Ⅰ 如何系統學習web安全,web滲透測試
首先得清楚web安全/web滲透是什麼:模擬黑客攻擊,利用黑客技術,挖掘漏洞,提出修復建議。
涉及到的技術有:資料庫/網路技術/編程技術/操作系統/滲透技術/攻防技術/逆向技術/SRC漏洞平台/ctf經驗。。
崗位能力要求:
1、熟練使用awvs、nessus、metasploit、burpsuite等安全測試工具,並對其原理有一定了解
2、熟悉OWASP中常見的web安全漏洞、業務邏輯漏洞及其原理
3、熟悉滲透測試技術的整體流程,具備獨立開展滲透工作的能力;
4、熟悉linux系統操作,了解常見web中間件、資料庫、伺服器相關漏洞
5、至少掌握一種編程語言,能夠開發用於輔助日常工作的腳本
6、具備一定的php或java代碼審計能力,能夠對公開漏洞進行分析
7、具備良好的邏輯思維、溝通技巧及團隊協作能力
8、已取得信息安全等級測評師證書的優先。(NISP)
想要系統的學習web滲透,可以參考企業對人才的要求進行學習。
Ⅱ 網路安全如何入門
零基礎、轉專業、跨行等等都可以總結為,零基礎或者有一點基礎的想轉網路安全方向該如何學習。
要成為一名黑客,實戰是必要的。安全技術這一塊兒的核心,說白了60%都是實戰,是需要實際操作。
如果你選擇自學,需要一個很強大的一個堅持毅力的,還有鑽研能力,大部分人是東學一塊西學一塊兒,不成體系化的紙上談兵的學習。許多人選擇自學,但他們不知道學什麼。
再來說說,先學編程還是滲透,
很多人說他們想學編程,但是在你學了編程之後。會發現離黑客越來越遠了。。。
如果你是計算機專業的,之前也學過編程、網路等等,這些對於剛入門去學滲透就已經夠了,你剛開始沒必要學那麼深,有一定了解之後再去學習。如果是轉專業、零基礎的可以看我下面的鏈接,跟著公開課去學習。
B站有相關零基礎入門網路安全的視頻
快速入門
另外說一句,滲透是個立馬可以見效的東西,滿足了你的多巴胺,讓你看到效果,你也更有動力去學。
舉個栗子:你去打游戲,殺了敵人,是不是很舒服,有了反饋,滿足了你的多巴胺。
編程這玩意,周期太長,太容易勸退了,說句不好聽的,你學了三個月,可能又把之前學的給忘了。。。這又造成了死循環。所以想要學網安的可以先學滲透。在你體驗了樂趣之後,你就可以學習編程語言了。這時,學習編程語言的效果會更好。因為你知道你能做什麼,你應該寫什麼工具來提高你的效率!
先了解一些基本知識,協議、埠、資料庫、腳本語言、伺服器、中間件、操作系統等等,
接著是學習web安全,然後去靶場練習,再去注冊src挖漏洞實戰,
學習內網,接著學習PHP、python等、後面就學習代碼審計了,
最後還可以往硬體、APP、逆向、開發去學習等等
(圖片來自A1Pass)
網路安全學習實際上是個很漫長的過程,這時候你就可以先找工作,邊工邊學。
怎麼樣能先工作:
學完web安全,能夠完成基本的滲透測試流程,比較容易找到工作。估計6到10k
內網學完估計10-15k
代碼審計學完20-50k
紅隊表哥-薪資自己談
再來說說如果你是對滲透感興趣,想往安全方面走的,我這邊給你一些學習建議。
不管想學什麼,先看這個行業前景怎麼樣--
2017年我國網路安全人才缺口超70萬,國內3000所高校僅120所開設相關專業,年培養1萬-2萬人,加上10
-
20家社會機構,全國每年相關人才輸送量約為3萬,距離70萬缺口差距達95%,此外,2021年網路安全人才需求量直線增長,預計達到187萬,屆時,人才需求將飆升278%!
因為行業人才輸送與人才缺口的比例問題,網路安全對從業者經驗要求偏低,且多數對從業者學歷不設限。越來越多的行業從業者上升到一定階段便再難進步,很容易被新人取代,但網路安全與其他行業的可取代性不同,網路安全工程師將在未來幾十年都處於緊缺狀態,並且,對於防禦黑客攻擊,除了極少數人靠天分,經驗才是保證網路安全的第一法則。
其次,不管是什麼行業都好,引路人很重要,在你剛入門這個行業的時候,你需要向行業里最優秀的人看齊,並以他們為榜樣,一步一步走上優秀。
不管是學習什麼,學習方法很重要,當你去學習其他知識時候,
都可以根據我下面介紹的方法去學習:
四步學習法
一、學習
二、模仿
三、實戰
四、反思
說在前頭,不管是干什麼,找到好的引路人很重要,一個好老師能讓你少走很多彎路,然後邁開腳步往前沖就行。
第一步,找到相關資料去學習,你對這個都不了解,這是你之前沒接觸過的領域,不要想著一次就能聽懂,當然天才除外(狗頭滑稽),聽完之後就會有一定的了解。
第二步,模仿,模仿什麼,怎麼模仿?先模仿老師的操作,剛開始可能不知道啥意思,模仿兩遍就會懂一些了。
第三步,實戰,怎麼實戰?先去我們配套的靶場上練習,確定靶場都差不多之後,再去申請成為白帽子,先去挖公益src,記住,沒有授權的網站都是違法的。(師父領進門,判刑在個人)
第四部,反思,總結你所做的步驟,遇到的問題,都給記錄下來,這個原理你理解了嗎?還是只是還是在模仿的部分養成做筆記的習慣。
學習方式有了,接下來就是找到正確的引路人進行學習,一個好的引路人,一個完整的體系結構,能讓你事半功倍。
Ⅲ 濟南web前端培訓選哪裡
濟南web前端培訓選擇【達內教育】。該機構致力於面向IT互聯網行業,培養軟體開發工程師、測試工程師、UI設計師、網路營銷工程師、會計等職場人才,擁有行業內完善的教研團隊,強大的師資力量,確保學員利益,全方位保障學員學習;更是與多家企業簽訂人才培養協議,全面助力學員更好就業。感興趣的話點擊此處,免費學習一下
選擇【web前端機構】的建議:
1、課程設置
課程方面主要體現在知識點以及項目上,靠譜的培訓機構,其課程設置一定是科學合理的,知識點全而新,課程項目契合企業需求
2、就業服務
大部分人選擇web培訓無非是為了找個工資高前景好的工作,想要知道一個培訓機構的就業好不好,過往學員更有發言權,大家在考察的時候,可以看看該機構的就業榜單,有條件的話,也可以咨詢一下畢業學員,能真實的了解一個機構的就業實力。
想了解更多有關web前端機構的相關信息,推薦咨詢【達內教育】。達內與阿里、Adobe、紅帽、ORACLE、微軟、美國計算機行業協會(CompTIA)、網路等國際知名廠商建立了項目合作關系。共同制定行業培訓標准,為達內學員提供高端技術、所學課程受國際廠商認可,讓達內學員更具國際化就業競爭力。達內IT培訓機構,試聽名額限時搶購。
Ⅳ 濟南Web前端培訓機構哪家好
濟南Web前端培訓機構推薦【達內教育】,該機構在Web前端培訓上實行「因材施教、分級培優」創新教學模式,面向不同受眾群體,每一位學員都能找到適合自己的課程,其師資力量雄厚,教學設備先進,就業前景廣闊,值得推薦。感興趣的話點擊此處,免費學習一下
【Web前端開發前景】:
1、Web前端開發市場火爆,目前伴隨人工智慧的發展,人才需求量大,高端人才更是供不應求;
2、Wel前端開發薪酬變化呈上漲趨勢,上升空間大;
3、Web前端開發就業方向廣,就業的崗位數量和種類都多。
想了解更多有關Web前端的相關信息,推薦咨詢【達內教育】。該機構致力於面向IT互聯網行業,培養軟體開發工程師、測試工程師、UI設計師、網路營銷工程師、會計等職場人才,擁有行業內完善的教研團隊,強大的師資力量,確保學員利益,全方位保障學員學習;更是與多家企業簽訂人才培養協議,全面助力學員更好就業。達內IT培訓機構,試聽名額限時搶購。
Ⅳ 零基礎如何學習 Web 安全
1.學習網站構建初級教程_W3C以及HTTP協議基礎-runoob上了解Web前後端以及HTTP協議的一些基礎介紹,花半天時間對相關技術有個概念性的了解就夠了。
2. Windows下下載phpStudy或者WAMP,在本地搭建Web伺服器環境,然後自己搜索兩篇文章學習下基本的操作方法。這個本地Web伺服器也就相當於學習過程中的一個實驗環境了。
3.學習瀏覽器的開發者工具(通常快捷鍵F12調出),搜索一些教學文章,掌握Chrome或者Firefox瀏覽器開發者工具中的Network、Elements功能的常見用法,可以查看HTTP數據包以及定位頁面元素。
那學習Web安全呢,同時還要掌握一些工具:瀏覽器開發者工具與瀏覽器插件(如HackBar、ProxySwitcher)、抓包工具如Burpsuite、漏洞掃描和驗證工具如御劍、sqlmap、AWVS,工具可以在Freebuf上自行搜索下載,教程可以參考Web安全-i春秋系列教程中對應這幾款工具的章節學習。
好的工具可以幫助我們提高測試效率,擴展測試思路。除了工具的使用,通過搭建本地實戰環境練習手工技巧,也是很好的進階之路,這里建議可以搭建DVWA漏洞測試環境,然後參考DVWA系列教程_Freebuf進行學習。
學習的同時也可以在在教育行業SRC等漏洞平台上挖掘漏洞,贏得認可,也是一種動力,但挖掘漏洞的時候一定要注意規范和界限,可以參考自律方能自由,《網路安全法》實施後的白帽子行為參考,挖掘漏洞的同時也要注意保護自己。
Ⅵ 求《黑客攻防技術寶典Web實戰篇第2版》全文免費下載百度網盤資源,謝謝~
《黑客攻防技術寶典Web實戰篇第2版》網路網盤pdf最新全集下載:
鏈接: https://pan..com/s/1dXUrNqfG9cRaadEZaXUgMw
簡介:《黑客攻防技術寶典.Web實戰篇(第2版)》是探索和研究Web 應用程序安全漏洞的實踐指南。作者利用大量的實際案例和示例代碼,詳細介紹了各類Web 應用程序的弱點,並深入闡述了如何針對Web 應用程序進行具體的滲透測試。本書從介紹當前Web 應用程序安全概況開始,重點討論滲透測試時使用的詳細步驟和技巧,總結書中涵蓋的主題。每章後還附有習題,便於讀者鞏固所學內容。
Ⅶ Web安全書籍可推薦
重點推薦以下幾本書籍
《Web安全深度剖析》
《黑客攻防技術寶典—Web實戰篇》
《Web前端黑客技術揭秘》
《Web應用安全威脅與防治》
《Web之困:現代Web應用安全指南》
《XSS跨站腳本攻擊剖析與防禦》
《Web應用安全權威指南》
興趣是最好的老師,在興趣的引導下,可以在Web安全的道路上越走越遠。
Ⅷ Web滲透技術及實戰案例解析的內容簡介
本書從Web滲透的專業角度,結合網路安全中的實際案例,圖文並茂地再現Web滲透的精彩過程。本書共分7章,由淺入深地介紹和分析了目前網路流行的Web滲透攻擊方法和手段,並結合作者多年的網路安全實踐經驗給出了相對應的安全防範措施,對一些經典案例還給出了經驗總結和技巧,通過閱讀本書可以快速掌握目前Web滲透的主流技術。本書最大的特色就是實用和實戰性強,思維靈活。內容主要包括Web滲透必備技術、Google黑客技術、文件上傳滲透技術、SQL注入、高級滲透技術、0day攻擊和Windows提權與安全防範等。
前言
經過近一年時間的艱辛苦戰,終於將本書完成。本書是我寫的第三本書,主要從Web滲透的專業角度來討論網路安全的攻防技術,盡可能地再現Web滲透場景,每一個小節都代表某一個場景,此書是我工作數年的總結,最後終於不辱使命將所有成果放在本書中與大家分享。
本書是在我上一本書《黑客攻防及實戰案例解析》基礎上的又一本安全類書籍,主要討論Web滲透攻防技術。攻擊與防護是辯證統一的關系,掌握了攻擊技術,也就掌握了防護技術。Web滲透是網路安全攻防的最熱門技術,通過滲透Web伺服器,利用已有信息,逐漸深入公司或者大型網路,最終完成滲透目標。
最近二年來網路安全特別火爆,可以說從事網路安全還是蠻有前途的職業之一。目前網路安全界非常缺人,特別是在2011年CSDN、天涯等大型網站用戶資料庫泄露後,各大公司對安全人士求賢若渴,掌握網路安全攻防技術,擁有豐富經驗的從業人員,年薪一般在10萬以上,能夠獨立挖掘漏洞的從業人員年薪一般在20萬以上。其實Web安全滲透技術也不是那麼高不可攀,只要自己鎖定這個方向,持之以恆,不斷地進行試驗和研究,終將成為一名高手,而且安全攻防技術還跟學歷無關,很多技術高手都沒有上過大學。
Web滲透攻防技術可以通過以下方法來自學,一是通過安全站點漏洞更新通告、安全文章,了解漏洞的形成原理和利用過程,掌握漏洞的核心原理;二是在本地搭建試驗環境進行實際測試,掌握漏洞利用方法;三是在互聯網上對存在漏洞的站點進行實際操作,在真實環境下進行驗證,提出修補漏洞的方法。在技術研究的同時還要做好記錄,總結失敗和成功的方法,積累技巧和經驗,我曾經看過一位牛人,Web漏洞收集超過10GB數據!
本書以Web滲透攻擊與防禦為主線,主要通過典型的滲透實際案例來介紹Web滲透和防禦技術,在每一個小節中除了技術原理外,還對這些技術進行總結和提煉,掌握和理解這些技術後,讀者在遇到類似的滲透場景時可以自己去進行滲透。本書採用最為通俗易懂的圖文解說,按照書中的步驟即可還原當時的攻防情景。通過閱讀本書,初學者可以很快掌握Web攻防的流程、最新的一些技術和方法,有經驗的讀者可以在技術上更上一層樓,使攻防技術從理論和實踐中更加系統化,同時可以使用本書中介紹的一些防禦方法來加固伺服器系統。
本書共分為7章,由淺入深,依照Web攻防的一些技術特點安排內容,每一小節都是一個具體Web攻防技術的典型應用,同時結合案例給予講解,並給出一些經典的總結。本書主要內容安排如下。
第1章 Web滲透必備技術
介紹Web滲透的一些必備的基本知識,創建和使用VPN隱藏自己,獲取操作系統密碼、破解MD5密碼、破解MySQL密碼、資料庫還原等,這些技術可以在Web滲透中使用,也可以在網路管理中使用。
第2章 Google——我愛你又恨你
利用Google等搜索引擎技術來獲取信息,輔助Web滲透,在某些場景中往往會起到意想不到的效果,也被稱為Nday攻擊(0day後的數天持續攻擊)。在進行Web攻防技術研究的同時,可以通過Google來進行實際演練,最好的效果就是網上爆出漏洞後利用Goolge技術來抓肉雞。
第3章 都是上傳惹的禍
上傳是Web滲透中最容易獲得WebShell的捷徑之一,在本章中介紹了如何利用WebEditor、FCKeditor、CuteEditor等典型編輯器漏洞來獲取WebShell的方法,同時還對登錄繞過後通過Flash上傳、文件上傳等方法來獲取WebShell進行探討。
第4章 SQL注入——滲透主樂章
SQL注入是Web滲透的核心技術,本章主要介紹使用SQL注入方法獲取WebShell,穿插介紹使用多種掃描軟體、攻擊工具來滲透Web伺服器並提權。
第5章 高級滲透技術
本章介紹如何充分利用多種技術組合,結合巧妙的思路,最終成功滲透一些高難度的Web伺服器。
第6章 0day攻擊
0day是Web滲透中的「神器」,幾乎是無往不勝,所向披靡,本章介紹利用Discuz!6.0、Discuz!7.2、Discuz!NT、PHP168、WordPress、Citrix、Art2008cms、Phpcms2008sp4等0day滲透Web伺服器的一些方法。
第7章 Windows提權與安全防範
獲取WebShell後,獲得伺服器許可權一直是Web滲透的終極目標,本章對主流的一些提權方法進行介紹,掌握這些方法和原理後,可以舉一反三,觸類旁通。最後還對如何設置一個安全「變態」的Web伺服器進行介紹。
雖然本書內容已經很豐富與完整,但仍然無法涵蓋所有的Web滲透的技術,但通過本書的學習,可以快速了解和掌握Web滲透技術,加固自己的伺服器。本書的目的是通過Web滲透技術並結合一些案例來探討網路安全,更好地加固Web伺服器、遠離黑客的威脅。
Ⅸ 濟南哪裡有Web前端培訓
濟南的【達內教育】機構就可以學習Web前端培訓,該機構19年IT技術培訓,累計培養100萬學員,並且獨創TTS8.0教學系統,1v1督學,跟蹤式學習,有疑問隨時溝通。感興趣的話點擊此處,免費學習一下
選擇【web前端培訓機構】應注意以下幾點:
1、看品牌
一個培訓機構的品牌是人們對這家機構的第一印象,如果自己的品牌都不被熟知、認可,那麼就更不會有人會來這家培訓機構參加培訓了,所以一個培訓機構的品牌至關重要。
2、看師資
古語有雲「名師出高徒」,只有優秀的老師才能教導出更優秀的學生,所以有名的培訓機構都會花費高薪聘請經驗豐富的教學專家,無論技術、教學能力堪稱大牛。這也是為什麼那些大型培訓機構培訓出來的學生都能拿高薪的原因了。
3、看課程體系
好的前端培訓機構往往都擁有自己獨立的課程體系,這些課程體系都是根據學員的不同程度而設的,能夠在最大程度上讓每個學員都能聽懂、學會,這也是大型培訓機構在如此激烈的市場還能巍然不動的緣故。
想了解更多有關Web前端的相關信息,推薦咨詢【達內教育】。秉承「名師出高徒、高徒拿高薪」的教學理念,是達內公司確保教學質量的重要環節。作為美國上市職業教育公司,誠信經營,拒絕虛假宣傳是該機構集團的經營理念。該機構在學員報名之前完全公開所有授課講師的授課安排及背景資料,並與學員簽訂《指定授課講師承諾書》,確保學員利益。達內IT培訓機構,試聽名額限時搶購。
Ⅹ 白帽子講Web安全的目錄
《白帽子講web安全》第一篇 世界觀安全第1章 我的安全世界觀 21.1 web安全簡史 21.1.1 中國黑客簡史 21.1.2 黑客技術的發展歷程 31.1.3 web安全的興起 51.2 黑帽子,白帽子 61.3 返璞歸真,揭秘安全的本質 71.4 破除迷信,沒有銀彈 91.5 安全三要素 101.6 如何實施安全評估 111.6.1 資產等級劃分 121.6.2 威脅分析 131.6.3 風險分析 141.6.4 設計安全方案 151.7 白帽子兵法 161.7.1 secure by default原則 161.7.2 縱深防禦原則 181.7.3 數據與代碼分離原則 19.1.7.4 不可預測性原則 211.8 小結 22(附)誰來為漏洞買單? 23第二篇 客戶端腳本安全第2章 瀏覽器安全 262.1 同源策略 262.2 瀏覽器沙箱 302.3 惡意網址攔截 332.4 高速發展的瀏覽器安全 362.5 小結 39第3章 跨站腳本攻擊(xss) 403.1 xss簡介 403.2 xss攻擊進階 433.2.1 初探xss payload 433.2.2 強大的xss payload 463.2.3 xss 攻擊平台 623.2.4 終極武器:xss worm 643.2.5 調試javascript 733.2.6 xss構造技巧 763.2.7 變廢為寶:mission impossible 823.2.8 容易被忽視的角落:flash xss 853.2.9 真的高枕無憂嗎:javascript開發框架 873.3 xss的防禦 893.3.1 四兩撥千斤:httponly 893.3.2 輸入檢查 933.3.3 輸出檢查 953.3.4 正確地防禦xss 993.3.5 處理富文本 1023.3.6 防禦dom based xss 1033.3.7 換個角度看xss的風險 1073.4 小結 107第4章 跨站點請求偽造(csrf) 1094.1 csrf簡介 1094.2 csrf進階 1114.2.1 瀏覽器的cookie策略 1114.2.2 p3p頭的副作用 1134.2.3 get? post? 1164.2.4 flash csrf 1184.2.5 csrf worm 1194.3 csrf的防禦 1204.3.1 驗證碼 1204.3.2 referer check 1204.3.3 anti csrf token 1214.4 小結 124第5章 點擊劫持(clickjacking) 1255.1 什麼是點擊劫持 1255.2 flash點擊劫持 1275.3 圖片覆蓋攻擊 1295.4 拖拽劫持與數據竊取 1315.5 clickjacking 3.0:觸屏劫持 1345.6 防禦clickjacking 1365.6.1 frame busting 1365.6.2 x-frame-options 1375.7 小結 138第6章 html 5 安全 1396.1 html 5新標簽 1396.1.1 新標簽的xss 1396.1.2 iframe的sandbox 1406.1.3 link types: noreferrer 1416.1.4 canvas的妙用 1416.2 其他安全問題 1446.2.1 cross-origin resource sharing 1446.2.2 postmessage——跨窗口傳遞消息 1466.2.3 web storage 1476.3 小結 150第三篇 伺服器端應用安全第7章 注入攻擊 1527.1 sql注入 1527.1.1 盲注(blind injection) 1537.1.2 timing attack 1557.2 資料庫攻擊技巧 1577.2.1 常見的攻擊技巧 1577.2.2 命令執行 1587.2.3 攻擊存儲過程 1647.2.4 編碼問題 1657.2.5 sql column truncation 1677.3 正確地防禦sql注入 1707.3.1 使用預編譯語句 1717.3.2 使用存儲過程 1727.3.3 檢查數據類型 1727.3.4 使用安全函數 1727.4 其他注入攻擊 1737.4.1 xml注入 1737.4.2 代碼注入 1747.4.3 crlf注入 1767.5 小結 179第8章 文件上傳漏洞 1808.1 文件上傳漏洞概述 1808.1.1 從fckeditor文件上傳漏洞談起 1818.1.2 繞過文件上傳檢查功能 1828.2 功能還是漏洞 1838.2.1 apache文件解析問題 1848.2.2 iis文件解析問題 1858.2.3 php cgi路徑解析問題 1878.2.4 利用上傳文件釣魚 1898.3 設計安全的文件上傳功能 1908.4 小結 191第9章 認證與會話管理 1929.1 who am i? 1929.2 密碼的那些事兒 1939.3 多因素認證 1959.4 session與認證 1969.5 session fixation攻擊 1989.6 session保持攻擊 1999.7 單點登錄(sso) 2019.8 小結 203第10章 訪問控制 20510.1 what can i do? 20510.2 垂直許可權管理 20810.3 水平許可權管理 21110.4 oauth簡介 21310.5 小結 219第11章 加密演算法與隨機數 22011.1 概述 22011.2 stream cipher attack 22211.2.1 reused key attack 22211.2.2 bit-flipping attack 22811.2.3 弱隨機iv問題 23011.3 wep破解 23211.4 ecb模式的缺陷 23611.5 padding oracle attack 23911.6 密鑰管理 25111.7 偽隨機數問題 25311.7.1 弱偽隨機數的麻煩 25311.7.2 時間真的隨機嗎 25611.7.3 破解偽隨機數演算法的種子 25711.7.4 使用安全的隨機數 26511.8 小結 265(附)understanding md5 length extension attack 267第12章 web框架安全 28012.1 mvc框架安全 28012.2 模板引擎與xss防禦 28212.3 web框架與csrf防禦 28512.4 http headers管理 28712.5 數據持久層與sql注入 28812.6 還能想到什麼 28912.7 web框架自身安全 28912.7.1 struts 2命令執行漏洞 29012.7.2 struts 2的問題補丁 29112.7.3 spring mvc命令執行漏洞 29212.7.4 django命令執行漏洞 29312.8 小結 294第13章 應用層拒絕服務攻擊 29513.1 ddos簡介 29513.2 應用層ddos 29713.2.1 cc攻擊 29713.2.2 限制請求頻率 29813.2.3 道高一尺,魔高一丈 30013.3 驗證碼的那些事兒 30113.4 防禦應用層ddos 30413.5 資源耗盡攻擊 30613.5.1 slowloris攻擊 30613.5.2 http post dos 30913.5.3 server limit dos 31013.6 一個正則引發的血案:redos 31113.7 小結 315第14章 php安全 31714.1 文件包含漏洞 31714.1.1 本地文件包含 31914.1.2 遠程文件包含 32314.1.3 本地文件包含的利用技巧 32314.2 變數覆蓋漏洞 33114.2.1 全局變數覆蓋 33114.2.2 extract()變數覆蓋 33414.2.3 遍歷初始化變數 33414.2.4 import_request_variables變數覆蓋 33514.2.5 parse_str()變數覆蓋 33514.3 代碼執行漏洞 33614.3.1 「危險函數」執行代碼 33614.3.2 「文件寫入」執行代碼 34314.3.3 其他執行代碼方式 34414.4 定製安全的php環境 34814.5 小結 352第15章 web server配置安全 35315.1 apache安全 35315.2 nginx安全 35415.3 jboss遠程命令執行 35615.4 tomcat遠程命令執行 36015.5 http parameter pollution 36315.6 小結 364第四篇 互聯網公司安全運營第16章 互聯網業務安全 36616.1 產品需要什麼樣的安全 36616.1.1 互聯網產品對安全的需求 36716.1.2 什麼是好的安全方案 36816.2 業務邏輯安全 37016.2.1 永遠改不掉的密碼 37016.2.2 誰是大贏家 37116.2.3 瞞天過海 37216.2.4 關於密碼取迴流程 37316.3 賬戶是如何被盜的 37416.3.1 賬戶被盜的途徑 37416.3.2 分析賬戶被盜的原因 37616.4 互聯網的垃圾 37716.4.1 垃圾的危害 37716.4.2 垃圾處理 37916.5 關於網路釣魚 38016.5.1 釣魚網站簡介 38116.5.2 郵件釣魚 38316.5.3 釣魚網站的防控 38516.5.4 網購流程釣魚 38816.6 用戶隱私保護 39316.6.1 互聯網的用戶隱私挑戰 39316.6.2 如何保護用戶隱私 39416.6.3 do-not-track 39616.7 小結 397(附)麻煩的終結者 398第17章 安全開發流程(sdl) 40217.1 sdl簡介 40217.2 敏捷sdl 40617.3 sdl實戰經驗 40717.4 需求分析與設計階段 40917.5 開發階段 41517.5.1 提供安全的函數 41517.5.2 代碼安全審計工具 41717.6 測試階段 41817.7 小結 420第18章 安全運營 42218.1 把安全運營起來 42218.2 漏洞修補流程 42318.3 安全監控 42418.4 入侵檢測 42518.5 緊急響應流程 42818.6 小結 430(附)談談互聯網企業安全的發展方向 431· · · · · ·