![黑客攻防技术宝典(第2版) - [英] Dafydd Stuttard](https://static.book345.com/covers/9787115283924.jpg)
AI导读
核心看点
- Web安全专家经验结晶,系统阐述攻防技巧。
- 涵盖最新攻击手段,提供数百个漏洞实验室。
- 深入剖析HTTP协议及身份验证等核心防御机制。
适合谁读
- Web安全工程师、渗透测试人员及开发人员。
- 希望系统学习Web攻防技术的计算机专业学生。
- 对网络安全感兴趣且具备一定基础的爱好者。
读前提醒
- 中文版翻译质量参差不齐,建议对照英文原版阅读。
- 书中大量示例基于Burp Suite,需配合工具实操。
- 部分技术可能随时代发展过时,需结合最新知识。
读者共识
- 内容详实专业,是Web安全领域的经典入门必读。
- 翻译水平备受诟病,严重影响了阅读体验和理解。
- 实战性强,配合官方免费实验室学习效果更佳。
本导读基于书籍简介、目录、原文摘录、短评和书评生成,不等同于全文精读。
精彩摘录
- "应用程序必须假设所有输入的信息都是恶意的输入,并必须采取措施确保攻击者无法使用专门设计的输入破坏应用程序,"
- "任何设计安全应用程序的开发人员必须基于这样一个假设:应用程序将成为意志坚定且经验丰富的攻击者的直接攻击目标。"
- "如果可能,最好避免清除某些不良输入的做法,完全拒绝这种类型的输入。"
- "这里是介绍"
- "大多数Web应用程序使用三层相互关联的安全机制处理用户访问: 身份验证; 会话管理; 访问控制。 令牌是一个唯一的字符串,应用程序将其映射到会话中。当用户收到一个令牌时,浏览器会在随后的HTTP请求中将它返回给服务器,帮助应用程序将请求与该用户联系起来。虽然许多应用程序使用隐藏表单字段(hidden form field)或URL查询字符串(query string)传送会话令牌(session token),但HTTP cookie才是实现这一目的的常规方法。如果用户在一段时间内没有发出请求,会话将会自动终止,如图2-2所示。 会话管理机制中存在的漏洞主要分为两类: 会话令牌生成过程中的薄弱"
作者简介
作者简介:
Dafydd Stuttard 世界知名安全顾问、作家、软件开发人士。牛津大学博士,MDSec公司联合创始人,尤其擅长Web应用程序和编译软件的渗透测试。Dafydd以网名PortSwigger蜚声安全界,是众所周知的Web应用程序集成攻击平台Burp Suite的开发者。
Marcus Pinto 资深渗透测试专家,剑桥大学硕士,MDSec公司联合创始人。Marcus为全球金融、政府、电信、博彩、零售等行业顶尖组织和机构提供Web应用程序渗透测试和安全防御的咨询与培训。
目录
用户评论
其实真想给两星啊,这坑爹翻译不但增加阅读难度,而且误人子弟啊囧rz
比较系统,还有内核漏洞攻击
受益颇丰。
除了时间有点久 很多新技术没有外。此书把网络安全技术涉及的非常详细
p393
很实用,希望我也能通过这本书的学习成为一个大神
经典之作
重要的是书中的思想
866aacf8c85ba1ae85cc76fd7e416adb YUHHFGH?
下载
收藏