freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Web安全开发实战(翻译本书首发电子版)
2018-06-19 10:21:24
所属地 河北省

微信图片_20180618124609.jpg

红日安全团队,核心成员专注于Web安全及移动安全。研究成果有安全书籍、安全课程、安全工具、外文翻译等安全领域。加入我们一起为安全圈保驾护航!

红日翻译小组作为团队英语领导着,翻译了一本Web安全开发实战。此书翻译内容有信息收集测试、配置和部署管理安全测试、身份管理测试、认证测试、授权测试、SESSION管理测试、输入漏洞验证测试、报错页面漏洞测试、若加密漏洞测试、业务逻辑安全测试、前端安全测试11个章节。作为一名安全开发人员或者是一名安全渗透测试人员必备安全书籍。

由于文章较大,就不在公众号一篇一篇分享了,特意做成了PDF文档,方便大家查看。作为一个推广的活动,大家后台回复关键字“Web安全开发”,获取下载地址,或者直接去百度云下载(链接:https://pan.baidu.com/s/1aCTgj0vQ4KHiDjvaOCNbZQ 密码:musi),欢迎大家传播给需要的小伙伴。

大家看一下书籍目录吧,过一把眼瘾。

1.      信息收集测试         4

1.1.  采用搜索引擎         4

1.1.1.        Google Hacker技巧         4

1.2.  Web服务器指纹     6

1.3.  Web服务robots.txt文件泄露       7

1.4.  Web服务枚举         8

1.5.  Web目录注释信息泄露         10

1.6.  明确Web应用程序入口点    10

1.7.  Web路径探测         12

1.8.  Web指纹信息&Web应用框架      13

2.      配置和部署管理安全测试     16

2.1.  网络/基础设施安全测试        16

2.2.  应用平台安全测试         20

2.3.  文件后缀安全测试         25

2.4.  备份文件安全测试         28

2.5.  枚举管理后台测试         30

2.6.  HTTP安全方法测试        34

2.7.  HTTP传输加密安全测试        36

2.8.  Cross Domain策略测试 38

3.      身份管理测试         40

3.1.  角色定义测试         40

3.2.  用户注册安全测试         41

3.3.  用户账户权限测试         43

3.4.  账户枚举和用户帐户猜解测试     45

4.      认证测试         51

4.1.  HTTP数据传输认证测试        51

4.2.  HTTP默认认证测试        54

4.3.  暴力破解锁定测试         58

4.4.  绕过认证协议测试         64

4.5.  记住密码功能测试         69

4.6.  浏览器内存脆弱测试     71

4.7    弱密码策略测试        76

4.7.  脆弱安全问答测试         82

4.8.  重置密码&弱密码测试 83

5.      授权测试         84

5.1.  目录遍历/文件包含测试        84

5.2.  特权升级测试         85

5.3.  不安全的直接对象引用测试         89

6.      SESSION管理测试  93

6.1.  绕过SESSION管理协议测试 93

6.2.  COOKIE会话漏洞测试   96

6.3.  SESSION固定攻击测试  97

6.4.  SESSION Token和加密测试    99

6.5.  CSRF漏洞测试        101

6.6.  用户接口安全测试         103

6.7.  SESSION超时测试  106

7.      输入漏洞验证测试         108

7.1.  反射型XSS漏洞测试      108

7.2.  存储型XSS漏洞测试      113

7.3.  HTTP头方法测试   117

7.4.  HTTP参数污染测试        117

7.5.  SQL注入测试 121

7.6.  LDAP注入测试        134

7.7.  XML注入测试         136

7.8.  Xpath注入测试       138

7.9.  代码注入测试         139

7.10命令行注入     141

8.      报错页面漏洞测试         142

8.1.  页面状态码安全测试     142

8.2.  栈区溢出漏洞测试         145

9.      弱加密漏洞测试     146

9.1.  SSL/TLS测试    146

9.2.  Padding Oracle漏洞测试        153

10.   业务逻辑安全测试         162

10.1.         业务漏洞安全测试         162

10.2.         越权认证绕过         164

10.3.         完整型安全测试     164

10.4.         超时安全测试         166

10.5.         应用程序误用错误配置测试         166

10.6.         恶意文件类型的上传测试     167

10.7.         可执行病毒文件上传测试     167

11.   前端安全测试         167

11.1.         前端安全URL跳转测试         167

11.2.         Clickjacking安全测试     170

11.3.         跨域资源共享(CORS)测试      172

11.4.         XFF安全测试  173

 

翻译小组续:

   Web安全一直都是团队关注的一个热点,此次作为翻译小组给大家翻译Web安全开发,希望可以让更多企业和学生受益。文章不仅介绍了工具如何使用,还介绍了Web常见问题点,在哪里可能会出现问题,在安全开发的时候,需要注意哪里。安全不是相对的,只有在开发人员和攻防人员不断碰撞中,安全才会变得更强。此文章为Web安全开发文章,后续小组也在打造物联网渗透测试书籍,希望可以给安全圈更好的礼物。

红日翻译小组后续任务

1.      Web安全开发二次改造

2.      翻译物联网渗透测试书籍

关于Web安全开发存在翻译或者解释上面的错误,请各位大佬欢迎指出。

12.png

# 渗透测试 # web安全 # 代码审计 # web开发
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者