黑客WEB脚本攻击与防御技术核心剖析
黑客WEB脚本攻击与防御技术核心剖析--------------------------------------免责申明:本站所供资料仅供学习之冂,任何人不得将之他冂或者进行传播,否划应当自行向实际权利人承担法律责任。因本站部分资料来源于其他媒介,如存在没有标注来源或来源枟注错误导致侵犯阁下权利之处,敏请饣知,我将立即予以处理。请购买正版书藉,支持国内网络安全。溜客和旗下换在中国双()及溜客原创资源论坛)祝您技术更上一个台阶作者简介郝永清CISSP、CSP、MCSE资深讲师,藏锋者网络安全网(www.cangfengzhe.com)核心成员之一,主要从事信息安全相关工作,负责深入分析用户安全需求;有近十年的授课经验,为300多家企业千余T经理及TT技术人员做过安全培训;有丰富的项目经验,同时密切跟踪国内外的安全动态,对严重安全事件进行快速响应:对各种恶意软件进行分析,提供检测和解决方案,并完成产品的安全评估,如防火墙、入侵检测、漏洞扫描等;参与众多公司网络的渗透测试项目,并对病毒和木马有深入了解。溜客安全网免责申明:本站所供资料仅供学习之冂,任何人不得将之他冂或者进行传播,否划应当自行向实际权利人承担法律责任。因本站部分资料来源于其他媒介,如存在没有标注来源或来源枟注错误导致侵犯阁下权利之处,敏请饣知,我将立即予以处理。请购买正版书藉,支持国内网络安全。溜客和旗下换在中国双()及溜客原创资源论坛)祝您技术更上一个台阶丛书序攻防技术辩证一体辩证的看,网络安全技术包含两个方面,正面是防御,反面是攻击,二者缺不可:没有了攻击技术,防御技术无从谈起;没有了防御技术,攻击技术就成为摆设,没有丝毫存在的意义。本系列书从始至终贯彻这一基本要点,和其他同类图书的最大区别就在于此。我们虽然会详细模拟攻击者的攻击过程,但其目的是为了在防御的时候更加清楚地明白需要防御的“缺口”在什么地方。我们也会详细讲解防御体系的搭建思路和过程,但是也会讨论突破这样的防御体系的新的攻击技术和思路,进而推出适当的防御技术。更多的时候,本系列书的角度是在攻击者和防御者两者之间进行切换模拟——如同现在工作在岗位上的网络安全技术工程师一样,经常需要扮演攻击测试者和防护者的双重身份。赁彻始终的“黑客”思维正面导向有圈内人曾用“妖魔化”来形容今天的黑客,很贴切但本质很荒谬、很无奈。原本作为褒义的“黑客”一词,是指热心于计算机技术、水平高超的电脑专家。在负面新闻不明真相的炒作下,在无数恶意攻击事件的曝光之后,在利欲熏心者的盲目追崇中,目前几乎已经完全沦为贬义的破坏者的代名词。网络需要发展,技术需要进步。让这样歪曲的思维误导的长期后果,就是越来越多的人远离“黑客”,远离本来可能为网络发展、技术进步而提供非常大助力的群体,让原本正面积极的群体变得愈加孤僻,越加“妖魔”,甚至沦陷。所以,本系列书坚持正面积极的正确“黑客”思维导向,并将贯彻始终,力争明晰恶意攻击者和善意黑客之间的区别,力争将攻击技术这把锋利的刀用在推动技术进步之上,力争让更多即将误入歧途的被误导者看到光明的希望专注于热点技术的迫踪和普及时代在变,技术也在变,技术热点的推陈出新本质就是技术进步的演变过程。关注并专注于最新的攻防技术,并将这些新的、热的网络安全技术普及给大众,溜客安全网免责申明:本站所供资料仅供学习之冂,任何人不得将之他冂或者进行传播,否划应当自行向实际权利人承担法律责任。因本站部分资料来源于其他媒介,如存在没有标注来源或来源枟注错误导致侵犯阁下权利之处,敏请饣知,我将立即予以处理。请购买正版书藉,支持国内网络安全。溜客和旗下换在中国双()及溜客原创资源论坛)祝您技术更上一个台阶正·黑客Web脚本攻击与防御技术核心剖析这就是本系列书的重要目标之一。就当下的网络安全状况来看,针对web服务的攻防、针对服务器的滲透攻防、针对个人计算机长期精准地控制和安全、针对网络协议的缺陷研究和偻补等,都是攻击者、防御者们津津乐道的话题—一自然也就是本系列书关注的话题。需要提出注意的是,本系列书是动态的、持续变化的、跟随热点变化而进步的,所以将长期的、持续的、及时的推出!案例化和可操作性的实现尝试就本质来说,计算机技术是一门需要动手能力比较强的学科。作为书籍来说可操作性的优劣将决定此书的成败。我们用案例化的方式来进行技术讨论,针对网络安全技术的攻击和防御两方面,采用有针对性的、螺旋上升的“攻防”对案例进行演示,力求让各技术体系毫发毕现地出现在读者面前—注意这不是空泛的理论交锋,这是可以做到“按图索骥”的一步步攻击和防御操作的详细记录!最大化的提升书籍的易用性任何事情的起步都是艰辛的,作为过来人的编者深刻明白迈出第一步的艰辛,所以对于刚刚接触网络安全相关领域的新于,对于理解书中相关概念略显吃力的读者,我们尽量将一些关键的概念以“基本概念解释”的方式贯穿在文中,并在书末提供速查表。目的只是为了提高系列书籍的易读性,让读者更能贴切地理解各种案例和操作中的原理。本系列书中,类似于“基本概念解释”的还有适当位置的“技巧”、“提示”,以及序言之后的“本书使用方法”,还有文末的基本概念速查、书中所用演示平台和丁具的汇总介绍等。希望读者能将这些小项目利用起来,让其为深刻理解书中技术而起到应有的辅助作用。辅助在线技术交流平台做为人力有限的编者来说,遗漏在所难免,所以为了更好地为读者服务,也为了除书籍之外读者还有更方面的解惑、交流、讨论平台,本书和藏锋者网络安全网(www.cangfengzhe.com)合作,由此提供在线技术交流平台,以便本系列书的读者更快、更好、更方便地提升技术层次—一当然,这个平台肯定是免费的溜客安全网免责申明:本站所供资料仅供学习之冂,任何人不得将之他冂或者进行传播,否划应当自行向实际权利人承担法律责任。因本站部分资料来源于其他媒介,如存在没有标注来源或来源枟注错误导致侵犯阁下权利之处,欹请怗知,我将立即予以处理。请购买正版书藉,攴持国内网络安全。溜客和旗下换在中国双()及溜客原创资源论坛)祝您技术更上一个台阶丛书序·ⅲ部分资料来源于藏锋者任何技术都存在表现形式上的共性,网络安全技术也不例外。正是因为存在这样的共性,在案例的选取上,本系列书使用了部分藏锋者网络上的相关资料。这样做的原因一来是很多经典资料的确很能明白地说明问题;二来是因为很多典型技术的推出就是因为存在这样的典型案例;三则是出于对实用性的考虑—我们倡导的方式是读者在通读全书后,去藏锋者网站下载并搭建书中案例的相关环境,使用相关工具进行模拟攻击和模拟防护,已达到真正将书中的技术纳为己有的目的。纠错及感谢编著过程仓促,难免有所遗漏或者错误,如有发现,欢迎读者使用上述的网络交流平台与编者联系,提前致谢。在系列书编著过程中,得到很多藏锋者网络上的技术伙伴们的支持和帮助,在此一并感谢。最重要的是,系列书的出版和推出,得到科学出版社的大力支持。特别是责任编辑田sir,事前、事中、事后均提供了莫大的支持,鞠躬谢过。郝永清2009年9月于北京溜客安全网免责申明:本站所供资料仅供学习之冂,任何人不得将之他冂或者进行传播,否划应当自行向实际权利人承担法律责任。因本站部分资料来源于其他媒介,如存在没有标注来源或来源枟注错误导致侵犯阁下权利之处,敏请饣知,我将立即予以处理。请购买正版书藉,支持国内网络安全。溜客和旗下换在中国双()及溜客原创资源论坛)祝您技术更上一个台阶代序本着序的第一要义:坦率、诚实、中肯,对读者负责,对社会负责而作此序。网络安全技术在中国,更多的是神秘化、妖魔化。如果将外界加诸于网络安全技术身上的浮华外表剥去,剩下的和一群车间技术工人绞尽脑汁的研究、突破某个生产设备运行瓶颈的行为毫无区别:网络安全技术只是一种技术进步过程中必然存在的推动力而己,只是这种推动力必须要破开层层桎梏,以至于在冲击的过程中无意间影响了立场不坚定者、心底阴暗者或利欲熏心者。当本书责编田sir与我提及要系统的编著一套网络安全技术的相关书籍,能否为之作序的时侯,我考虑的并不是究竟什么技术应该普及?什么技术应该得到大家的重视?什么技术到目前还没有达到公布并讨论的临界点?我考虑最多的其实是一个和本书的编者、读者一样,一个可能被不了解的人冠以“黑客”这个原本崇高现在却遭人唾弃的中国网络安全圈中的参与者的社会责任感。网络安全参与者的社会责任感是什么?无外乎参与者们对国家、集体、他人所承担的职责、任务和使命的正面积极的态度。怀描着这样的责任感再来通读本书,或许读者能和我一样,在字里行间的技术之外,发现一些作者细微但却真挚的责任感—是的,作者和我们拥有的一样的正面积极的责任感。正是这样的责任感,让作者在编著此书时,选取题材的时候并没有和其他同类书一样,为求眼前利益而一味的选择破坏却舍弃建设、突出攻击却忽略防御、细致利用而敷衍维护。虽然作者选取的题材是未来一段时间必将成为网络安全重点的Web服务方面的攻防技术,但是作者在这些新技术的普及过程中,不忘技术探讨的本质,不忘攻防一体的方式,不忘对读者的网络安全思维方式进行力所能及的正确导向,这是难能可贵的。从内容选择上说,作者很别致地选取了目前具有一定热度的相关技术进行常规普及,但是重点放在具有前瞻意义的新技术讨论上。稍微对网络安全技术发展过程有所了解的人,基本看法应该都和作者一样:基于wb服务方面的攻防技术无疑是现在的网络安全的重点内容。其中脚本(数据库)注入、 cookies攻防都是现在攻击者们最喜欢利用的手法,也都是战斗在第一线的网络安全工程师们每天需要面对的问题。另外作者提出的针对web服务的DDoS攻击也很有前瞻性,至于号称Wb20时代的最大威胁:跨站脚本攻击(XSS),目前还鲜有系统全面而紧跟实例的文字资料,作者在本书中也做了详细阐述并使用了一些典型案例进行溜客安全网免责申明:本站所供资料仅供学习之冂,任何人不得将之他冂或者进行传播,否划应当自行向实际权利人承担法律责任。因本站部分资料来源于其他媒介,如存在没有标注来源或来源枟注错误导致侵犯阁下权利之处,欹请怗知,我将立即予以处理。请购买正版书藉,攴持国内网络安全。溜客和旗下换在中国双()及溜客原创资源论坛)祝您技术更上一个台阶v·黑客Web脚本攻击与防御技术核心剖析模拟……上述的内容中,不管是普及也好,还是前瞻讨论也好,都是紧扣现实的网络安全技术,也就是最具有正面意义的社会责任感的积极体现,就能让更多被误导而妖魔化攻防技术的人真正看清究竟什么是遭人唾弃的攻击者,什么是真正研究技术的“黑客”。一本网络安全技术的普及类书籍,无非在两种特色之间取舍:全面细致的原理分析亦或案例模拟。本书作者用了一种两者相结合的方式来进行编著,案例模拟部分采用了比较新颖的“按图索骥”的方式来叙述,读者的可操作性还是比较高的;另一方面,本书的原理分析略显单薄,但是作者比较巧妙地在书中安插了一些科普类的“基本概念解释”,有助于特别是新手对整个网络安全体系进行系统了解,对技术体系的普及也有一定意义。多说无益,最终决定此书好坏的人还是读者自己,就好比最终决定网络安全技术走向的依然是网络安全参与者一样。同为卑微的参与者,愿为网络安全正名!独行者2009乍10月于北京溜客安全网免责申明:本站所供资料仅供学习之冂,任何人不得将之他冂或者进行传播,否划应当自行向实际权利人承担法律责任。因本站部分资料来源于其他媒介,如存在没有标注来源或来源枟注错误导致侵犯阁下权利之处,敏请饣知,我将立即予以处理。请购买正版书藉,支持国内网络安全。溜客和旗下换在中国双()及溜客原创资源论坛)祝您技术更上一个台阶本书使用方法请用虚拟机对任何一个网终安全技术爱好者来说,虚拟机都是必须的,也是必要的如果读者对本书中所讲案例有兴趣,想亲手操作,以达到最佳的阅读和理解效果,请使用虚拟机在本地虚拟相关系统,并在虚拟机上使用相关工具进行攻击和防御测试。使用虚拟机的最大目的在于保障读者自身的系统安全其次是为了杜绝不经意间由读者兴趣而引发的网络恶意攻击;然后是为了读者更深刻地理解不同身份的攻击者和防御者的操作平台、操作方法和操作目的;最后是为了读者养成网络安全技术的基本构建、调试习惯,为以后可能遇到的网络安全问题提供最基本的环境支持。基本概念解释文中适当位置将出现“基本概念解释”,一般情况下是对上文中和本书主题无关,但却因为案例需要而有所涉及的理论概念整个网络安全体系庞大到难以想像,对于有一定经验的读者来说,将文中所述技术和其他相关概念联系在一起是很有裨益的,对技术层次的提升和某方面技术的全面透彻的理解尤为重要。对于刚刚接触网络安全技术的读者来说,直接的案例风格书虽然可以很方便地提高读者的操作兴趣,快速让读者获得某一领域的相关技术理解,但是未免太过于片面、单调。所以,对于新手来说,“基本概念解释”将是一个比较有用的全面的理解网络安全体系的机会,有关联的相关概念更能让新手在脑中构建完整的网络安全体系图。当然,如果是已经有深入研究的读者,阅读此书只是因为想了解其中最新的技术,大可略过这些内容。提示书中适当位置将有“提示”出现,“提示”的作用是编者对特定环境和情况的溜客安全网免责申明:本站所供资料仅供学习之冂,任何人不得将之他冂或者进行传播,否划应当自行向实际权利人承担法律责任。因本站部分资料来源于其他媒介,如存在没有标注来源或来源枟注错误导致侵犯阁下权利之处,欹请怗知,我将立即予以处理。请购买正版书藉,攴持国内网络安全。溜客和旗下换在中国双()及溜客原创资源论坛)祝您技术更上一个台阶·ⅷ·黑客web脚本攻击与防御技术核心剖析说明。例如是为了演示这个案例而进行的非常规操作,在实际情况中不建议使用这样的操作。简单来说,“提示”就是编者因为行文需要,为了避免误导读者而做的防护措施技巧和“基本概念解释”、“提示”不同,需要特别指出的是,“技巧”一般是以攻击者的角度给出的说明,这些说明一般是针对特定环境的非常有效的攻击手法。书中可能出现为了全盘需要,模拟攻击者进行攻击的时候,没有使用最好的、最灵巧的、最直接的攻击方式,而是采用了和书中相关概念深度符合的基本手法进行攻击模拟,故以“技巧”的方式补充说明。案例相关工具和程序乎台网络安全技术很多时候在明白原理之后,不用自己编写相关丁具,网络上已经有很多前人编写了适当的攻击和防御工具,所以“站在巨人的肩上”是最好的快速进步的方法书中的相关工具除了在对应的章节出现以外,还在文末有统一的附件形式速查。另外藏锋者网络也专门为本书提供了相关工具和程序平台的下载支持,读者可以浏览并下载。编者建议读者在虚拟机中搭建这样的相关环境,然后同样在虚拟机中使用相关工具进行攻击模拟和防御模拟。在线交流为了给各技术层次的读者提供及时在线的交流平台,本书和藏锋者合作提供了一个免费的在线交流平台读者可以通过登录藏锋者网站(www.cangfengzhe.com)进行技术交流。编者邮件编著过程比较仓促,难免出错,欢迎发现错误的读者与编者联系:cangfengzhe@live.cn溜客安全网
用户评论
