| | | | 網站安全攻防秘笈(防御黑客和保護用戶的100條超級策略)/信息安全技術叢書 | | 該商品所屬分類:計算機/網絡 -> 網絡技術 | | 【市場價】 | 723-1048元 | | 【優惠價】 | 452-655元 | | 【介質】 | book | | 【ISBN】 | 9787111478034 | | 【折扣說明】 | 一次購物滿999元台幣免運費+贈品
一次購物滿2000元台幣95折+免運費+贈品
一次購物滿3000元台幣92折+免運費+贈品
一次購物滿4000元台幣88折+免運費+贈品
| | 【本期贈品】 | ①優質無紡布環保袋,做工棒!②品牌簽字筆 ③品牌手帕紙巾
|
|
| 版本 | 正版全新電子版PDF檔 | | 您已选择: | 正版全新 | 溫馨提示:如果有多種選項,請先選擇再點擊加入購物車。*. 電子圖書價格是0.69折,例如了得網價格是100元,電子書pdf的價格則是69元。
*. 購買電子書不支持貨到付款,購買時選擇atm或者超商、PayPal付款。付款後1-24小時內通過郵件傳輸給您。
*. 如果收到的電子書不滿意,可以聯絡我們退款。謝謝。 | | | |
| | 內容介紹 | |
-
出版社:機械工業
-
ISBN:9787111478034
-
作者:(美)巴內特|譯者:許鑫城
-
頁數:441
-
出版日期:2014-10-01
-
印刷日期:2014-10-01
-
包裝:平裝
-
開本:16開
-
版次:1
-
印次:1
-
《網站安全攻防秘笈(防御黑客和保護用戶的
100條超級策略)》是國際信息安全專家巴內特10餘
年網絡安全實
戰經驗的結晶,全方位解讀網站常見的漏洞及攻
擊方法,提供了100條實用的安全防護策略,為
快速開發安全網站提供繫統的實踐指南。
全書分為三部分,共15章:第一部分(第
1~3章)詳細介紹網站上線前所需要實施的一
繫列安全策略,包括如何為線上網站構築網絡防
線、如何快速檢測和修復漏洞,以及如何在網
站中構建陷阱來快速而準確地識別惡意用戶;
第二部分(第4~12章)全面而繫統地介紹網站
上線後用於分析網站執行和尋找惡意行為的安全
策略,包括信用度與第三方信息關聯、請求數據
分析、響應數據分析、授權保護、防護session
狀態、防止應用程序攻擊、防止客戶端攻擊、文
件上傳功能防護、限制訪問頻率與程序交互流程
等;第三部分(第13~15章)詳細講解在網站出
現惡意行為後如何高效地使用各種響應方式應對
攻擊,包括被動、主動和侵入式響應動作。
本書適合網站安全防護人員、信息安全人
員、網站管理人員等參考,可幫助讀者快速掌握
網絡安全防護技術,提高攻擊網站的門檻。
-
譯者序
序言
前言
作者簡介
**部分 準備戰場
第1章 網站駐防
策略1-1:實時網站請求分析
策略1-2:使用加密的哈希值來避免數據篡改
策略1-3:安裝OWASP的ModSecurity核心規則集(CRS)
策略1-4:集成入侵檢測繫統的特征
策略1-5:使用貝葉斯分析方法檢測攻擊數據
策略1-6:打開全量HTTP審計日志
策略1-7:隻記錄有意義的請求
策略1-8:忽略靜態資源的請求
策略1-9:在日志中屏蔽敏感數據
策略1-10:使用Syslog把告警發送到中央日志服務器
策略1-11:使用ModSecurity AuditConsole
第2章 漏洞檢測與修復
策略2-1:被動地識別漏洞
策略2-2:主動地識別漏洞
策略2-3:手動轉換漏洞掃描結果
策略2-4:掃描結果自動轉換
策略2-5:實時資源評估與虛擬補丁修復
第3章 給黑客的陷阱
策略3-1:添加蜜罐端口
策略3-2:添加假的robots.txt的Disallow條目
策略3-3:添加假的HTML注釋
策略3-4:添加假的表單隱藏字段
策略3-5:添加假的co
第二部分 非對稱戰爭
第4章 信用度與第三方信息關聯
策略4-1:分析用戶的地理位置信息
策略4-2:識別使用了代理的可疑客戶端
策略4-3:使用實時黑名單查找(RBL)
策略4-4:運行自己的RBL
策略4-5:檢測惡意的鏈接
第5章 請求數據分析
策略5-1:訪問請求體的內容
策略5-2:識別畸形請求體
策略5-3:規範化Unicode編碼
策略5-4:識別是否進行多次編碼
策略5-5:識別編碼異常
策略5-6:檢測異常的請求方法
策略5-7:檢測非法的URI數據
策略5-8:檢測異常的請求頭部
策略5-9:檢測多餘的參數
策略5-10:檢測缺失的參數
策略5-11:檢測重復的參數名
策略5-12:檢測異常的參數長度
策略5-13:檢測異常的參數字符集
第6章 響應數據分析
策略6-1:檢測異常的響應頭部
策略6-2:檢測響應頭部的信息洩漏
策略6-3:訪問響應體內容
策略6-4:檢測變*的頁面標題
策略6-5:檢測響應頁面大小偏差
策略6-6:檢測動態內容變*
策略6-7:檢測源代碼洩漏
策略6-8:檢測技術數據洩漏
策略6-9:檢測異常的響應時延
策略6-10:檢測是否有敏感用戶數據洩漏
策略6-11:檢測木馬、後門及webshell的訪問嘗試
第7章 身份驗證防護
策略7-1:檢測是否提交了通用的或默認的用戶名
策略7-2:檢測是否提交了多個用戶名
策略7-3:檢測失敗的身份驗證嘗試
策略7-4:檢測高頻率的身份驗證嘗試
策略7-5:規範化身份驗證失敗的提示信息
策略7-6:強制提高密碼復雜度
策略7-7:把用戶名和SessionID進行關聯
第8章 防護會話狀態
策略8-1:檢測非法的cookie
策略8-2:檢測cookie篡改
策略8-3:強制會話過期
策略8-4:檢測客戶端源位置在會話有效期內是否變*
策略8-5:檢測在會話中瀏覽器標識是否變*
第9章 防止應用層攻擊
策略9-1:阻斷非ASCII字符的請求
策略9-2:防止路徑遍歷攻擊
策略9-3:防止暴力瀏覽攻擊
策略9-4:防止SQL注入攻擊
策略9-5:防止遠程文件包含(RFI)攻擊
策略9-6:防止OS命令攻擊
策略9-7:防止HTTP請求偷渡攻擊
策略9-8:防止HTTP響應分割攻擊
策略9-9:防止XML攻擊
**0章 防止客戶端攻擊
策略10-1:實現內容安全策略(CSP)
策略10-2:防止跨站腳本(XSS)攻擊
策略10-3:防止跨站請求偽造(CSRF)攻擊
策略10-4:防止UI偽裝(點擊劫持)攻擊
策略10-5:檢測銀行木馬(瀏覽器中的木馬)攻擊
**1章 文件上傳功能防護
策略11-1:檢測文件大小
策略11-2:檢測是否上傳了大量文件
策略11-3:檢測文件附件是否有惡意程序
**2章 限制訪問速率及程序交互流程
策略12-1:檢測高速的應用訪問速率
策略12-2:檢測請求/響應延遲攻擊
策略12-3:識別異常的請求間隔時間
策略12-4:識別異常的請求流程
策略12-5:識別顯著增加的資源使用
第三部分 戰略反攻
**3章 被動的響應動作
策略13-1:追蹤異常權值
策略13-2:陷阱與追蹤審計日志
策略13-3:發送E-mail告警
策略13-4:使用請求頭部標記來共享數據
**4章 主動的響應動作
策略14-1:跳轉到錯誤頁面
策略14-2:斷開連接
策略14-3:阻斷客戶端的源地址
策略14-4:通過變*防護條件(DefCon)級別來限制地理位置訪問
策略14-5:強制請求延遲
策略14-6:假裝被成功攻破
策略14-7:把流量重定向到蜜罐
策略14-8:強制退出網站
策略14-9:臨時限制賬戶訪問
**5章 侵入式響應動作
策略15-1:JavaScript cookie測試
策略15-2:通過驗證碼測試來確認用戶
策略15-3:通過BeEF來hook惡意用戶
| | |
| | | | |
|
