图书介绍

Web攻防之业务安全实战指南PDF|Epub|txt|kindle电子书版本网盘下载

Web攻防之业务安全实战指南
  • 陈晓光,胡兵,张作峰等编著 著
  • 出版社: 北京:电子工业出版社
  • ISBN:9787121335815
  • 出版时间:2018
  • 标注页数:262页
  • 文件大小:154MB
  • 文件页数:280页
  • 主题词:互联网络-安全技术-指南

PDF下载


点此进入-本书在线PDF格式电子书下载【推荐-云解压-方便快捷】直接下载PDF格式图书。移动端-PC端通用
种子下载[BT下载速度快]温馨提示:(请使用BT下载软件FDM进行下载)软件下载地址页直链下载[便捷但速度慢]  [在线试读本书]   [在线获取解压码]
点击复制MD5值:8b3b7522e6b50bbd5555b09d0a177f9c

下载说明

Web攻防之业务安全实战指南PDF格式电子书版下载

下载的文件为RAR压缩包。需要使用解压软件进行解压得到PDF格式图书。

点击复制85GB完整离线版磁力链接到迅雷FDM等BT下载工具进行下载  详情点击-查看共享计划
建议使用BT下载工具Free Download Manager进行下载,简称FDM(免费,没有广告,支持多平台)。本站资源全部打包为BT种子。所以需要使用专业的BT下载软件进行下载。如BitComet qBittorrent uTorrent等BT下载工具。迅雷目前由于本站不是热门资源。不推荐使用!后期资源热门了。安装了迅雷也可以迅雷进行下载!

(文件页数 要大于 标注页数,上中下等多册电子书除外)

注意:本站所有压缩包均有解压码: 点击下载压缩包解压工具

图书目录

理论篇2

第1章 网络安全法律法规2

第2章 业务安全引发的思考8

2.1行业安全问题的思考8

2.2如何更好地学习业务安全9

第3章 业务安全测试理论11

3.1业务安全测试概述11

3.2业务安全测试模型12

3.3业务安全测试流程13

3.4业务安全测试参考标准18

3.5业务安全测试要点18

技术篇22

第4章 登录认证模块测试22

4.1暴力破解测试22

4.1.1测试原理和方法22

4.1.2测试过程22

4.1.3修复建议30

4.2本地加密传输测试30

4.2.1测试原理和方法30

4.2.2测试过程30

4.2.3修复建议32

4.3 Session测试32

4.3.1 Session会话固定测试32

4.3.2 Seesion会话注销测试35

4.3.3 Seesion会话超时时间测试39

4.4 Cookie仿冒测试42

4.4.1测试原理和方法42

4.4.2测试过程42

4.4.3修复建议45

4.5密文比对认证测试45

4.5.1测试原理和方法45

4.5.2测试过程45

4.5.3修复建议48

4.6登录失败信息测试48

4.6.1测试原理和方法48

4.6.2测试过程49

4.6.3修复建议50

第5章 业务办理模块测试51

5.1订单ID篡改测试51

5.1.1测试原理和方法51

5.1.2测试过程51

5.1.3修复建议55

5.2手机号码篡改测试55

5.2.1测试原理和方法55

5.2.2测试过程56

5.2.3修复建议57

5.3用户ID篡改测试58

5.3.1测试原理和方法58

5.3.2测试过程58

5.3.3修复建议60

5.4邮箱和用户篡改测试60

5.4.1测试原理和方法60

5.4.2测试过程61

5.4.3修复建议62

5.5商品编号篡改测试63

5.5.1测试原理和方法63

5.5.2测试过程63

5.5.3修复建议65

5.6竞争条件测试66

5.6.1测试原理和方法66

5.6.2测试过程67

5.6.3修复建议69

第6章 业务授权访问模块70

6.1非授权访问测试70

6.1.1测试原理和方法70

6.1.2测试过程70

6.1.3修复建议71

6.2越权测试72

6.2.1测试原理和方法72

6.2.2测试过程72

6.2.3修复建议76

第7章 输入/输出模块测试77

7.1 SQL注入测试77

7.1.1测试原理和方法77

7.1.2测试过程78

7.1.3修复建议84

7.2 XSS测试84

7.2.1测试原理和方法84

7.2.2测试过程85

7.2.3修复建议88

7.3命令执行测试89

7.3.1测试原理和方法89

7.3.2测试过程89

7.3.3修复建议91

第8章 回退模块测试92

8.1回退测试92

8.1.1测试原理和方法92

8.1.2测试过程92

8.1.3修复建议93

第9章 验证码机制测试94

9.1验证码暴力破解测试94

9.1.1测试原理和方法94

9.1.2测试过程94

9.1.3修复建议97

9.2验证码重复使用测试97

9.2.1测试原理和方法97

9.2.2测试过程98

9.2.3修复建议100

9.3验证码客户端回显测试101

9.3.1测试原理和方法101

9.3.2测试过程101

9.3.3修复建议104

9.4验证码绕过测试104

9.4.1测试原理和方法104

9.4.2测试过程104

9.4.3修复建议106

9.5验证码自动识别测试106

9.5.1测试原理和方法106

9.5.2测试过程107

9.5.3修复建议111

第10章 业务数据安全测试112

10.1商品支付金额篡改测试112

10.1.1测试原理和方法112

10.1.2测试过程112

10.1.3修复建议115

10.2商品订购数量篡改测试115

10.2.1测试原理和方法115

10.2.2测试过程115

10.2.3修复建议120

10.3前端JS限制绕过测试121

10.3.1测试原理和方法121

10.3.2测试过程121

10.3.3修复建议123

10.4请求重放测试123

10.4.1测试原理和方法123

10.4.2测试过程123

10.4.3修复建议125

10.5业务上限测试126

10.5.1测试原理和方法126

10.5.2测试过程126

10.5.3修复建议128

第11章 业务流程乱序测试129

11.1业务流程绕过测试129

11.1.1测试原理和方法129

11.1.2测试过程129

11.1.3修复建议133

第12章 密码找回模块测试134

12.1验证码客户端回显测试134

12.1.1测试原理和方法134

12.1.2测试流程134

12.1.3修复建议137

12.2验证码暴力破解测试137

12.2.1测试原理和方法137

12.2.2测试流程137

12.2.3修复建议140

12.3接口参数账号修改测试140

12.3.1测试原理和方法140

12.3.2测试流程141

12.3.3修复建议144

12.4 Response状态值修改测试144

12.4.1测试原理和方法144

12.4.2测试流程144

12.4.3修复建议147

12.5 Session覆盖测试147

12.5.1测试原理和方法147

12.5.2测试流程148

12.5.3修复建议150

12.6弱Token设计缺陷测试150

12.6.1测试原理和方法150

12.6.2测试流程151

12.6.3修复建议153

12.7密码找回流程绕过测试153

12.7.1测试原理和方法153

12.7.2测试流程154

12.7.3修复建议157

第13章 业务接口调用模块测试158

13.1接口调用重放测试158

13.1.1测试原理和方法158

13.1.2测试过程158

13.1.3修复建议160

13.2接口调用遍历测试160

13.2.1测试原理和方法160

13.2.2测试过程161

13.2.3修复建议166

13.3接口调用参数篡改测试167

13.3.1测试原理和方法167

13.3.2测试过程167

13.3.3修复建议169

13.4接口未授权访问/调用测试169

13.4.1测试原理和方法169

13.4.2测试过程170

13.4.3修复建议172

13.5 Callback自定义测试172

13.5.1测试原理和方法172

13.5.2测试过程173

13.5.3修复建议177

13.6 WebService测试177

13.6.1测试原理和方法177

13.6.2测试过程177

13.6.3修复建议184

实践篇186

第14章 账号安全案例总结186

14.1账号安全归纳186

14.2账号安全相关案例187

14.1.1账号密码直接暴露在互联网上187

14.1.2无限制登录任意账号189

14.1.3电子邮件账号泄露事件192

14.1.4中间人攻击195

14.1.5撞库攻击197

14.3防范账号泄露的相关手段199

第15章 密码找回安全案例总结200

15.1密码找回凭证可被暴力破解200

15.1.1某社交软件任意密码修改案例201

15.2密码找回凭证直接返回给客户端203

15.2.1密码找回凭证暴露在请求链接中204

15.2.2加密验证字符串返回给客户端205

15.2.3网页源代码中隐藏着密保答案206

15.2.4短信验证码返回给客户端207

15.3密码重置链接存在弱Token209

15.3.1使用时间戳的md5作为密码重置Token209

15.3.2使用服务器时间作为密码重置Token210

15.4密码重置凭证与用户账户关联不严211

15.4.1使用短信验证码找回密码212

15.4.2使用邮箱Token找回密码213

15.5重新绑定用户手机或邮箱213

15.5.1重新绑定用户手机214

15.5.2重新绑定用户邮箱215

15.6 服务端验证逻辑缺陷216

15.6.1删除参数绕过验证217

15.6.2邮箱地址可被操控218

15.6.3身份验证步骤可被绕过219

15.7在本地验证服务端的返回信息——修改返回包绕过验证221

15.8注册覆盖——已存在用户可被重复注册222

15.9 Session覆盖——某电商网站可通过Session覆盖方式重置他人密码223

15.10防范密码找回漏洞的相关手段225

第16章 越权访问安全案例总结227

16.1平行越权227

16.1.1某高校教务系统用户可越权查看其他用户个人信息227

16.1.2某电商网站用户可越权查看或修改其他用户信息229

16.1.3某手机APP普通用户可越权查看其他用户个人信息232

16.2纵向越权233

16.2.1某办公系统普通用户权限越权提升为系统权限233

16.2.2某中学网站管理后台可越权添加管理员账号235

16.2.3某智能机顶盒低权限用户可越权修改超级管理员配置信息240

16.2.4某Web防火墙通过修改用户对应菜单类别可提升权限244

16.3防范越权访问漏洞的相关手段247

第17章OAuth 2.0安全案例总结248

17.1 OAuth 2.0认证原理248

17.2 OAuth 2.0漏洞总结250

17.2.1某社交网站CSRF漏洞导致绑定劫持250

17.2.2某社区劫持授权251

17.3防范OAuth 2.0漏洞的相关手段253

第18章 在线支付安全案例总结254

18.1某快餐连锁店官网订单金额篡改254

18.2某网上商城订单数量篡改256

18.3某服务器供应商平台订单请求重放测试257

18.4某培训机构官网订单其他参数干扰测试259

18.5防范在线支付漏洞的相关手段261

热门推荐