[黑客大曝光：Web应用程序安全(第3版)]

书名：[黑客大曝光：Web应用程序安全(第3版)  作者：乔尔・斯坎布雷（Joel Scambray）文森特・刘（Vincent Liu）迦勒・西玛（Caleb Sima）  出版：机械工业出版社

■内容介绍

• 黑客工具与技术：详细介绍了黑客常用的足迹跟踪、扫描和剖析工具，如 Shodan、Maltego 和 OWASP Dirbuster 等，让读者了解黑客如何利用这些工具获取目标系统的信息。

• 流行平台漏洞攻击：展示了流行平台（如 Sun Java System Web Server 和 Oracle WebLogic）上的新漏洞攻击方式，帮助读者认识到不同平台存在的安全风险。

• Web 验证技术破解：阐述了攻击者如何挫败常用的 Web 验证技术，包括用户名 / 密码威胁、绕过验证等，同时介绍了一些增强验证和授权的方法。

• 会话攻击与防御：分析了实际的会话攻击如何泄露敏感数据，以及如何加固应用程序来防止会话攻击，如会话固定、令牌重放等攻击手段及防御措施。

• 注入攻击与防范：涵盖了当今黑客使用的最具毁灭性的注入攻击方法，如 SQL 注入、XSS（跨站脚本攻击）、XSRF（跨站请求伪造）、网络钓鱼和 XML 注入技术等，并讲解了相应的防范策略。

• 不同执行环境漏洞处理：指导读者寻找和修复ASP.NET、PHP 和 J2EE 执行环境中的漏洞，了解这些环境的安全特点和常见问题。

• 新兴技术安全部署：介绍了如何安全部署 XML、社交网络、云计算和 Web 2.0 服务，防御 RIA（富互联网应用）、AJAX、UGC（用户生成内容）和基于浏览器的客户端漏洞利用。

• 安全测试与规程：阐述了实现可伸缩的威胁建模、代码评审、应用扫描、模糊测试和安全测试规程，帮助读者建立有效的安全测试体系。

■作者介绍

• 乔尔・斯坎布雷（Joel Scambray）：CISSP（注册信息系统安全专家），战略安全咨询服务供应商 Consciere 的共同创始人兼 CEO。他曾在 Microsoft、Foundstone、Ernst & Young 等机构从事互联网安全评估和防御工作近 15 年，是国际知名的演说家，著有多个版本的《黑客大曝光》系列图书。

• 文森特・刘（Vincent Liu）：CISSP，Stach & Liu 的管理合伙人。他曾领导霍尼韦尔国际公司全球安全单位的攻击与渗透及逆向工程团队，担任过 Ernst & Young 高级安全中心的顾问和美国国家安全局的分析师，经常在 Black Hat、Toorcon 和 Microsoft Blue Hat 等业界会议上发表演说。

• 迦勒・西玛（Caleb Sima）：Armorize Technologies 的 CEO，该公司提供集成 Web 应用安全解决方案。他创立了 Web 安全技术公司 SPI Dynamics，也是 Internet Security Systems/IBM 精锐的 X-Force 团队的早期创新者，经常出席 RSA 和 Black Hat 等重要安全业界会议。