HackNotes Web安全口袋参考

作者:Mike Shema
网页:240
发布者: 麦格劳-希尔专业人士
书号:0072227842

介绍

通常,Web应用程序安全和Web安全是InfoSec社区中最热门的主题。此IS领域中漏洞和安全产品的兴起清楚地表明了保护我们生活中的Web部分的重要性。我这本书’今天看的是Hack Notes系列的一部分,该系列继续以Hacking Exposed声名fa起。

关于作者

Mike Shema是Foundstone,Inc.的首席顾问和培训师。他是Hacking Exposed Web Application和Anti Hacker Tool Kit的合著者。在他的专业职责范围内,他对许多网络和Web应用程序进行了安全评估。

书里面

本书分为三个主题部分,每个部分都包含理论和实际Web安全情况的很大一部分。第一部分将介绍引入网络黑客和渗透方法。这些章节中涵盖的主题主要与应用程序和Web服务的侦察测试有关。之后,在有效标题为“关键的破解和防御”,作者穿越了众所周知的各种攻击类型,包括跨站点脚本编写,SQL注入,会话攻击,并提供了有关输入验证,令牌分析和XML服务等问题的信息。对于读者而言,非常有价值的是大量的表,这些表包含有关Perl Regex,通用输入验证测试,SQL注入字符串和通用数据库默认值等内容的易于浏览的信息。

本书的第二部分努力为管理员提供在Web环境中工作时应了解的所有信息。首先,作者介绍了漏洞评估的方法,并通过所有流行的Web安全工具指导读者。三台漏洞扫描器(晶须, 尼克托 Nessus)和本节中介绍的三个评估工具(阿喀琉斯,WebProxy和Curl)。这些工具中的每一个都在几页上介绍,并附带相应的屏幕截图。从强化的角度来看,向读者展示了几个非常有用的清单,这些清单重点介绍了两个最流行的Web服务器。–Apache和Microsoft IIS。

由于它的重要性,除了我上面提到的清单之外,在此Hack Notes标题的第三部分的较早部分还更全面地介绍了Web服务器安全性。作者分享了更多有关检查日志文件以及使用代理和负载平衡器的技巧。

Web安全包括两个主要部分–Web服务器和Web应用程序的安全性。几乎在本书的每一页上都可以看到编写安全代码的重要性,因此可以预期,本书’s “official content”(本书还包含另外两个附录,以及Hack Notes Network Security的一个预览章),最后介绍了安全编码的技巧。

与这些系列的所有书籍一样,Hack Notes Web Security在其中央还包含一个令人满意的30页参考中心。它包括诸如输入验证测试,HTTP协议说明,应用程序评估清单和搜索词之类的主题,它们将使Google在攻击者中成为有价值的补充’s arsenal 🙂

我之前提到过,本书有两个附录。第一个是7位ASCII参考(包含字符,描述,十进制,十六进制制表符),另一个是有关WebGoat的不错的文章。这个令人讨厌的标题产品是由创建 OWASP (开源Web应用程序安全性项目),并提供了一种简单的动手方法来更好地了解与Web应用程序相关的安全性问题。

分享我的想法

如果你’看过我的评论“HackNotes Linux和Unix安全性“,我应该警告你’我可能会重复我对这本书的一些最终想法。作为Hack Notes系列的一部分,您’要么爱它,要么恨它。一世 ’我个人是这类出版物的忠实拥护者,因为它们提供了很多有价值的信息,这些信息被压缩到一个紧凑的参考指南中。

在向不同类型的读者推荐这本书之前,我会强调编写安全代码的重要性。在检查BugTraq和其他安全邮件列表时,我们大为惊讶有多少Web应用程序容易受到thios书中提到的攻击的影响。甚至更陌生的是,每月都会看到一些非常受欢迎的产品(提示:内容管理系统)被新的漏洞报告所打击。我强烈推荐所有应该认真考虑安全性的程序员。即使您熟悉常见的Web应用程序安全问题,您也可以’这本书肯定包含了多少额外的内容,一定会让您感到惊讶。您’我可能会从作者的数量中找到很多新的想法’这些主题的实践知识。

本书采用遵循Hack Notes方案的方式编写–它涵盖了可能的安全问题,利用这些问题的方法,以及有关使攻击者要做的事情的建议和提示。’生活越复杂越好。

完成审查–作者设法浏览了Internet上几乎每个Web应用程序安全性的角落,并将大量示例,技巧和想法总结为非常有用的Web安全性参考。

分享这个