汤青松编著的《PHP Web安全开发实战》结合在安全方面的开发经验,站在开发者的角度,循序渐进地介绍了大量实际发生的漏洞案例,并给出了技术解决方案,包括:常见的网络攻击、代码安全、前端脚本安全、后端应用安全、账户安全、加解密认证、SQL注入以及服务器配置等内容。通过阅读本书,读者能够对整个网络安全有一个全新的认识和深入的理解,从而成为一位懂安全、会防护的工程师,避免在工作中成为黑客攻击的对象。
本书适合PHP开发人员、网络维护人员以及对网络安全攻防技术感兴趣的读者阅读。
内容推荐
作者简介
汤青松,2017PHP全球开发者大会安全话题演讲嘉宾,前乌云众测研发工程师,慕课网Web安全方向高级讲师;现工作于中国婚博会,负责技术实现与数据安全方面的工作。
目录
第1章 信息泄露
1.1 主机信息
1.1.1 子域名信息
1.1.2 端口信息
1.1.3 域名注册信息
1.1.4 网站后台地址
1.2 源码泄露
1.2.1 Git源码泄露
1.2.2 SVN源码泄露
1.2.3 .DS_Store文件泄露
1.2.4 网站备份压缩文件
1.2.5 WEB-INF/web.xml泄露
1.2.6 防御方案
1.3 账户弱口令
1.3.1 漏洞成因
1.3.2 漏洞危害
1.3.3 漏洞案例
1.3.4 防范方法
第2章 常规漏洞
2.1 SQL注入
2.1.1 注入方式
2.1.2 漏洞的3种类型
2.1.3 检测方法
2.1.4 防范方法
2.1.5 代码审查
2.1.6 小结
2.2 XSS跨站
2.2.1 XSS漏洞类型
2.2.2 漏洞危害
2.2.3 防范方法
2.2.4 操作实践
2.2.5 代码审查
2.2.6 小结
2.3 代码注入与命令执行
2.3.1 漏洞类型
2.3.2 漏洞案例
2.3.3 防御方法
2.3.4 命令执行
2.3.5 小结
2.4 CSRF跨站请求伪造
2.4.1 原理分析
2.4.2 漏洞案例
2.4.3 操作实践
2.4.4 防御方法
2.4.5 防御代码示例
2.4.6 小结
2.5 文件包含
2.5.1 漏洞成因
2.5.2 本地文件包含
2.5.3 远程文件包含
2.5.4 测试方法
2.5.5 使用PHP封装协议
2.5.6 小结
2.6 文件上传漏洞
2.6.1 利用方式
2.6.2 上传检测
2.6.3 解析漏洞
2.6.6 小结
第3章 业务逻辑安全
3.1 验证码安全
3.1.1 图片验证码
3.1.2 数字暴力破解
3.1.3 空验证码突破
3.1.4 绕过测试
3.1.5 凭证返回
3.1.6 小结
3.2 密码找回
3.2.1 敏感信息泄露
3.2.2 邮箱弱token
3.2.3 验证的有效性
3.2.4 注册覆盖
3.2.5 小结
3.3 接口盗用
3.3.1 API盗用
3.3.2 短信轰炸
3.4 账户越权
3.4.1 未授权访问
3.4.2 水平越权
3.4.3 垂直越权
3.4.4 小结
3.5 支付漏洞
3.5.1 支付流程分析
3.5.2 金额数据篡改
3.5.3 商品数量篡改
3.5.4 运费金额修改
3.5.5 小结
3.6 SSRF服务端请求伪造
3.6.1 漏洞成因
3.6.2 漏洞案例
3.6.3 总结
第4章 LANMP安全配置
4.1 PHP安全配置
4.2 PHP安全扩展
4.2.1 taint简介
4.2.2 安装taint
4.2.3 测试验证
4.2.4 小结
4.3 Apache安全配置
4.3.1 屏蔽版本信息
4.3.2 目录权限隔离
4.3.3 关闭默认主机
4.3.4 低权限运行
4.3.5 防止用户自定义设置
4.3.6 禁止显示目录
4.4 Nginx安全配置
4.4.1 配置防御
4.4.2 防止权限扩大
4.4.3 WAF扩展
4.4.4 Nginx解析漏洞
4.5 Redis配置
4.5.1 漏洞成因
4.5.2 漏洞案例
4.5.3 小结
4.6 MySQL安全配置
4.6.1 权限安全
4.6.2 网络配置
4.6.3 MySQL日志
4.6.4 主机配置
4.6.5 启动选项
第5章 认证与加密
5.1 数据加密与签名
5.1.1 对称加密与非对称加密
5.1.2 数字签名
5.1.3 数字证书
5.2 HTTPS安全
5.2.1 HTTPS简介
5.2.2 HTTPS被攻击的方式
5.2.3 常见误区
5.3 密码加密策略
5.3.1 密码存储
5.3.2 密码传输
5.3.3 漏洞案例
5.3.4 总结
第6章 其他Web安全主题
6.1 DDoS攻击
6.1.1 DDoS分类
6.1.2 应对方案
6.1.3 漏洞案例
6.1.4 小结
6.2 CMS通用漏洞
6.2.1 漏洞简介
6.2.2 等级划分
6.2.3 漏洞案例
6.2.4 防御方法
6.3 网页挂马
6.3.1 挂马类型
6.3.2 挂马检测
6.3.3 小结
6.4 Burp Suite
6.4.1 拦截数据包
6.4.2 修改数据包
6.4.3 页面链接抓取
6.4.4 自动化挖掘
6.4.5 暴力破解
6.5 SQLMap
6.5.1 查看数据库账户
6.5.2 查看数据库中的所有账户
6.5.3 获取所有数据库名称
6.5.4 获取数据库表名称
6.5.5 查看表结构
6.5.6 导出数据
1.1 主机信息
1.1.1 子域名信息
1.1.2 端口信息
1.1.3 域名注册信息
1.1.4 网站后台地址
1.2 源码泄露
1.2.1 Git源码泄露
1.2.2 SVN源码泄露
1.2.3 .DS_Store文件泄露
1.2.4 网站备份压缩文件
1.2.5 WEB-INF/web.xml泄露
1.2.6 防御方案
1.3 账户弱口令
1.3.1 漏洞成因
1.3.2 漏洞危害
1.3.3 漏洞案例
1.3.4 防范方法
第2章 常规漏洞
2.1 SQL注入
2.1.1 注入方式
2.1.2 漏洞的3种类型
2.1.3 检测方法
2.1.4 防范方法
2.1.5 代码审查
2.1.6 小结
2.2 XSS跨站
2.2.1 XSS漏洞类型
2.2.2 漏洞危害
2.2.3 防范方法
2.2.4 操作实践
2.2.5 代码审查
2.2.6 小结
2.3 代码注入与命令执行
2.3.1 漏洞类型
2.3.2 漏洞案例
2.3.3 防御方法
2.3.4 命令执行
2.3.5 小结
2.4 CSRF跨站请求伪造
2.4.1 原理分析
2.4.2 漏洞案例
2.4.3 操作实践
2.4.4 防御方法
2.4.5 防御代码示例
2.4.6 小结
2.5 文件包含
2.5.1 漏洞成因
2.5.2 本地文件包含
2.5.3 远程文件包含
2.5.4 测试方法
2.5.5 使用PHP封装协议
2.5.6 小结
2.6 文件上传漏洞
2.6.1 利用方式
2.6.2 上传检测
2.6.3 解析漏洞
2.6.6 小结
第3章 业务逻辑安全
3.1 验证码安全
3.1.1 图片验证码
3.1.2 数字暴力破解
3.1.3 空验证码突破
3.1.4 绕过测试
3.1.5 凭证返回
3.1.6 小结
3.2 密码找回
3.2.1 敏感信息泄露
3.2.2 邮箱弱token
3.2.3 验证的有效性
3.2.4 注册覆盖
3.2.5 小结
3.3 接口盗用
3.3.1 API盗用
3.3.2 短信轰炸
3.4 账户越权
3.4.1 未授权访问
3.4.2 水平越权
3.4.3 垂直越权
3.4.4 小结
3.5 支付漏洞
3.5.1 支付流程分析
3.5.2 金额数据篡改
3.5.3 商品数量篡改
3.5.4 运费金额修改
3.5.5 小结
3.6 SSRF服务端请求伪造
3.6.1 漏洞成因
3.6.2 漏洞案例
3.6.3 总结
第4章 LANMP安全配置
4.1 PHP安全配置
4.2 PHP安全扩展
4.2.1 taint简介
4.2.2 安装taint
4.2.3 测试验证
4.2.4 小结
4.3 Apache安全配置
4.3.1 屏蔽版本信息
4.3.2 目录权限隔离
4.3.3 关闭默认主机
4.3.4 低权限运行
4.3.5 防止用户自定义设置
4.3.6 禁止显示目录
4.4 Nginx安全配置
4.4.1 配置防御
4.4.2 防止权限扩大
4.4.3 WAF扩展
4.4.4 Nginx解析漏洞
4.5 Redis配置
4.5.1 漏洞成因
4.5.2 漏洞案例
4.5.3 小结
4.6 MySQL安全配置
4.6.1 权限安全
4.6.2 网络配置
4.6.3 MySQL日志
4.6.4 主机配置
4.6.5 启动选项
第5章 认证与加密
5.1 数据加密与签名
5.1.1 对称加密与非对称加密
5.1.2 数字签名
5.1.3 数字证书
5.2 HTTPS安全
5.2.1 HTTPS简介
5.2.2 HTTPS被攻击的方式
5.2.3 常见误区
5.3 密码加密策略
5.3.1 密码存储
5.3.2 密码传输
5.3.3 漏洞案例
5.3.4 总结
第6章 其他Web安全主题
6.1 DDoS攻击
6.1.1 DDoS分类
6.1.2 应对方案
6.1.3 漏洞案例
6.1.4 小结
6.2 CMS通用漏洞
6.2.1 漏洞简介
6.2.2 等级划分
6.2.3 漏洞案例
6.2.4 防御方法
6.3 网页挂马
6.3.1 挂马类型
6.3.2 挂马检测
6.3.3 小结
6.4 Burp Suite
6.4.1 拦截数据包
6.4.2 修改数据包
6.4.3 页面链接抓取
6.4.4 自动化挖掘
6.4.5 暴力破解
6.5 SQLMap
6.5.1 查看数据库账户
6.5.2 查看数据库中的所有账户
6.5.3 获取所有数据库名称
6.5.4 获取数据库表名称
6.5.5 查看表结构
6.5.6 导出数据
- 个性空间/小空间大设计
- 老婆使用手册(升级版)
- 特色卫浴/小空间大设计
- 我最想要的美肌书
- 风情卧室/小空间大设计
- 拿破仑·希尔成功学全书(经典畅销珍藏版)(精)/受益一生的智慧书系
- 女人的资本大全集(经典畅销珍藏版)(精)/受益一生的智慧书系
- 夏事(点染生命的绚烂时尚版)/格言中的智慧
- 独特客厅/小空间大设计
- 机电企业管理导论(见习机械设计工程师资格考试培训教材)
- C语言程序设计与实践(省级高等院校精品课程系列教材)
- 风尚创意美居(附光盘1简约设计)
- 电路理论基础(21世纪高等院校电子信息与电气学科系列规划教材)
- 理论力学教程(21世纪高等教育规划教材)
- 景观设计方法
- 计算机英语(计算机类21世纪高职高专规划教材)
- 智能电网中的电力电子技术/国际电气工程先进技术译丛
- 铸造工<高级>国家职业资格证书取证问答/国家职业技能鉴定最新指导丛书
- 风尚创意美居(附光盘3中式设计)
- 工程制图
- 你不可不知的淘宝开店100招
- 建筑工程概预算(新世纪土木工程系列规划教材)
- 音响网络的构建传输与监控
- 计算机网络技术与应用/高等院校计算机教材系列
- 土木工程识图(房屋建筑类中等职业教育课程改革国家规划新教材)
- 图片视频压缩王 for Android V1.1 安卓手机版
- 工程易览PDF V1.0 官方安装版
- 影捷语音导出转发 for Android V1.0.2 安卓手机版
- 智分享 for android v1.0.11 安卓手机版
- 厨房烹饪 for android v1.1 安卓手机版
- 管家小美 for android v1.8.3 安卓手机版
- 撞球帮 for android v1.0.18 安卓手机版
- 探针商城 for android v1.3.3 安卓手机版
- Longtion AutoRun Pro Enterprise v15.2.0.460 最新激活版 附破解教程
- 3D角色绘制软件VRoid Studio v1.0.3 汉化中文破解版(附安装教程+汉化补丁)
- 图腾饼干
- 死亡时间
- 驴赛车
- 儿童的战争
- 足球运动员Logo测验
- 三维西蒙
- 永远的朋友
- 情人节泡沫
- 炮塔控制
- 记忆地下城
- 爱你
- 镜花缘传奇
- 反黑先锋
- 红色警戒
- 扬州八怪
- 情牵日月星
- 达摩祖师
- 天蝎行动
- 刑警本色
- 王宝钏与薛平贵