当前位置:主页 > 电子书籍 > 网络安全 > 网站安全攻防秘笈:防御黑客和保护用户的100条超级策略 pdf格式

网站安全攻防秘笈:防御黑客和保护用户的100条超级策略 pdf格式

防御黑客和保护用户的100条超级策略

  • 书籍大小:75MB
  • 软件语言:简体中文
  • 书籍类型:国产软件
  • 书籍授权:免费软件
  • 更新时间:2016-11-21
  • 书籍类别:网络安全
  • 购买链接:京东  异步社区
  • 应用平台:PDF
书籍评分
网友评分: 3
内容介绍热点排行下载地址相关内容

网站安全攻防秘笈:防御黑客和保护用户的100条超级策略》是国际信息安全专家10余年网络安全实战经验的结晶,全方位解读网站常见的漏洞及攻击方法,提供了100条实用的安全防护策略,为快速开发安全网站提供系统的实践指南。
全书分为三部分,共15章:第一部分(第1~3章)详细介绍网站上线前所需要实施的一系列安全策略,包括如何为线上网站构筑网络防线、如何快速检测和修复漏洞,以及如何在网站中构建陷阱来快速而准确地识别恶意用户;第二部分(第4~12章)全面而系统地介绍网站上线后用于分析网站执行和寻找恶意行为的安全策略,包括信用度与第三方信息关联、请求数据分析、响应数据分析、授权保护、防护session状态、防止应用程序攻击、防止客户端攻击、文件上传功能防护、限制访问频率与程序交互流程等;第三部分(第13~15章)详细讲解在网站出现恶意行为后如何高效地使用各种响应方式应对攻击,包括被动、主动和侵入式响应动作。
《网站安全攻防秘笈:防御黑客和保护用户的100条超级策略》适合网站安全防护人员、信息安全人员、网站管理人员等参考,可帮助读者快速掌握网络安全防护技术,提高攻击网站的门槛。

百度网盘密码:0crj

目录
《网站安全攻防秘笈:防御黑客和保护用户的100条超级策略》
译者序
序 言
前 言
作者简介
第一部分 准备战场
第1章 网站驻防 6
策略1-1:实时网站请求分析 6
策略1-2:使用加密的哈希值来避免数据篡改 13
策略1-3:安装OWASP的ModSecurity核心规则集(CRS) 17
策略1-4:集成入侵检测系统的特征 29
策略1-5:使用贝叶斯分析方法检测攻击数据 33
策略1-6:打开全量HTTP审计日志 42
策略1-7:只记录有意义的请求 45
策略1-8:忽略静态资源的请求 46
策略1-9:在日志中屏蔽敏感数据 47
策略1-10:使用Syslog把告警发送到中央日志服务器 50
策略1-11:使用ModSecurity AuditConsole 53
第2章 漏洞检测与修复 57
策略2-1:被动地识别漏洞 59
策略2-2:主动地识别漏洞 67
策略2-3:手动转换漏洞扫描结果 75
策略2-4:扫描结果自动转换 79
策略2-5:实时资源评估与虚拟补丁修复 86
第3章 给黑客的陷阱 100
策略3-1:添加蜜罐端口 101
策略3-2:添加假的robots.txt的Disallow条目 102
策略3-3:添加假的HTML注释 107
策略3-4:添加假的表单隐藏字段 111
策略3-5:添加假的cookie 114
第二部分 非对称战争
第4章 信用度与第三方信息关联 121
策略4-1:分析用户的地理位置信息 123
策略4-2:识别使用了代理的可疑客户端 128
策略4-3:使用实时黑名单查找(RBL) 131
策略4-4:运行自己的RBL 137
策略4-5:检测恶意的链接 140
第5章 请求数据分析 148
策略5-1:访问请求体的内容 148
策略5-2:识别畸形请求体 154
策略5-3:规范化Unicode编码 158
策略5-4:识别是否进行多次编码 161
策略5-5:识别编码异常 164
策略5-6:检测异常的请求方法 168
策略5-7:检测非法的URI数据 172
策略5-8:检测异常的请求头部 174
策略5-9:检测多余的参数 183
策略5-10:检测缺失的参数 185
策略5-11:检测重复的参数名 187
策略5-12:检测异常的参数长度 189
策略5-13:检测异常的参数字符集 193
第6章 响应数据分析 196
策略6-1:检测异常的响应头部 196
策略6-2:检测响应头部的信息泄漏 206
策略6-3:访问响应体内容 209
策略6-4:检测变更的页面标题 211
策略6-5:检测响应页面大小偏差 214
策略6-6:检测动态内容变更 216
策略6-7:检测源代码泄漏 219
策略6-8:检测技术数据泄漏 223
策略6-9:检测异常的响应时延 226
策略6-10:检测是否有敏感用户数据泄漏 228
策略6-11:检测木马、后门及webshell的访问尝试 231
第7章 身份验证防护 234
策略7-1:检测是否提交了通用的或默认的用户名 235
策略7-2:检测是否提交了多个用户名 238
策略7-3:检测失败的身份验证尝试 240
策略7-4:检测高频率的身份验证尝试 242
策略7-5:规范化身份验证失败的提示信息 247
策略7-6:强制提高密码复杂度 250
策略7-7:把用户名和SessionID进行关联 253
第8章 防护会话状态 258
策略8-1:检测非法的cookie 258
策略8-2:检测cookie篡改 264
策略8-3:强制会话过期 268
策略8-4:检测客户端源位置在会话有效期内是否变更 273
策略8-5:检测在会话中浏览器标识是否变更 279
第9章 防止应用层攻击 288
策略9-1:阻断非ASCII字符的请求 288
策略9-2:防止路径遍历攻击 291
策略9-3:防止暴力浏览攻击 294
策略9-4:防止SQL注入攻击 296
策略9-5:防止远程文件包含(RFI)攻击 299
策略9-6:防止OS命令攻击 302
策略9-7:防止HTTP请求偷渡攻击 305
策略9-8:防止HTTP响应分割攻击 307
策略9-9:防止XML攻击 309
第10章 防止客户端攻击 315
策略10-1:实现内容安全策略(CSP) 315
策略10-2:防止跨站脚本(XSS)攻击 323
策略10-3:防止跨站请求伪造(CSRF)攻击 331
策略10-4:防止UI伪装(点击劫持)攻击 337
策略10-5:检测银行木马(浏览器中的木马)攻击 340
第11章 文件上传功能防护 345
策略11-1:检测文件大小 345
策略11-2:检测是否上传了大量文件 347
策略11-3:检测文件附件是否有恶意程序 348
第12章 限制访问速率及程序交互流程 352
策略12-1:检测高速的应用访问速率 352
策略12-2:检测请求/响应延迟攻击 361
策略12-3:识别异常的请求间隔时间 367
策略12-4:识别异常的请求流程 368
策略12-5:识别显著增加的资源使用 369
第三部分 战略反攻
第13章 被动的响应动作 375
策略13-1:追踪异常权值 375
策略13-2:陷阱与追踪审计日志 380
策略13-3:发送E-mail告警 381
策略13-4:使用请求头部标记来共享数据 389
第14章 主动的响应动作 394
策略14-1:跳转到错误页面 394
策略14-2:断开连接 398
策略14-3:阻断客户端的源地址 399
策略14-4:通过变更防护条件(DefCon)级别来限制地理位置访问 404
策略14-5:强制请求延迟 406
策略14-6:假装被成功攻破 412
策略14-7:把流量重定向到蜜罐 418
策略14-8:强制退出网站 420
策略14-9:临时限制账户访问 425
第15章 侵入式响应动作 428
策略15-1:JavaScript cookie测试 428
策略15-2:通过验证码测试来确认用户 430
策略15-3:通过BeEF来hook恶意用户 433

 在得知机械工业出版社引进本书时,我非常欣喜。当前Web安全形势严峻,大公司有自己的安全团队处理相关的安全事件,并构建自己的安全防御体系,而更多的中小站点是没有这样的能力的。本书主要介绍漏洞防护相关原理,及如何使用开源Web应用防火墙软件ModSecurity进行网站安全防护,提高站点安全性。传统的硬件WAF盒子等第三方防护方案是选择之一,而开源的防火墙软件ModSecurity的出现则使中小站点构建自己的安全防护体系成为可能。本书可作为ModSecurity的实践手册,指导防护系统的部署。而对于安全从业人员或初学者来说,本书介绍了多种防护策略,可以扩充相关思路。
  在此感谢lpx的默默支持,感谢我的leader jima及团队成员对我安全知识的指导,在此还要感谢机械工业出版社编辑的支持使本书得以出版。译者非专业翻译人士,书中谬误,祈请见谅,期待反馈。
  最后简单介绍我们团队,腾讯安全平台部致力于黑客对抗与打击盗号等,主要工作包括但不限于Web安全漏洞发现与防护、DDoS安全防护、入侵检测、保护终端安全等,网址是http://security.tencent.com,欢迎交流,共同提高。

截图:

标签:防御黑客   保护用户  

人气书籍

下载地址

相关书籍

网友评论

下载声明

☉脚本之家所供资源均来自稀酷客、csdn、电驴等网站搜集或网友提供.并仅供私下交流学习之用,版权依然由原属机构或个人所有,任何涉及商业盈利目的均不得使用,否则产生的一切后果将由您自己承担,若无意中侵犯了您的权益,请来信指出我们会立即会做出您满意的处理。
☉解压密码或分享码:www.jb51.net 就是本站主域名,希望大家看清楚,[ 分享码的获取方法 ]可以参考这篇文章
☉推荐使用 [ 迅雷 ] 下载,使用 [ WinRAR v3.93 ] 以上版本解压本站电子书。
☉如果这个电子书总是不能下载的请在评论中留言,我们会尽快修复,谢谢!
☉下载本站资源,如果服务器暂不能下载请过一段时间重试!
☉如果遇到什么问题,请评论留言,我们定会解决问题,谢谢大家支持!
☉本站提供的一些商业电子书是供学习研究之用,如用于商业用途,请购买正版。
☉本站提供的网站安全攻防秘笈:防御黑客和保护用户的100条超级策略 pdf格式资源来源互联网,版权归该下载资源的合法拥有者所有。

关于我们 - 广告合作 - 联系我们 - 免责声明 - 网站地图 - 投诉建议 - 在线投稿

CopyRight © 2006-2017 脚本之家 JB51.Net , All Rights Reserved

苏ICP备14036222号