内容提要：
　　互联网安全已经深入影响到当今社会的每一个角落，网络犯罪、网络恶意攻击几乎时时刻刻都在上演，而导致这些问题发生的最大安全隐患正来自于网络的核心 ——Web应用程序。本书以实例与理论相结合的方法，带领读者一同进入Web应用程序安全领域，让读者亲身扮演一位安全研究人员，从认识Web应用程序、理解Web结构开始，一步一步进入Web应用程序的漏洞分析以及攻击技术剖析。详细为读者叙述了各种Web应用程序攻击技术的分类以及来由，第一次为读者揭开了Web应用程序漏洞的发掘技术，同时，列举了许多真实的Web应用程序攻击案例，供读者参考。
　　本书适合所有热爱网络安全的人们，尤其是高等院校计算机专业的学生。同时，本书可作为计算机安全培训班以及学校教材和参考书籍，也为Web应用程序开发人员以及网络管理人员提供了不可多得的安全参考资料，有很高的实际利用价值。
　　本书免费提供源代码。读者可到中国水利水电出版社网站（http://www.waterpub.com.cn/Softdown/）下载。

购买联接：
http://www.toopoo.com/book/tushu/5084-6449-7.html
作者介绍：
王继刚（爱无言），邪八核心，神秘人物，没介绍，个人博客：http://hi.baidu.com/digexploit/。

本书目录：
引用:
第1章  脆弱的Web应用程序
1.1   所谓的“安全”
1.2   定义Web程序漏洞
  1.2.1 漏洞的概念
  1.2.2 漏洞的特性
  1.2.3 系统的信任等级
  1.2.4 漏洞与系统攻击之间的关系
  1.2.5 Web应用程序安全漏洞的引入
1.3   Web程序漏洞的分类
1.4   引发漏洞的始因
1.5   Web漏洞攻击的趋势
  1.5.1 蠕虫化
  1.5.2 病毒化
  1.5.3 恶意化
  1.5.4 0day化
第2章 基础知识
     2.1  Web－世界的奇迹
       2.1.1 什么是Web
       2.1.2 Web运行原理
       2.1.3 Web技术
       2.1.4 Web2.0带来的变革
     2.2   Web程序的开发
       2.2.1 服务端开发语言
       2.2.2 客户端开发语言
     2.3   Web程序运行环境
       2.3.1 常见的Web Server
       2.3.2 Web Server与服务器系统
       2.3.3 状态码
     2.4   Web程序的数据通讯
       2.4.1 HTTP\HTTPS协议
       2.4.2 Cookies的作用
       2.4.3 GET与POST数据提交
     2.5   Web程序数据加密方式
       2.5.1 MD5加密
       2.5.2 URL Encode
       2.5.3 Base64加密
第3章 搭建攻击平台
     3.1 发掘工具的准备
       3.1.1 浏览器
       3.1.2 编码工具
       3.1.3 监视工具
       3.1.4 调试工具
     3.2 虚拟机
       3.2.1 虚拟机的概念
       3.2.2 VMware的安装使用
     3.3 安装Web程序运行环境
       3.3.1 IIS环境搭建
       3.3.2 Xampp的使用
       3.3.3 Tomcat的安装
第4章 最广泛的漏洞－XSS
     4.1 初次接触XSS漏洞
       4.1.1 由来以久的XSS漏洞
       4.1.2 Stored XSS漏洞
       4.1.3 DOM-Based XSS漏洞
4.2 手工发掘XSS漏洞的方法
       4.2.1 寻找关键变量
       4.2.2 页面表单测试
       4.2.3 反馈信息观察
     4.3 XSS漏洞的利用
       4.3.1 Cookies欺骗
       4.3.2 隐蔽网页木马
       4.3.3 电子邮件中的XSS攻击
4.4无可匹敌的XSS木马
     4.5 可怕的XSS蠕虫
     4.6 飞天论坛6.0XSS漏洞发掘实例
     4.7 防范XSS漏洞
       4.7.1 过滤与加密变型
       4.7.2 客户端的防范
第5章 针对数据库的攻击－SQL注入漏洞
      5.1常见的网站数据库
      5.2 SQL语言简介
      5.3注入思想的诞生
      5.4 IIS的“友好”帮助
      5.5 发掘代码中的注入漏洞
        5.5.1 异同比较测试
        5.5.2 ASP环境
        5.5.3 PHP环境
        5.5.4 JSP环境
        5.5.5 断点调试技巧
        5.5.6 LifeType 1.06 注入漏洞发掘实例
      5.6 高级SQL注入技术
        5.6.1 可怕的UNION查询
        5.6.2 神奇的“盲注”
        5.6.3 利用MS-SQL执行系统命令
        5.6.4 数据备份引发的攻击
        5.6.5 危险的跨库查询
        5.6.6 Oracle数据库的注入攻击
      5.7  Mysql特定环境下SQL注入攻击
      5.8 出色的SQL注入利器-NBSI
      5.9 批量式注入攻击
      5.10 对SQL注入漏洞说：“NO!”
第6章 透过Web控制操作系统
      6.1 最轻便的木马程序－WebShell
        6.1.1 为什么会产生WebShell
        6.1.2 WebShell的分类
        6.1.3 B/S型WebShell
        6.1.4 剖析“海洋顶端”
6.1.5 独树一帜的XML木马
6.1.6 WebShell提权
      6.2 命令执行漏洞
        6.2.1 查找致命函数
        6.2.2 动网论坛8.0命令执行式漏洞解析
        6.2.3 防范命令执行式漏洞
第7章 引用文件带来的危害
      7.1 不当的Include函数使用
      7.2 跨取目录的方法
      7.3 远程利用文件包含式漏洞
      7.4 突破本地型文件包含式漏洞
      7.5 DedeCMS本地包含式漏洞发掘实例
      7.6 防范包含式漏洞
第8章 堪称经典的上传漏洞
      8.1 2004年的一份安全报告
      8.2 重用代码的弊端
      8.3 伪造数据包探测技术      
      8.4 脚本代码分析技术
        8.4.1 逻辑型上传漏洞
        8.4.2 过滤不严型上传漏洞
8.4.3 绕过外部数据限制
      8.5 Win2003+IIS6下的特殊利用
      8.6 切断上传“后门”
第9章 对Web程序做嗅探
      9.1 闭源程序的“敲门砖”
      9.2 尴尬的错误提示
        9.2.1 数据库出错
        9.2.2 Web程序运行错误
        9.2.3 暴库漏洞的出现
9.2.4 禁止错误提示
      9.3 Web程序版本判断
      9.4 搜索引擎的贡献
第10章 混乱的Web程序员
      10.1 全局变量带来的灾难
      10.2 貌似严密的双查询
      10.3 大小写的敏感
      10.4 代码前后不一致
      10.5 不严谨的数据信任
第11章 渗透编译型Web程序
       11.1 何谓编译型Web程序
11.2 缓冲区溢出
11.2.1 ShellCode的概念
         11.2.2 栈溢出
         11.2.3 堆溢出
         11.2.4 检测缓冲区溢出漏洞
        11.3 整数型溢出
        11.4 格式化串漏洞
         11.5 无法“停止”的错误
        11.6超越下界的漏洞
第12章 自动化漏洞发掘技术
      12.1 黑盒测试与白盒测试
        12.1.1 等价类划分法
        12.1.2边界值分析法
        12.1.3 错误推测法
        12.1.4因果图法
        12.1.5判定表驱动法
        12.1.6正交试验设计法
        12.1.7 黑盒测试的利弊
        12.1.8 白盒测试与灰盒测试
      12.2 Fuzzing的魅力
        12.3 多功能的WebFuzz
        12.4另竖旗帜的Web Vulnerability Scanner
        12.5 漏洞攻击回放
        12.6 Fuzz测试的缺陷
12.7 Fuzzer未来的发展趋势
12.7.1 智能化
12.7.2 高效化
12.7.3 准确化
12.7.4 框架化
        12.8 程序化代码审计
          12.8.1 代码审计技术
          12.8.2 实践PSA4自动化审计工具
   第13章 穿透安全防范机制
        13.1 绕过常见XSS过滤方法
        13.2 失效的防注入系统
           13.2.1 防注入系统的实现原理
           13.2.2 绕过防注入系统的方法
        13.3 万能的PHP双编码漏洞
        13.4 “＃”字符号的变型
        13.5 简陋的客户端限制
        13.6 图像识别与验证码
第14章 新起的Web程序攻击
        14.1 数据库插马
        14.2 DOS数据库
        14.3 XPath注入攻击
        14.4 JSON劫持
        14.5 Session Attack
        14.6 SQL注入型XSS攻击      
        14.7 旁敲侧击的新注入攻击

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课