江风网

txt_epub_Kindle_azw3_mobi_pdf电子书免费下载

XSS跨站脚本攻击剖析与防御

作者: 邱永华
出版时间: 2013-09-01
发布时间: 2020-11-13
阅读热度: 10
综合评分: 7.4
下载支持: TXT EPUB MOBI AZW3 PDF
在线阅读: 手机阅读 电脑阅读
《XSS跨站脚本攻击剖析与防御》内容简介

《XSS跨站脚本攻击剖析与防御》是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS的攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做了深入的剖析,这些攻击往往基于客户端,从挂马、窃取Cookies、会话劫持到钓鱼欺骗,各种攻击都不容忽视。第3章 XSS测试和利用工具,介绍了一些常见的XSS测试工具。第4章 发掘XSS漏洞,着重以黑盒和白盒的角度介绍如何发掘XSS漏洞,以便帮助读者树立安全意识。第5章 XSS Worm,讲解了Web 2.0的最大威胁——跨站脚本蠕虫,剖析了Web 2.0相关概念和其核心技术,这些知识对于理解和预防XSS Worm十分重要。第6章 Flash应用安全,就当前的Flash应用安全做出了深入阐述。第7章 深入XSS原理,讨论一些比较深入的XSS理论。第8章 防御XSS攻击,介绍了一些防范XSS攻击的方法,例如,运用XSS Filter进行输入过滤和输出编码,使用Firefox浏览器的Noscript插件抵御XSS攻击,使用HTTP-only的Cookies同样能起到保护敏感数据的作用。《XSS跨站脚本攻击剖析与防御》适合网站管理人员、信息/网络安全或相关工作从业者、软件开发工程师,以及任何对Web安全技术感兴趣的读者。作者:邱永华。

《XSS跨站脚本攻击剖析与防御》章节目录
  • 前言
  • 第1章 XSS初探
  • 1.1 跨站脚本介绍
  • 1.1.1 什么是XSS跨站脚本
  • 1.1.2 XSS跨站脚本实例
  • 1.1.3 XSS漏洞的危害
  • 1.2 XSS的分类
  • 1.2.1 反射型XSS
  • 1.2.2 持久型XSS
  • 1.3 XSS的简单发掘
  • 1.3.1 搭建测试环境
  • 1.3.2 发掘反射型的XSS
  • 1.3.3 发掘持久型的XSS
  • 1.4 XSS Cheat Sheet
  • 1.5 XSS构造剖析
  • 1.5.1 绕过XSS-Filter
  • 1.5.2 利用字符编码
  • 1.5.3 拆分跨站法
  • 1.6 Shellcode的调用
  • 1.6.1 动态调用远程 JavaScript
  • 1.6.2 使用window.location.hash
  • 1.6.3 XSS Downloader
  • 1.6.4 备选存储技术
  • 第2章 XSS利用方式剖析
  • 2.1 Cookie窃取攻击剖析
  • 2.1.1 Cookie基础介绍
  • 2.1.2 Cookie会话攻击原理剖析
  • 2.1.3 Cookie欺骗实例剖析
  • 2.2 会话劫持剖析
  • 2.2.1 了解Session机制
  • 2.2.2 XSS实现权限提升
  • 2.2.3 获取网站Webshell
  • 2.3 网络钓鱼
  • 2.3.1 XSS Phishing
  • 2.3.2 XSS钓鱼的方式
  • 2.3.3 高级钓鱼技术
  • 2.4 XSS History Hack
  • 2.4.1 链接样式和getComputedStyle()
  • 2.4.2 JavaScript/CSS history hack
  • 2.4.3 窃取搜索查询
  • 2.5 客户端信息刺探
  • 2.5.1 JavaScript实现端口扫描
  • 2.5.2 截获剪贴板内容
  • 2.5.3 获取客户端 IP地址
  • 2.6 其他恶意攻击剖析
  • 2.6.1 网页挂马
  • 2.6.2 DOS和DDOS
  • 2.6.3 XSS Virus/Worm
  • 第3章 XSS测试和工具剖析
  • 3.1 Firebug
  • 3.2 Tamper Data
  • 3.3 Live HTTP Headers
  • 3.4 Fiddler
  • 3.5 XSS-Proxy
  • 3.6 XSS Shell
  • 3.7 AttackAPI
  • 3.8 Anehta
  • 第4章 发掘XSS漏洞
  • 4.1 黑盒工具测试
  • 4.2 黑盒手动测试
  • 4.3 源代码安全审计
  • 4.4 JavaScript代码分析
  • 4.4.1 DOM简介
  • 4.4.2 第三种XSS——DOM XSS
  • 4.4.3 发掘基于DOM的XSS
  • 4.5 发掘 Flash XSS
  • 4.6 巧用语言特性
  • 4.6.1 PHP 4 phpinfo() XSS
  • 4.6.2 $_SERVER[PHP_SELF]
  • 4.6.3 变量覆盖
  • 第5章 XSS Worm剖析
  • 5.1 Web 2.0应用安全
  • 5.1.1 改变世界的Web 2.0
  • 5.1.2 浅谈Web 2.0的安全性
  • 5.2 Ajax技术指南
  • 5.2.1 使用Ajax
  • 5.2.2 XMLHttpRequest对象
  • 5.2.3 HTTP请求
  • 5.2.4 HTTP响应
  • 5.3 浏览器安全
  • 5.3.1 沙箱
  • 5.3.2 同源安全策略
  • 5.4 XSS Worm介绍
  • 5.4.1 蠕虫病毒剖析
  • 5.4.2 XSS Worm攻击原理剖析
  • 5.4.3 XSS Worm剖析
  • 5.4.4 运用DOM技术
  • 5.5 新浪微博蠕虫分析
  • 第6章 Flash应用安全
  • 6.1 Flash简介
  • 6.1.1 Flash Player 与SWF
  • 6.1.2 嵌入Flash文件
  • 6.1.3 ActionScript语言
  • 6.2 Flash安全模型
  • 6.2.1 Flash安全沙箱
  • 6.2.2 Cross Domain Policy
  • 6.2.3 设置管理器
  • 6.3 Flash客户端攻击剖析
  • 6.3.1 getURL() & XSS
  • 6.3.2 Cross Site Flashing
  • 6.3.3 Flash参数型注入
  • 6.3.4 Flash钓鱼剖析
  • 6.4 利用Flash进行XSS攻击剖析
  • 6.5 利用Flash进行CSRF
  • 第7章 深入XSS原理
  • 7.1 深入浅出CSRF
  • 7.1.1 CSRF原理剖析
  • 7.1.2 CSRF实例讲解剖析
  • 7.1.3 CSRF的应用剖析
  • 7.2 Hacking JSON
  • 7.2.1 JSON概述
  • 7.2.2 跨域 JSON注入剖析
  • 7.2.3 JSON Hijacking
  • 7.3 HTTP Response Splitting
  • 7.3.1 HTTP Header
  • 7.3.2 CRLF Injection原理
  • 7.3.3 校内网HRS案例
  • 7.4 MHTML协议的安全
  • 7.5 利用Data URIs进行 XSS剖析
  • 7.5.1 Data URIs介绍
  • 7.5.2 Data URIs XSS
  • 7.5.3 vBulletin Data URIs XSS
  • 7.6 UTF-7 BOM XSS
  • 7.7 浏览器插件安全
  • 7.7.1 Flash后门
  • 7.7.2 来自PDF的XSS
  • 7.7.3 QuickTime XSS
  • 7.8 特殊的XSS应用场景剖析
  • 7.8.1 基于Cookie的XSS
  • 7.8.2 来自RSS的XSS
  • 7.8.3 应用软件中的XSS
  • 7.9 浏览器差异
  • 7.9.1 跨浏览器的不兼容性
  • 7.9.2 IE嗅探机制与XSS
  • 7.9.3 浏览器差异与XSS
  • 7.10 字符集编码隐患
  • 第8章 防御XSS攻击
  • 8.1 使用 XSS Filter
  • 8.1.1 输入过滤
  • 8.1.2 输出编码
  • 8.1.3 黑名单和白名单
  • 8.2 定制过滤策略
  • 8.3 Web安全编码规范
  • 8.4 防御DOM-Based XSS
  • 8.5 其他防御方式
  • 8.5.1 Anti_XSS
  • 8.5.2 HttpOnly Cookie
  • 8.5.3 Noscript
  • 8.5.4 WAF
  • 8.6 防御CSRF攻击
  • 8.6.1 使用POST替代GET
  • 8.6.2 检验HTTP Referer
  • 8.6.3 验证码
  • 8.6.4 使用Token
  • 参考文献
版权免责声明
《XSS跨站脚本攻击剖析与防御》为网络收集或网友自行上传,本站不对内容负责,《XSS跨站脚本攻击剖析与防御》版权归原作者所有,仅供学习交流,请勿商业使用,本站不提供任何下载,储存服务,如无意侵犯了你对《XSS跨站脚本攻击剖析与防御》的版权,请联系我们,我们将在第一时间删除相关内容!