类似推荐
编辑推荐
《网络安全法15章》:理论篇、技术篇、实践篇,涵盖法规、测试方法、案例总结。
内容简介
本书有15个章节,包括理论篇、技术篇和实践篇。理论篇主要介绍网络安全法律法规、业务安全思考、业务安全测试方法论。技术篇主要介绍登录认证模块测试、业务办理模块测试、业务授权访问模块测试、输入输出模块测试、回退模块测试、验证码机制测试、业务数据安全测试、业务流程乱序测试、密码找回模块测试、业务接口模块调用测试等内容。实践篇主要针对技术篇幅中的测试方法进行相关典型案例的总结,包括账号安全案例总结、密码找回案例总结、越权访问案例、OAuth 2.0案例总结、在线支付安全案例总结。
章节目录
封面
版权页
前言
致谢
目录
理论篇
第1章 网络安全法律法规
第2章 业务安全引发的思考
2.1 行业安全问题的思考
2.2 如何更好地学习业务安全
第3章 业务安全测试理论
3.1 业务安全测试概述
3.2 业务安全测试模型
3.3 业务安全测试流程
3.4 业务安全测试参考标准
3.5 业务安全测试要点
技术篇
第4章 登录认证模块测试
4.1 暴力破解测试
4.1.1 测试原理和方法
4.1.2 测试过程
4.1.3 修复建议
4.2 本地加密传输测试
4.2.1 测试原理和方法
4.2.2 测试过程
4.2.3 修复建议
4.3 Session测试
4.3.1 Session会话固定测试
4.3.2 Seesion会话注销测试
4.3.3 Seesion会话超时时间测试
4.4 Cookie仿冒测试
4.4.1 测试原理和方法
4.4.2 测试过程
4.4.3 修复建议
4.5 密文比对认证测试
4.5.1 测试原理和方法
4.5.2 测试过程
4.5.3 修复建议
4.6 登录失败信息测试
4.6.1 测试原理和方法
4.6.2 测试过程
4.6.3 修复建议
第5章 业务办理模块测试
5.1 订单ID篡改测试
5.1.1 测试原理和方法
5.1.2 测试过程
5.1.3 修复建议
5.2 手机号码篡改测试
5.2.1 测试原理和方法
5.2.2 测试过程
5.2.3 修复建议
5.3 用户ID篡改测试
5.3.1 测试原理和方法
5.3.2 测试过程
5.3.3 修复建议
5.4 邮箱和用户篡改测试
5.4.1 测试原理和方法
5.4.2 测试过程
5.4.3 修复建议
5.5 商品编号篡改测试
5.5.1 测试原理和方法
5.5.2 测试过程
5.5.3 修复建议
5.6 竞争条件测试
5.6.1 测试原理和方法
5.6.2 测试过程
5.6.3 修复建议
第6章 业务授权访问模块
6.1 非授权访问测试
6.1.1 测试原理和方法
6.1.2 测试过程
6.1.3 修复建议
6.2 越权测试
6.2.1 测试原理和方法
6.2.2 测试过程
6.2.3 修复建议
第7章 输入/输出模块测试
7.1 SQL注入测试
7.1.1 测试原理和方法
7.1.2 测试过程
7.1.3 修复建议
7.2 XSS测试
7.2.1 测试原理和方法
7.2.2 测试过程
7.2.3 修复建议
7.3 命令执行测试
7.3.1 测试原理和方法
7.3.2 测试过程
7.3.3 修复建议
第8章 回退模块测试
8.1 回退测试
8.1.1 测试原理和方法
8.1.2 测试过程
8.1.3 修复建议
第9章 验证码机制测试
9.1 验证码暴力破解测试
9.1.1 测试原理和方法
9.1.2 测试过程
9.1.3 修复建议
9.2 验证码重复使用测试
9.2.1 测试原理和方法
9.2.2 测试过程
9.2.3 修复建议
9.3 验证码客户端回显测试
9.3.1 测试原理和方法
9.3.2 测试过程
9.3.3 修复建议
9.4 验证码绕过测试
9.4.1 测试原理和方法
9.4.2 测试过程
9.4.3 修复建议
9.5 验证码自动识别测试
9.5.1 测试原理和方法
9.5.2 测试过程
9.5.3 修复建议
第10章 业务数据安全测试
10.1 商品支付金额篡改测试
10.1.1 测试原理和方法
10.1.2 测试过程
10.1.3 修复建议
10.2 商品订购数量篡改测试
10.2.1 测试原理和方法
10.2.2 测试过程
10.2.3 修复建议
10.3 前端JS限制绕过测试
10.3.1 测试原理和方法
10.3.2 测试过程
10.3.3 修复建议
10.4 请求重放测试
10.4.1 测试原理和方法
10.4.2 测试过程
10.4.3 修复建议
10.5 业务上限测试
10.5.1 测试原理和方法
10.5.2 测试过程
10.5.3 修复建议
第11章 业务流程乱序测试
11.1 业务流程绕过测试
11.1.1 测试原理和方法
11.1.2 测试过程
11.1.3 修复建议
第12章 密码找回模块测试
12.1 验证码客户端回显测试
12.1.1 测试原理和方法
12.1.2 测试流程
12.1.3 修复建议
12.2 验证码暴力破解测试
12.2.1 测试原理和方法
12.2.2 测试流程
12.2.3 修复建议
12.3 接口参数账号修改测试
12.3.1 测试原理和方法
12.3.2 测试流程
12.3.3 修复建议
12.4 Response状态值修改测试
12.4.1 测试原理和方法
12.4.2 测试流程
12.4.3 修复建议
12.5 Session覆盖测试
12.5.1 测试原理和方法
12.5.2 测试流程
12.5.3 修复建议
12.6 弱Token设计缺陷测试
12.6.1 测试原理和方法
12.6.2 测试流程
12.6.3 修复建议
12.7 密码找回流程绕过测试
12.7.1 测试原理和方法
12.7.2 测试流程
12.7.3 修复建议
第13章 业务接口调用模块测试
13.1 接口调用重放测试
13.1.1 测试原理和方法
13.1.2 测试过程
13.1.3 修复建议
13.2 接口调用遍历测试
13.2.1 测试原理和方法
13.2.2 测试过程
13.2.3 修复建议
13.3 接口调用参数篡改测试
13.3.1 测试原理和方法
13.3.2 测试过程
13.3.3 修复建议
13.4 接口未授权访问/调用测试
13.4.1 测试原理和方法
13.4.2 测试过程
13.4.3 修复建议
13.5 Callback自定义测试
13.5.1 测试原理和方法
13.5.2 测试过程
13.5.3 修复建议
13.6 WebService测试
13.6.1 测试原理和方法
13.6.2 测试过程
13.6.3 修复建议
实践篇
第14章 账号安全案例总结
14.1 账号安全归纳
14.2 账号安全相关案例
14.1.1 账号密码直接暴露在互联网上
14.1.2 无限制登录任意账号
14.1.3 电子邮件账号泄露事件
14.1.4 中间人攻击
14.1.5 撞库攻击
14.3 防范账号泄露的相关手段
第15章 密码找回安全案例总结
15.1 密码找回凭证可被暴力破解
15.1.1 某社交软件任意密码修改案例
15.2 密码找回凭证直接返回给客户端
15.2.1 密码找回凭证暴露在请求链接中
15.2.2 加密验证字符串返回给客户端
15.2.3 网页源代码中隐藏着密保答案
15.2.4 短信验证码返回给客户端
15.3 密码重置链接存在弱Token
15.3.1 使用时间戳的md5作为密码重置Token
15.3.2 使用服务器时间作为密码重置Token
15.4 密码重置凭证与用户账户关联不严
15.4.1 使用短信验证码找回密码
15.4.2 使用邮箱Token找回密码
15.5 重新绑定用户手机或邮箱
15.5.1 重新绑定用户手机
15.5.2 重新绑定用户邮箱
15.6 服务端验证逻辑缺陷
15.6.1 删除参数绕过验证
15.6.2 邮箱地址可被操控
15.6.3 身份验证步骤可被绕过
15.7 在本地验证服务端的返回信息——修改返回包绕过验证
15.8 注册覆盖——已存在用户可被重复注册
15.9 Session覆盖——某电商网站可通过Session覆盖方式重置他人密码
15.10 防范密码找回漏洞的相关手段
第16章 越权访问安全案例总结
16.1 平行越权
16.1.1 某高校教务系统用户可越权查看其他用户个人信息
16.1.2 某电商网站用户可越权查看或修改其他用户信息
16.1.3 某手机APP普通用户可越权查看其他用户个人信息
16.2 纵向越权
16.2.1 某办公系统普通用户权限越权提升为系统权限
16.2.2 某中学网站管理后台可越权添加管理员账号
16.2.3 某智能机顶盒低权限用户可越权修改超级管理员配置信息
16.2.4 某Web防火墙通过修改用户对应菜单类别可提升权限
16.3 防范越权访问漏洞的相关手段
第17章 OAuth 2.0安全案例总结
17.1 OAuth2.0认证原理
17.2 OAuth2.0漏洞总结
17.2.1 某社交网站CSRF漏洞导致绑定劫持
17.2.2 某社区劫持授权
17.3 防范OAuth2.0漏洞的相关手段
第18章 在线支付安全案例总结
18.1 某快餐连锁店官网订单金额篡改
18.2 某网上商城订单数量篡改
18.3 某服务器供应商平台订单请求重放测试
18.4 某培训机构官网订单其他参数干扰测试
18.5 防范在线支付漏洞的相关手段
Web攻防之业务安全实战指南是2018年由电子工业出版社出版,作者陈晓光。
得书感谢您对《Web攻防之业务安全实战指南》关注和支持,如本书内容有不良信息或侵权等情形的,请联系本网站。
