslate(comment) }}Show Less

{{ strLimit(comment,800) }}Show more

Show Original

Show All

{{ formatTime(comment.in_dtm) }} VERIFIED PURCHASE {{groupData}}

{{ comment.likes_count }} {{ comment.likes_count }} {{ comment.reply_count }} {{comment.in_user==uid ? __('Delete') : __('Report')}}

{{ showTranslate(comment) }}Show Less

{{ strLimit(comment,800) }}Show more

Show Original

Show All

{{ formatTime(comment.in_dtm) }} VERIFIED PURCHASE {{groupData}}

{{ comment.likes_count }} {{ comment.likes_count }} {{ comment.reply_count }} {{comment.in_user==uid ? __('Delete') : __('Report')}}

No related comment~

Load more reviews

Review

{{ showTranslate(commentDetails) }}Show Less

{{ strLimit(commentDetails,800) }}Show more

Show Original

Show All

{{ formatTime(commentDetails.in_dtm) }} VERIFIED PURCHASE {{groupData}}

Please write at least one word

Comments{{'(' + replyList.length + ')'}}

Change Your Zip Code

Location History

黑客攻防技术宝典 Web实战篇 第2版

黑客攻防技术宝典 Web实战篇第2版