PHP Web安全开发实战
书籍作者:汤青松 |
ISBN:9787302511274 |
书籍语言:简体中文 |
连载状态:全集 |
电子书格式:pdf,txt,epub,mobi,azw3 |
下载次数:6633 |
创建日期:2021-02-14 |
发布日期:2021-02-14 |
运行环境:PC/Windows/Linux/Mac/IOS/iPhone/iPad/Kindle/Android/安卓/平板 |
内容简介
本书结合在安全方面的开发经验,站在开发者的角度,循序渐进地介绍了大量实际发生的漏洞案例,并给出了技术解决方案,包括:常见的网络攻击、代码安全、前端脚本安全、后端应用安全、账户安全、加解密认证、SQL注入以及服务器配置等内容。通过阅读本书,读者能够对整个网络安全有一个全新的认识和深入的理解,从而成为一位懂安全、会防护的工程师,避免在工作中成为黑客攻击的对象。
本书适合PHP开发人员、网络维护人员以及对网络安全攻防技术感兴趣的读者阅读。
作者简介
汤青松,2017 PHP全球开发者大会安全话题演讲嘉宾,前乌云众测研发工程师,慕课网Web安全方向高级讲师;现工作于中国婚博会,负责技术实现与数据安全方面的工作。
前言
前 言
在准备写这本书的时候参考了很多Web安全方面的资料和书籍,我发现很多书籍和资料都是从攻击者的角度来讲述Web安全的。为了防止本书和其他的书籍以及相关资料同质化,在规划本书的时候,特意从PHP开发者的角度出发,目的是让开发者提升安全开发的能力,书中会讲到目前Web安全中的常见漏洞、相关的漏洞案例、最佳的安全防范方法,以及我自己的观点,希望能帮到需要提升安全知识的PHP从业者。
本书内容
第1章 信息泄露
此书面向安全意识薄弱的开发者,因此在第1章中带领读者入门,主要介绍攻击者在攻击服务器时在前期如何探查服务器信息,攻击者有哪些手段来挖掘漏洞,让读者能够快速了解漏洞是如何被发现的。
第2章 常规漏洞
讲解开发者在编码过程中,因缺乏安全意识或遗漏而导致的安全问题;同时通过生动的案例分析来说明攻击者是如何发现此类安全问题的;最后在章节末尾会提到开发者如何规避这些编码导致的安全问题。
第3章 业务逻辑安全
在设计一些业务的时候,不仅编码会产生安全漏洞,业务同样会产生大问题,比如常见的越权漏洞、支付漏洞、验证码问题,这些问题其实在设计功能之初就应该考虑到项目计划中去。
第4章 LANMP安全配置
对于PHP开发者来说,一定离不开Nginx、Apache、MySQL、PHP、Redis等配置,不过这些配置并不会经常用到,通常是配置一次,后面就不用再理会。这也导致了开发者因为对配置的陌生而出现不少安全问题,本章会总结出因为配置不当而带来的安全问题,同时也会给出正确的安全配置建议。
第5章 认证与加密
在进行业务开发的过程中,我们很频繁地使用加密与解密,但对其底层原理却了解得甚少,甚至部分开发者无法分清认证与加密的区别,本章主要介绍加密和认证的相关技术,以帮助开发人员了解其技术特点,从而开发出安全的应用。
第6章 其他Web安全主题
攻击者的攻击方式是多样的,我们在防范安全问题的同时,一定要有重点目标,所以本章会提到漏洞的危险等级划分、CMS引起的漏洞如何防御、对自身的业务如何安全测试、在测试的同时如何提升效率,本章还会介绍两款经典的安全检测工具: Burp Suite和SQLMap,让读者能够对自己开发的产品进行安全检测。
本书读者对象
这本书面向懂PHP开发但不擅长安全方面的开发者,可以通过此书让你在Web安全方面快速成长,在书中列出了很多互联网的漏洞案例,目的是让读者看了之后更加了解攻击者是如何发现漏洞的,从而让开发者在开发时能够对症下药。
由于编者水平有限,虽已尽力,但书中肯定还会存在许多不妥甚至谬误,敬请广大读者和专家不吝指教,非常感谢。
汤青松
2018年4月于北京
目录
目 录
第1章 信息泄露 1
1.1 主机信息 1
1.1.1 子域名信息 2
1.1.2 端口信息 5
1.1.3 域名注册信息 10
1.1.4 网站后台地址 12
1.2 源码泄露 14
1.2.1 Git源码泄露 15
1.2.2 SVN源码泄露 17
1.2.3 .DS_Store文件泄露 18
1.2.4 网站备份压缩文件 20
1.2.5 WEB-INF/web.xml泄露 21
1.2.6 防御方案 24
1.3 账户弱口令 24
1.3.1 漏洞成因 24
1.3.2 漏洞危害 25
1.3.3 漏洞案例 26
1.3.4 防范方法 29
第2章 常规漏洞 31
2.1 SQL注入 31
2.1.1 注入方式 32
2.1.2 漏洞的3种类型 39
2.1.3 检测方法 41
2.1.4 防范方法 43
2.1.5 代码审查 45
2.1.6 小结 47
2.2 XSS跨站 47
2.2.1 XSS漏洞类型 48
2.2.2 漏洞危害 51
2.2.3 防范方法 54
2.2.4 操作实践 56
2.2.5 代码审查 58
2.2.6 小结 59
2.3 代码注入与命令执行 59
2.3.1 漏洞类型 60
2.3.2 漏洞案例 62
2.3.3 防御方法 65
2.3.4 命令执行 65
2.3.5 小结 67
2.4 CSRF跨站请求伪造 67
2.4.1 原理分析 67
2.4.2 漏洞案例 68
2.4.3 操作实践 72
2.4.4 防御方法 73
2.4.5 防御代码示例 74
2.4.6 小结 75
2.5 文件包含 76
2.5.1 漏洞成因 76
2.5.2 本地文件包含 76
2.5.3 远程文件包含 79
2.5.4 测试方法 82
2.5.5 使用PHP封装协议 83
2.5.6 小结 84
2.6 文件上传漏洞 85
2.6.1 利用方式 85
2.6.2 上传检测 86
2.6.3 解析漏洞 87
2.6.6 小结 92
第3章 业务逻辑安全 93
3.1 验证码安全 93
3.1.1 图片验证码 94
3.1.2 数字暴力破解 98
3.1.3 空验证码突破 99
3.1.4 绕过测试 101
3.1.5 凭证返回 102
3.1.6 小结 103
3.2 密码找回 103
3.2.1 敏感信息泄露 104
3.2.2 邮箱弱token 105
3.2.3 验证的有效性 106
3.2.4 注册覆盖 107
3.2.5 小结 109
3.3 接口盗用 109
3.3.1 API盗用 109
3.3.2 短信轰炸 111
3.4 账户越权 116
3.4.1 未授权访问 116
3.4.2 水平越权 118
3.4.3 垂直越权 120
3.4.4 小结 121
3.5 支付漏洞 121
3.5.1 支付流程分析 122
3.5.2 金额数据篡改 123
3.5.3 商品数量篡改 125
3.5.4 运费金额修改 127
3.5.5 小结 128
3.6 SSRF服务端请求伪造 129
3.6.1 漏洞成因 129
3.6.2 漏洞案例 131
3.6.3 总结 134
第4章 LANMP安全配置 135
4.1 PHP安全配置 135
4.2 PHP安全扩展 139
4.2.1 taint简介 139
4.2.2 安装taint 140
4.2.3 测试验证 141
4.2.4 小结 144
4.3 Apache安全配置 144
4.3.1 屏蔽版本信息 144
4.3.2 目录权限隔离 145
4.3.3 关闭默认主机 145
4.3.4 低权限运行 145
4.3.5 防止用户自定义设置 145
4.3.6 禁止显示目录 146
4.4 Nginx安全配置 148
4.4.1 配置防御 148
4.4.2 防止权限扩大 149
4.4.3 WAF扩展 150
4.4.4 Nginx解析漏洞 152
4.5 Redis配置 154
4.5.1 漏洞成因 154
4.5.2 漏洞案例 156
4.5.3 小结 157
4.6 MySQL安全配置 157
4.6.1 权限安全 157
4.6.2 网络配置 162
4.6.3 MySQL日志 163
4.6.4 主机配置 164
4.6.5 启动选项 165
第5章 认证与加密 167
5.1 数据加密与签名 167
5.1.1 对称加密与非对称加密 167
5.1.2 数字签名 169
5.1.3 数字证书 170
5.2 HTTPS安全 171
5.2.1 HTTPS简介 171
5.2.2 HTTPS被攻击的方式 173
5.2.3 常见误区 174
5.3 密码加密策略 175
5.3.1 密码存储 176
5.3.2 密码传输 178
5.3.3 漏洞案例 178
5.3.4 总结 180
第6章 其他Web安全主题 181
6.1 DDoS攻击 181
6.1.1 DDoS分类 182
6.1.2 应对方案 183
6.1.3 漏洞案例 184
6.1.4 小结 186
6.2 CMS通用漏洞 186
6.2.1 漏洞简介 186
6.2.2 等级划分 187
6.2.3 漏洞案例 188
6.2.4 防御方法 191
6.3 网页挂马 192
6.3.1 挂马类型 193
6.3.2 挂马检测 194
6.3.3 小结 196
6.4 Burp Suite 196
6.4.1 拦截数据包 197
6.4.2 修改数据包 198
6.4.3 页面链接抓取 199
6.4.4 自动化挖掘 201
6.4.5 暴力破解 201
6.5 SQLMap 203
6.5.1 查看数据库账户 205
6.5.2 查看数据库中的所有账户 206
6.5.3 获取所有数据库名称 207
6.5.4 获取数据库表名称 208
6.5.5 查看表结构 209
6.5.6 导出数据 210
短评
活动的时候买的,看起来还不错
2018-11-09 10:31:02
简直就是山楂山楂是南水北调办的吧
2018-11-08 11:38:38