買這商品的人也買了...
-
代碼審計 (企業級Web代碼安全架構)$354$336 -
$203Linux服務器安全攻防 -
$301電子數據取證與Python方法(Python forensics: a workbench for inventing and sharing digital forensic technology) -
資安防禦指南|資訊安全架構實務典範 (Defensive Security Handbook: Best Practices for Securing Infrastructure)$580$458 -
$414Web 安全開發指南 (Security for Web Developers: Using JavaScript, HTML, and CSS) -
$454從實踐中學習 Metasploit 5 滲透測試 -
Kali Linux 滲透測試工具|花小錢做資安,你也是防駭高手, 3/e$880$748 -
$422Python 3 反爬蟲原理與繞過實戰 -
PHP 網路爬蟲開發:入門到進階的爬蟲技術指南(iT邦幫忙鐵人賽系列書)$520$260 -
$564API 安全技術與實戰 -
從實踐中學習 Nmap 滲透測試$714$678 -
新觀念 PHP8 + MySQL + AJAX 網頁程式範例教本, 6/e$630$498 -
WebSecurity 網站滲透測試:Burp Suite 完全學習指南 (iT邦幫忙鐵人賽系列書)$600$450 -
Python 網路爬蟲:大數據擷取、清洗、儲存與分析 -- 王者歸來, 2/e$750$593 -
黑帽 Python|給駭客與滲透測試者的 Python 開發指南, 2/e (Black Hat Python : Python Programming for Hackers and Pentesters, 2/e)$450$356 -
Web Hacking 現場指南:真實世界抓漏和獵蟲的賞金之旅 (Real-World Bug Hunting: A Field Guide to Web Hacking)$550$299 -
域滲透攻防指南$774$735 -
PHP8 / MySQL 網頁程式設計自學聖經 (附範例/影音)$680$510 -
Hacking APIs|剖析 Web API 漏洞攻擊技法$580$458 -
Kali Linux 滲透測試全流程詳解$599$569 -
ATT & CK 視角下的紅藍對抗實戰指南$954$906 -
內網安全攻防:紅隊之路$654$621 -
深入淺出 Kali Linux 滲透測試$599$569 -
Beyond XSS:探索網頁前端資安宇宙$880$695 -
Python 教學手冊, 2/e$680$537
相關主題
商品描述
業務安全漏洞作為常見的Web安全漏洞,在各大漏洞平臺時有報道,本書是一本從原理到案例分析,系統性地介紹這門技術的書籍。撰寫團隊具有10年大型網站業務安全測試經驗,成員們對常見業務安全漏洞進行梳理,總結出了全面、詳細的適用於電商、銀行、金融、證券、保險、遊戲、社交、招聘等業務系統的測試理論、工具、方法及案例。本書共15章,包括理論篇、技術篇和實踐篇。理論篇首先介紹從事網絡安全工作涉及的相關法律法規,請大家一定要做一個遵紀守法的白帽子,然後介紹業務安全引發的一些安全問題和業務安全測試相關的方法論,以及怎麼去學好業務安全。技術篇和實踐篇選取的內容都是這些白帽子多年在電商、金融、證券、保險、遊戲、社交、招聘、O2O等不同行業、不同的業務系統存在的各種類型業務邏輯漏洞進行安全測試總結而成的,能夠幫助讀者理解不同行業的業務系統涉及的業務安全漏洞的特點。具體來說,技術篇主要介紹登錄認證模塊測試、業務辦理模塊測試、業務授權訪問模塊測試、輸入/輸出模塊測試、回退模塊測試、驗證碼機制測試、業務數據安全測試、業務流程亂序測試、密碼找回模塊測試、業務接口模塊調用測試等內容。實踐篇主要針對技術篇中的測試方法進行相關典型案例的測試總結,包括賬號安全案例總結、密碼找回案例總結、越權訪問案例、OAuth 2.0案例總結、在線支付安全案例總結等。通過對本書的學習,讀者可以很好地掌握業務安全層面的安全測試技術,並且可以協助企業規避業務安全層面的安全風險。本書比較適合作為企業專職安全人員、研發人員、普通高等院校網絡空間安全學科的教學用書和參考書,以及作為網絡安全愛好者的自學用書。
作者簡介
胡兵,恆安嘉新(北京)科技股份公司安全攻防與應急響應中心總經理。負責公司安全產品解決方案、安全攻防技術研究、安全咨詢服務等工作。多年來,一直致力於安全攻防技術的研究,曾參與國家信息安全有關部門、各大電信運營商、高校多個課題研究項目。帶領安全研究團隊支撐“中國反網絡病毒聯盟平臺ANVA”、“國家信息安全漏洞共享平臺CNVD”運營工作,以及承擔國家重要活動期間的安全保障工作。
目錄大綱
理論篇
第1章 網絡安全法律法規
第2章 業務安全引發的思考
2.1 行業安全問題的思考
2.2 如何更好地學習業務安全
第3章 業務安全測試理論
3.1 業務安全測試概述
3.2 業務安全測試模型
3.3 業務安全測試流程
3.4 業務安全測試參考標準
3.5 業務安全測試要點
技術篇
第4章 登錄認證模塊測試
4.1 暴力破解測試
4.1.1 測試原理和方法
4.1.2 測試過程
4.1.3 修覆建議
4.2 本地加密傳輸測試
4.2.1 測試原理和方法
4.2.2 測試過程
4.2.3 修覆建議
4.3 Session測試
4.3.1 Session會話固定測試
4.3.2 Seesion會話註銷測試
4.3.3 Seesion會話超時時間測試
4.4 Cookie仿冒測試
4.4.1 測試原理和方法
4.4.2 測試過程
4.4.3 修覆建議
4.5 密文比對認證測試
4.5.1 測試原理和方法
4.5.2 測試過程
4.5.3 修覆建議
4.6 登錄失敗信息測試
4.6.1 測試原理和方法
4.6.2 測試過程
4.6.3 修覆建議
第5章 業務辦理模塊測試
5.1 訂單ID篡改測試
5.1.1 測試原理和方法
5.1.2 測試過程
5.1.3 修覆建議
5.2 手機號碼篡改測試
5.2.1 測試原理和方法
5.2.2 測試過程
5.2.3 修覆建議
5.3 用戶ID篡改測試
5.3.1 測試原理和方法
5.3.2 測試過程
5.3.3 修覆建議
5.4 郵箱和用戶篡改測試
5.4.1 測試原理和方法
5.4.2 測試過程
5.4.3 修覆建議
5.5 商品編號篡改測試
5.5.1 測試原理和方法
5.5.2 測試過程
5.5.3 修覆建議
5.6 競爭條件測試
5.6.1 測試原理和方法
5.6.2 測試過程
5.6.3 修覆建議
第6章 業務授權訪問模塊
6.1 非授權訪問測試
6.1.1 測試原理和方法
6.1.2 測試過程
6.1.3 修覆建議
6.2 越權測試
6.2.1 測試原理和方法
6.2.2 測試過程
6.2.3 修覆建議
第7章 輸入/輸出模塊測試
7.1 SQL註入測試
7.1.1 測試原理和方法
7.1.2 測試過程
7.1.3 修覆建議
7.2 XSS測試
7.2.1 測試原理和方法
7.2.2 測試過程
7.2.3 修覆建議
7.3 命令執行測試
7.3.1 測試原理和方法
7.3.2 測試過程
7.3.3 修覆建議
第8章 回退模塊測試
8.1 回退測試
8.1.1 測試原理和方法
8.1.2 測試過程
8.1.3 修覆建議
第9章 驗證碼機制測試
9.1 驗證碼暴力破解測試
9.1.1 測試原理和方法
9.1.2 測試過程
9.1.3 修覆建議
9.2 驗證碼重覆使用測試
9.2.1 測試原理和方法
9.2.2 測試過程
9.2.3 修覆建議
9.3 驗證碼客戶端回顯測試
9.3.1 測試原理和方法
9.3.2 測試過程
9.3.3 修覆建議
9.4 驗證碼繞過測試
9.4.1 測試原理和方法
9.4.2 測試過程
9.4.3 修覆建議
9.5 驗證碼自動識別測試
9.5.1 測試原理和方法
9.5.2 測試過程
9.5.3 修覆建議
第10章 業務數據安全測試
第11章 業務流程亂序測試
第12章 密碼找回模塊測試
第13章 業務接口調用模塊測試
實踐篇
第14章 賬號安全案例總結
第15章 密碼找回安全案例總結
第16章 越權訪問安全案例總結
第17章 OAuth 2.0安全案例總結
第18章 在線支付安全案例總結
