最新章節

• 8.3.3 設置網站訪問權限
• 8.3.2 網頁木馬后門查找工具
• 8.3.1 刪除各種腳本對象以禁止ASP木馬運行
• 8.3 對網頁木馬后門的防范和檢測
• 8.2.2 SQL數據庫的配置
• 8.2.1 Access數據庫防下載處理

• 8.3.3 設置網站訪問權限 更新時間：2019-03-01 22:14:35
• 8.3.2 網頁木馬后門查找工具
• 8.3.1 刪除各種腳本對象以禁止ASP木馬運行
• 8.3 對網頁木馬后門的防范和檢測
• 8.2.2 SQL數據庫的配置
• 8.2.1 Access數據庫防下載處理
• 8.2 數據庫的安全防護
• 8.1.2 IIS安全配置
• 8.1.1 刪除不必要的IIS組件
• 8.1 配置安全的Web服務器
• 第8章 打造安全的網站服務器
• 7.7 跨站腳本攻擊的終極防范
• 7.6.2 利用網頁快照進行特殊跨站
• 7.6.1 國內主流搜索引擎跨站
• 7.6 “搜索”，跨站攻擊最泛濫之地
• 7.5.3 Onstart事件引發的網易博客跨站
• 7.5.2 百度空間的跨站演變
• 7.5.1 不需要＜＞的跨站，標記事件屬性與跨站
• 7.5 “事件”出了漏子，主流博客空間跨站檢測
• 7.4.2 國內主流郵箱跨站漏洞一覽
• 7.4.1 由QQ郵箱看郵件跨站危害
• 7.4 郵件中不安全代碼，郵箱跨站掛馬
• 7.3.6 外部調用跨站，QQ業務索要的漏洞
• 7.3.5 鏈接未過濾，音樂列表跨站
• 7.3.4 Flash溢出跨站
• 7.3.3 Flash跳轉，跳出跨站
• 7.3.2 編碼轉換，繼續跨站
• 7.3.1 不安全的客戶端過濾
• 7.3 圈地誰為王——從Q-Zone攻擊看跨站技術的演變
• 7.2.2 時代購物系統的跨站入侵檢測
• 7.2.1 MM_validateForm未過濾，YEYI的跨站檢測
• 7.2 一句留言，毀掉一個網站
• 7.1.4 私服網站掛馬——跨站入侵檢測演示之二
• 7.1.3 Cookie的盜取——跨站入侵檢測演示之一
• 7.1.2 一個典型的動網跨站攻擊示例
• 7.1.1 有漏洞的測試網頁
• 7.1 攻擊來源于一段被寫入的代碼
• 第7章 網站成幫兇，嫁禍攻擊的跨站技術
• 6.3.2 Cookie欺騙制作的手機短信炸彈
• 6.3.1 巧刷投票，Cookie欺騙的利用
• 6.3 Cookie欺騙攻擊的多樣性
• 6.2.5 簡單用戶名的欺騙
• 6.2.4 ClassID與UserID兩個值的欺騙
• 6.2.3 修改ID的欺騙入侵
• 6.2.2 Cookie欺騙與上傳攻擊的連鎖反應
• 6.2.1 數據庫與Cookie信息的關系
• 6.2 深入Cookie信息的修改欺騙
• 6.1.3 不是管理員竟然可刪帖
• 6.1.2 進入后臺竟然如此簡單
• 6.1.1 Cookie信息中的安全隱患
• 6.1 混亂的代碼與欺騙的實例
• 第6章 入門牌的泄露與欺騙—Cookie攻擊
• 5.8.3 上傳漏洞藏不住
• 5.8.2 ccerer—不受控制的字符過濾游戲
• 5.8.1 未加權限的上傳—沁竹音樂程序上傳漏洞
• 5.8 意料之外的上傳
• 5.7.3 eWebEditor密碼與上傳漏洞的結合
• 5.7.2 無處不在的FCKeditor上傳漏洞
• 5.7.1 導致網站崩潰的FCKeditor
• 5.7 暗藏漏洞的第三方插件
• 5.6.2 文件類型過濾不嚴，phpcms文件上傳漏洞
• 5.6.1 NEATPIC相冊系統
• 5.6 %00與PHP程序的上傳漏洞
• 5.5.8 擊潰青創文章管理系統
• 5.5.7 檢測喬客Joekoe論壇上傳漏洞
• 5.5.6 檢測塵緣新聞系統上傳漏洞
• 5.5.5 檢測動網大唐美化版上傳漏洞
• 5.5.4 檢測BlogX上傳漏洞
• 5.5.3 檢測飛龍文章系統上傳漏洞
• 5.5.2 檢測天意商務網上傳漏洞
• 5.5.1 桂林老兵上傳漏洞利用程序
• 5.5 FilePath與Filename變量欺騙大檢測
• 5.4.3 00與FileName過濾漏洞
• 5.4.2 截止符00與FilePath過濾漏洞
• 5.4.1 腳本入侵探子WSockExpert與上傳攻擊
• 5.4 Windows特殊字符，截斷程序過濾
• 5.3.5 補又有漏洞的“桃源多功能留言板”
• 5.3.4 再現經典上傳，“沁竹音樂網”漏洞分析
• 5.3.3 二次上傳產生的邏輯錯誤
• 5.3.2 本地提交上傳流程分析
• 5.3.1 攻擊者“動力”——MyPower上傳攻擊測試
• 5.3 邏輯變量的怪圈，二次循環產生上傳漏洞
• 5.2.3 變換文件名的游戲
• 5.2.2 Windows命名機制與程序漏洞
• 5.2.1 加上一個點，9Cool九酷的另一個漏洞
• 5.2 空格、點與Windows命名機制產生的漏洞
• 5.1.2 別忘了stm與shtm映射
• 5.1.1 來自asp.dll映射的攻擊
• 5.1 多余映射與上傳攻擊
• 第5章 程序員的疏忽，過分信任上傳
• 4.11.7 有輸入，便有危險——一句話木馬的防范
• 4.11.6 實例4：對未知網站的檢測
• 4.11.5 實例3:“社區超市”入侵動網論壇
• 4.11.4 實例2：一句話入侵EASYNEWS
• 4.11.3 實例1：一個私服站點的湮滅
• 4.11.2 一句話木馬客戶端與服務端
• 4.11.1 “一句話”與數據庫過濾不嚴
• 4.11 由啟示引發的一句話木馬大攻擊
• 4.10.4 嚴過濾，堵住漏洞
• 4.10.3 黑手后門就是數據庫
• 4.10.2 亂改后綴的后果
• 4.10.1 方便了設計者，也便宜了攻擊者的conn.inc
• 4.10 “空白”與插馬—GBook365暴庫入侵的啟示
• 4.9.4 conn.asp搜索暴庫
• 4.9.3 帶#號的數據庫——Oblog博客系統暴庫
• 4.9.2 無法下載的ASP數據庫—BBSXP的暴庫測試
• 4.9.1 動感商城購物系統暴庫漏洞測試
• 4.9 幾個暴庫程序的分析
• 4.8.6 “on error resume next”—補上不算漏洞的漏洞
• 4.8.5 絕對路徑與相對路徑的糾纏
• 4.8.4 游戲2：奇怪的conn.asp
• 4.8.3 魔術的秘密
• 4.8.2 游戲1：變換編碼的魔術
• 4.8.1 ASP存取Access數據庫的例子
• 4.8 隱藏數據庫，暴庫即知
• 4.7.3 Robots看門，阻止搜索暴庫數據
• 4.7.2 網站數據庫，不藏就抓
• 4.7.1 漏洞站點的挖掘“雞”
• 4.7 為何攻擊者偏偏盯上你
• 4.6.4 上一個Include解決問題
• 4.6.3 Google的暴庫分析
• 4.6.2 居然能下載
• 4.6.1 很詭異的搜索試驗
• 4.6 詭異的Google，低級的錯誤
• 4.5.2 別懶，動手解決安全隱患
• 4.5.1 看看你是否在榜
• 4.5 黑名單，別上榜
• 4.4 數據庫被下載，后果很嚴重
• 4.3.3 入侵者找空子的流程
• 4.3.2 被入侵者鉆了空子
• 4.3.1 模擬一個論壇搭建流程
• 4.3 安全意識的缺乏—默認數據庫下載漏洞
• 4.2.3 攻擊與安全的核心—Access數據庫連接代碼示例
• 4.2.2 ADO對象存取數據庫
• 4.2.1 ASP與ADO對象模塊
• 4.2 了解一些數據庫連接知識
• 4.1 “暴露”易受攻擊—常見數據庫漏洞
• 第4章 未隱藏的危機—數據庫入侵
• 3.5 卡住SQL注入的關口
• 3.4.2 隱式注入中的過濾突破
• 3.4.1 修改GroupID，迅速提升權限
• 3.4 數據提交與隱式注入
• 3.3.2 char再次繞過單引號
• 3.3.1 \0與單引號的過濾
• 3.3 char字符轉換與單引號突破
• 3.2.2 差異備份獲得Webshell
• 3.2.1 表單提交與Update
• 3.2 Update注入與差異備份
• 3.1.2 /＊＊/替換空格的注入攻擊
• 3.1.1 轉換編碼，繞過程序過濾
• 3.1 一廂情愿的過濾，缺失單引號與空格的注入
• 第3章 深入SQL注入攻擊與防范
• 2.8.3 CASI自動PHP注入
• 2.8.2 讀取PHP配置文件
• 2.8.1 手工PHP注入
• 2.8 構造PHP注入攻擊
• 2.7.2 利用NBSI注入控制服務器
• 2.7.1 存儲過程快速攻擊數據庫
• 2.7 擴展存儲過程直接攻擊服務器
• 2.6.7 報出任意表名和字段名
• 2.6.6 繼續前面的“入侵”
• 2.6.5 數據記錄也“報”錯
• 2.6.4 報出MS SQL表名和字段名的實例
• 2.6.3 SQL高級查詢之Group By和Having
• 2.6.2 有趣的MS SQL出錯信息
• 2.6.1 建立MS SQL數據庫進行攻擊演示
• 2.6 為MS SQL帶來災難的高級查詢
• 2.5.5 網站是怎樣被控制的
• 2.5.4 三分鐘攻陷了一個網站
• 2.5.3 ASCII逐字解碼法猜解字段值
• 2.5.2 使用Select猜解Access表及字段名
• 2.5.1 信息很豐富的Select查詢
• 2.5 注入Access數據庫全靠猜解
• 2.4.2 未過濾的request.form造成注入
• 2.4.1 'or'='or’攻擊突破登錄驗證的演示
• 2.4 'or'='or’繞過不安全的登錄框
• 2.3.5 判斷目標數據庫類型
• 2.3.4 區分SQL注入點的類型
• 2.3.3 尋找攻擊入口
• 2.3.2 攻擊前的準備工作
• 2.3.1 網站平臺決定攻擊方式
• 2.3 SQL注入攻擊前奏
• 2.2.4 第一次SQL注入攻擊測試
• 2.2.3 搭建一個SQL注入漏洞站點
• 2.2.2 創建SQL注入檢測的數據庫平臺
• 2.2.1 一個無名小站與一條典型SQL語句
• 2.2 欺騙是如何進行的
• 2.1.4 提前了解幾條SQL注入查詢指令
• 2.1.3 SQL注入攻擊中常碰到的幾種DBMS
• 2.1.2 明白幾個SQL中要用到的名詞
• 2.1.1 數據庫就是網站的一切內容
• 2.1 SQL注入的目標是數據庫
• 第2章 SQL注入，刺入網站的核心
• 1.2.2 安全意識的缺乏
• 1.2.1 功能與安全難以兼顧
• 1.2 腳本漏洞的根源
• 1.1.2 入侵者是怎樣進入的
• 1.1.1 Web腳本攻擊概述及特點
• 1.1 危害嚴重，難于防范的Web腳本入侵攻擊
• 第1章 網站腳本入侵與防范概述
• 版權信息
• 封面

• 封面
• 版權信息
• 第1章 網站腳本入侵與防范概述
• 1.1 危害嚴重，難于防范的Web腳本入侵攻擊
• 1.1.1 Web腳本攻擊概述及特點
• 1.1.2 入侵者是怎樣進入的
• 1.2 腳本漏洞的根源
• 1.2.1 功能與安全難以兼顧
• 1.2.2 安全意識的缺乏
• 第2章 SQL注入，刺入網站的核心
• 2.1 SQL注入的目標是數據庫
• 2.1.1 數據庫就是網站的一切內容
• 2.1.2 明白幾個SQL中要用到的名詞
• 2.1.3 SQL注入攻擊中常碰到的幾種DBMS
• 2.1.4 提前了解幾條SQL注入查詢指令
• 2.2 欺騙是如何進行的
• 2.2.1 一個無名小站與一條典型SQL語句
• 2.2.2 創建SQL注入檢測的數據庫平臺
• 2.2.3 搭建一個SQL注入漏洞站點
• 2.2.4 第一次SQL注入攻擊測試
• 2.3 SQL注入攻擊前奏
• 2.3.1 網站平臺決定攻擊方式
• 2.3.2 攻擊前的準備工作
• 2.3.3 尋找攻擊入口
• 2.3.4 區分SQL注入點的類型
• 2.3.5 判斷目標數據庫類型
• 2.4 'or'='or’繞過不安全的登錄框
• 2.4.1 'or'='or’攻擊突破登錄驗證的演示
• 2.4.2 未過濾的request.form造成注入
• 2.5 注入Access數據庫全靠猜解
• 2.5.1 信息很豐富的Select查詢
• 2.5.2 使用Select猜解Access表及字段名
• 2.5.3 ASCII逐字解碼法猜解字段值
• 2.5.4 三分鐘攻陷了一個網站
• 2.5.5 網站是怎樣被控制的
• 2.6 為MS SQL帶來災難的高級查詢
• 2.6.1 建立MS SQL數據庫進行攻擊演示
• 2.6.2 有趣的MS SQL出錯信息
• 2.6.3 SQL高級查詢之Group By和Having
• 2.6.4 報出MS SQL表名和字段名的實例
• 2.6.5 數據記錄也“報”錯
• 2.6.6 繼續前面的“入侵”
• 2.6.7 報出任意表名和字段名
• 2.7 擴展存儲過程直接攻擊服務器
• 2.7.1 存儲過程快速攻擊數據庫
• 2.7.2 利用NBSI注入控制服務器
• 2.8 構造PHP注入攻擊
• 2.8.1 手工PHP注入
• 2.8.2 讀取PHP配置文件
• 2.8.3 CASI自動PHP注入
• 第3章 深入SQL注入攻擊與防范
• 3.1 一廂情愿的過濾，缺失單引號與空格的注入
• 3.1.1 轉換編碼，繞過程序過濾
• 3.1.2 /＊＊/替換空格的注入攻擊
• 3.2 Update注入與差異備份
• 3.2.1 表單提交與Update
• 3.2.2 差異備份獲得Webshell
• 3.3 char字符轉換與單引號突破
• 3.3.1 \0與單引號的過濾
• 3.3.2 char再次繞過單引號
• 3.4 數據提交與隱式注入
• 3.4.1 修改GroupID，迅速提升權限
• 3.4.2 隱式注入中的過濾突破
• 3.5 卡住SQL注入的關口
• 第4章 未隱藏的危機—數據庫入侵
• 4.1 “暴露”易受攻擊—常見數據庫漏洞
• 4.2 了解一些數據庫連接知識
• 4.2.1 ASP與ADO對象模塊
• 4.2.2 ADO對象存取數據庫
• 4.2.3 攻擊與安全的核心—Access數據庫連接代碼示例
• 4.3 安全意識的缺乏—默認數據庫下載漏洞
• 4.3.1 模擬一個論壇搭建流程
• 4.3.2 被入侵者鉆了空子
• 4.3.3 入侵者找空子的流程
• 4.4 數據庫被下載，后果很嚴重
• 4.5 黑名單，別上榜
• 4.5.1 看看你是否在榜
• 4.5.2 別懶，動手解決安全隱患
• 4.6 詭異的Google，低級的錯誤
• 4.6.1 很詭異的搜索試驗
• 4.6.2 居然能下載
• 4.6.3 Google的暴庫分析
• 4.6.4 上一個Include解決問題
• 4.7 為何攻擊者偏偏盯上你
• 4.7.1 漏洞站點的挖掘“雞”
• 4.7.2 網站數據庫，不藏就抓
• 4.7.3 Robots看門，阻止搜索暴庫數據
• 4.8 隱藏數據庫，暴庫即知
• 4.8.1 ASP存取Access數據庫的例子
• 4.8.2 游戲1：變換編碼的魔術
• 4.8.3 魔術的秘密
• 4.8.4 游戲2：奇怪的conn.asp
• 4.8.5 絕對路徑與相對路徑的糾纏
• 4.8.6 “on error resume next”—補上不算漏洞的漏洞
• 4.9 幾個暴庫程序的分析
• 4.9.1 動感商城購物系統暴庫漏洞測試
• 4.9.2 無法下載的ASP數據庫—BBSXP的暴庫測試
• 4.9.3 帶#號的數據庫——Oblog博客系統暴庫
• 4.9.4 conn.asp搜索暴庫
• 4.10 “空白”與插馬—GBook365暴庫入侵的啟示
• 4.10.1 方便了設計者，也便宜了攻擊者的conn.inc
• 4.10.2 亂改后綴的后果
• 4.10.3 黑手后門就是數據庫
• 4.10.4 嚴過濾，堵住漏洞
• 4.11 由啟示引發的一句話木馬大攻擊
• 4.11.1 “一句話”與數據庫過濾不嚴
• 4.11.2 一句話木馬客戶端與服務端
• 4.11.3 實例1：一個私服站點的湮滅
• 4.11.4 實例2：一句話入侵EASYNEWS
• 4.11.5 實例3:“社區超市”入侵動網論壇
• 4.11.6 實例4：對未知網站的檢測
• 4.11.7 有輸入，便有危險——一句話木馬的防范
• 第5章 程序員的疏忽，過分信任上傳
• 5.1 多余映射與上傳攻擊
• 5.1.1 來自asp.dll映射的攻擊
• 5.1.2 別忘了stm與shtm映射
• 5.2 空格、點與Windows命名機制產生的漏洞
• 5.2.1 加上一個點，9Cool九酷的另一個漏洞
• 5.2.2 Windows命名機制與程序漏洞
• 5.2.3 變換文件名的游戲
• 5.3 邏輯變量的怪圈，二次循環產生上傳漏洞
• 5.3.1 攻擊者“動力”——MyPower上傳攻擊測試
• 5.3.2 本地提交上傳流程分析
• 5.3.3 二次上傳產生的邏輯錯誤
• 5.3.4 再現經典上傳，“沁竹音樂網”漏洞分析
• 5.3.5 補又有漏洞的“桃源多功能留言板”
• 5.4 Windows特殊字符，截斷程序過濾
• 5.4.1 腳本入侵探子WSockExpert與上傳攻擊
• 5.4.2 截止符00與FilePath過濾漏洞
• 5.4.3 00與FileName過濾漏洞
• 5.5 FilePath與Filename變量欺騙大檢測
• 5.5.1 桂林老兵上傳漏洞利用程序
• 5.5.2 檢測天意商務網上傳漏洞
• 5.5.3 檢測飛龍文章系統上傳漏洞
• 5.5.4 檢測BlogX上傳漏洞
• 5.5.5 檢測動網大唐美化版上傳漏洞
• 5.5.6 檢測塵緣新聞系統上傳漏洞
• 5.5.7 檢測喬客Joekoe論壇上傳漏洞
• 5.5.8 擊潰青創文章管理系統
• 5.6 %00與PHP程序的上傳漏洞
• 5.6.1 NEATPIC相冊系統
• 5.6.2 文件類型過濾不嚴，phpcms文件上傳漏洞
• 5.7 暗藏漏洞的第三方插件
• 5.7.1 導致網站崩潰的FCKeditor
• 5.7.2 無處不在的FCKeditor上傳漏洞
• 5.7.3 eWebEditor密碼與上傳漏洞的結合
• 5.8 意料之外的上傳
• 5.8.1 未加權限的上傳—沁竹音樂程序上傳漏洞
• 5.8.2 ccerer—不受控制的字符過濾游戲
• 5.8.3 上傳漏洞藏不住
• 第6章 入門牌的泄露與欺騙—Cookie攻擊
• 6.1 混亂的代碼與欺騙的實例
• 6.1.1 Cookie信息中的安全隱患
• 6.1.2 進入后臺竟然如此簡單
• 6.1.3 不是管理員竟然可刪帖
• 6.2 深入Cookie信息的修改欺騙
• 6.2.1 數據庫與Cookie信息的關系
• 6.2.2 Cookie欺騙與上傳攻擊的連鎖反應
• 6.2.3 修改ID的欺騙入侵
• 6.2.4 ClassID與UserID兩個值的欺騙
• 6.2.5 簡單用戶名的欺騙
• 6.3 Cookie欺騙攻擊的多樣性
• 6.3.1 巧刷投票，Cookie欺騙的利用
• 6.3.2 Cookie欺騙制作的手機短信炸彈
• 第7章 網站成幫兇，嫁禍攻擊的跨站技術
• 7.1 攻擊來源于一段被寫入的代碼
• 7.1.1 有漏洞的測試網頁
• 7.1.2 一個典型的動網跨站攻擊示例
• 7.1.3 Cookie的盜取——跨站入侵檢測演示之一
• 7.1.4 私服網站掛馬——跨站入侵檢測演示之二
• 7.2 一句留言，毀掉一個網站
• 7.2.1 MM_validateForm未過濾，YEYI的跨站檢測
• 7.2.2 時代購物系統的跨站入侵檢測
• 7.3 圈地誰為王——從Q-Zone攻擊看跨站技術的演變
• 7.3.1 不安全的客戶端過濾
• 7.3.2 編碼轉換，繼續跨站
• 7.3.3 Flash跳轉，跳出跨站
• 7.3.4 Flash溢出跨站
• 7.3.5 鏈接未過濾，音樂列表跨站
• 7.3.6 外部調用跨站，QQ業務索要的漏洞
• 7.4 郵件中不安全代碼，郵箱跨站掛馬
• 7.4.1 由QQ郵箱看郵件跨站危害
• 7.4.2 國內主流郵箱跨站漏洞一覽
• 7.5 “事件”出了漏子，主流博客空間跨站檢測
• 7.5.1 不需要＜＞的跨站，標記事件屬性與跨站
• 7.5.2 百度空間的跨站演變
• 7.5.3 Onstart事件引發的網易博客跨站
• 7.6 “搜索”，跨站攻擊最泛濫之地
• 7.6.1 國內主流搜索引擎跨站
• 7.6.2 利用網頁快照進行特殊跨站
• 7.7 跨站腳本攻擊的終極防范
• 第8章 打造安全的網站服務器
• 8.1 配置安全的Web服務器
• 8.1.1 刪除不必要的IIS組件
• 8.1.2 IIS安全配置
• 8.2 數據庫的安全防護
• 8.2.1 Access數據庫防下載處理
• 8.2.2 SQL數據庫的配置
• 8.3 對網頁木馬后門的防范和檢測
• 8.3.1 刪除各種腳本對象以禁止ASP木馬運行
• 8.3.2 網頁木馬后門查找工具
• 8.3.3 設置網站訪問權限 更新時間：2019-03-01 22:14:35