[网络安全专家·网络安全专家：网络入侵网页攻防]德瑞工作室.pdf

[General Information] 书名=黑客入侵网页攻防修炼 作者=德瑞工作室著 页数=298 SS号 出版日期=2008.6 前言 目录 第1章 PHP网页的安全性 1.1 什么是安全性 1.1.1 黑客攻击的方式 1.1.2 PHP网页的安全性问题 1.2 RegisterGlobals 1.3 安全模式 1.3.1 限制文件的存取 1.3.2 限制环境变量的存取 1.3.3 限制外部程序的执行 1.4 MagicQuotes 1.4.1 使用MagicQuotes的好处 1.4.2 使用MagicQuotes的坏处 1.4.3 取消MagicQuotes功能 1.5 修改PHP的设定值 1.5.1 在php.ini文件中修改设定值 1.5.2 在httpd.conf文件中修改设定值 1.5.3 在.htaccess文件中修改设定值 1.5.4 在程序中修改设定值 第2章 Command Injection-命令注入攻击 2.1 PHP的命令执行函数 2.1.1 System函数 2.1.2 Exec函数 2.1.3 passthru函数 2.1.4 shellexec函数 2.1.5 运算符 2.2 命令注入攻击 2.2.1 攻击实例一 2.2.2 攻击实例二 2.2.3 攻击实例三 2.2.4 命令注入的方式 2.3 eval注入攻击 2.3.1 攻击没有作用 2.3.2 可变变量 2.3.3 prereplace函数 2.3.4 ace函数 2.3.5 动态函数 2.3.6 calluserfiunc函数 2.4 防范的方法 2.4.1 使用escapeshellarg函数来处理命令的参数 2.4.2 使用safemodeexecdir指定的可执行文件的路径 第3章 ScriptInsertion-客户端脚本植入攻击 3.1 客户端脚本植入攻击 3.2 攻击实例：在留言板中插入脚本 3.2.1 开始攻击：显示简单的对话框 3.2.2 没有显示对话框 3.2.3 打开InternetExplorer的活动脚本功能 3.2.4 关闭PHP的magic_quotes_gpc 3.2.5 利用数据库来攻击 3.2.6 本章的数据库 3.2.7 浏览植入脚本的留言 3.2.8 破坏性的攻击手法：显示无穷尽的新窗口 3.2.9 引诱性的攻击手法：跳转网址 3.3 防范的方法 3.3.1 HTML输出过滤 3.3.2 使用stip_tags函数来进行HTML输出过滤 3.3.3 stip_tags函数的缺点 3.3.4 使用htmlspecialchars函数来进行HTML输 出过滤 第4章 XSS-跨网站脚本攻击 4.1 什么是“跨网站脚本攻击” 4.2 跨网站脚本攻击