精华内容
下载资源
问答
  • 《黑客攻防技术宝典.Web实战篇(第 2版)》是探索和研究Web 应用程序安全漏洞的实践指南。作者利用大量的实际案例和示例代码,详细介绍了各类Web 应用程序的弱点,并深入阐述了如何针对Web 应用程序进行具体的渗透...

    黑客攻防技术宝典:Web实战篇(第2版)(epub+azw3+mobi+pdf+txt+word)
     

    《黑客攻防技术宝典.Web实战篇(第 2版)》是探索和研究Web 应用程序安全漏洞的实践指南。作者利用大量的实际案例和示例代码,详细介绍了各类Web 应用程序的弱点,并深入阐述了如何针对Web 应用程序进行具体的渗透测试。本书从介绍当前Web 应用程序安全概况开始,重点讨论渗透测试时使用的详细步骤和技巧,总结书中涵盖的主题。每章后还附有习题,便于读者巩固所学内容。

    第 2 版新增了Web 应用程序安全领域近年来的发展变化新情况,并以尝试访问的链接形式提供了几百个互动式“漏洞实验室”,便于读者迅速掌握各种攻防知识与技能。

    《黑客攻防技术宝典.Web实战篇(第 2版)》适合各层次计算机安全人士和Web 开发与管理领域的技术人员阅读。

    网盘地址:https://pan.baidu.com/s/1q71QjDYq3i4SW--VhOLy2Q

    展开全文
  • 黑客攻防技术宝典:第2版.Web实战篇 (英)斯图塔德(Stuttard, D.) (英)平托(Pinto, M.)著 石华耀,傅志红译
  • 很好的书,资源质量很高,带完整书签,黑客攻防技术宝典 Web实战篇(第2版)-高清带书签。
  • 《黑客攻防技术宝典Web实战篇(第2版)》.Dafydd.Stuttard.
  • 那个积分设置在哪,现在是默认5个积分了吗?分享开心不开心,适合入门级,因为本人就是刚刚入门,感觉书挺不错的;
  • 本书是一本很实用的书籍,也是一本经典书籍,你可以通过本书学习一些web安全方面的知识
  • 随之而来的也有安全威胁。 1.1.1 Web应用程序的常见功能 一些常见功能,不再列举。 1.1.2 Web应用程序的优点 Http是万维网核心协议,轻量级,无需连接。 每个Web用户在计算机或者其它设备上安装了浏览器。 ...

    1.1 Web应用程序的发展历程

    早期万维网仅由站点组成,显示的是静态文档的信息库。

    如今大多数站点是应用程序,服务器与浏览器之间双向信息传递。

    随之而来的也有安全威胁。

    1.1.1 Web应用程序的常见功能

    一些常见功能,不再列举。

    1.1.2 Web应用程序的优点

    Http是万维网核心协议,轻量级,无需连接。

    每个Web用户在计算机或者其它设备上安装了浏览器。

    浏览器内容丰富且强大。

    核心技术,开发语言简单。

    1.2 Web应用程序安全

    1.2.1 “本站点是安全的”

    1、站点声称自己安全,实际上没有那么安全。虽然SSL广泛运用,定期PCI扫描。

    2、2007年-2011年间测试的常见漏洞

    ①不完善的身份验证措施(63%)

    ②不完善的访问控制措施(71%)

    ③SQL注入(32%)

    ④跨站点脚本(94%)

    ⑤信息泄露(78%)

    ⑥跨站点请求伪造(92%)

    3、SSL(安全套接层):为网络通信提供安全及数据完整性的一种安全协议,优势在于独立于应用层,在应用层通信之前就已经完成加密算法。采用公开秘钥技术。

    4、虽然SSL保证传输数据的机密性,处理Web服务器的安全性,但不能抵御某个应用程序的服务器或客户端组件的攻击。

    1.2.2 核心安全问题:用户可提交任意输入

    1、主要讲述客户端用户输入的不确定性,从而导致后来的多种安全问题。

    2、SSL无法阻止攻击者向服务器提交专门设计的输入,即只是保证数据传输保密,而不保证数据本身是否合法、安全。

    1.2.3 关键问题因素

    1、不成熟的安全意识:安全人员虽然知识渊博但核心知识不甚了解。

    2、独立开发:自己员工开发,若需使用第三方,在其基础上自定义拼接,独有缺陷暴露。

    3、欺骗性的简化:大量使用潜在风险的框架,会存在漏洞。

    4、迅速发展的威胁形势:道高一尺魔高一丈。

    5、资源与时间限制:时间资源有限,忽视不明显安全问题。

    6、技术上强其所难:技术难以满足需求,但还是沿用原来技术满足新需求。

    7、对功能的需求不断增强:需求功能多,潜在安全问题多(言多必失)。

    1.2.4 新的安全边界

    1、现在应用程序第三方小部件出现,服务器端安全边界常常会跨越组织本身的边界。

    2、用户访问一个易受攻击的应用程序所面临的威胁。

    1.2.5 Web应用程序安全的未来

    1、Web应用程序仍然充满漏洞且动态变化。

    2、攻击目标已由传统的服务器端应用程序转向用户应用程序。

    3、Web2.0:基于1.0基础上由用户主导,增强交互性,由每一位用户参与创造的平台。

    1.3 小结

    1、万维网由静态到动态的转换。

    2、用户的任意输入、用户与应用程序的交互都是不确定的,都存在潜在威胁。

    展开全文
  • web应用程序采用的防御机制由一下几个核心因素组成: * 处理 用户访问应用程序的数据和功能,防止用户获得未授权访问 *处理 用户对应用程序功能的输入 防止错误输入造成不良行为。 *防范攻击者,确保程序受攻击时...

    我们节省时间就从  “核心防御机制”  开始说起:

    web应用程序采用的  防御机制   由一下几个核心因素组成:

    * 处理 用户访问应用程序的数据和功能,防止用户获得未授权访问

    *处理 用户对应用程序功能的输入  防止错误输入造成不良行为。

    *防范攻击者,确保程序受攻击时也能正常运转,并采取适当的防御和攻击回应攻击者

    *管理应用程序本身,帮助管理员监控其行为,配置其功能

     

     

    2.1处理用户访问:

    1、任何程序都必须满足 处理用户访问他的数据和功能。

    2、用户分三类:匿名用户、正常通过验证的用户、管理员。 

    3、web应用程序使用三层相互关联的   安全机制    处理用户访问:

    *身份验证           *会话管理           *访问控制

     

    2.11 身份验证

    1、验证用户是指确定用户真实身份。 若不采用应用程序会把所有用户当做匿名用户

    2、身份验证机制存在大量缺陷:  攻击者确定某人的用户名,进而推测出他们的密码  、 利用逻辑缺陷避开登录功能

     

    2.12 会话管理(以我的理解叫相当与session)

    处理用户访问(处理登录等功能)的下一项逻辑任务是通过验证用户的会话。

    成功登录之后,用户会访问各种页面于功能。从浏览器提出一系列HTTP请求。与此同时,应用程序还会时候偶到各类用户发出的请求。为了实施有效地访问控制,应用程序要识别每一名用户提交的各种请求。

    为了满足这些要求,几乎所有web应用都会为每位用户建立一个会话(一组保存在服务器上的数据结构),并向用户发布一个识别会话的令牌(session ID)。会话用于追踪用户与应用程序的交互状态。session把id号存在cookie中如果用户在一段时间内没有发送请求cookie销毁session Id 找不到,会话自动销毁。

    针对会话的攻击:  会话机制有效性基本取决于令牌的安全性。    攻击者攻破其他用户令牌,然后伪装成被攻破的用户,此时就可以伪装成通过验证的用户做一些列操作。  漏洞的来源:令牌生成过程中存在的缺陷,这个缺陷能让攻击者推测出发给其他用户的令牌;根据这个缺陷截获其他用户的令牌。详细攻击请看:https://blog.csdn.net/blood_pupil/article/details/89202326

     

     

    2.1.3  访问控制

    处理用户访问的最后一个逻辑步骤是做出正确决策(决定允许或拒绝每一个请求)。若之前的机制正常运行,应用程序就可收到一个个请求来最终确定用户身份。在这个基础之上,应用程序需要决定是否授权用户执行请求的操作或访问数据。

    访问控制机制要根据不同领域的特点,针对不同身份的登陆者给予权限。

    典型的访问控制很复杂,因此这种机制存在大量安全漏洞,是的攻击者能对应用程序的数据和功能进行未授权访问。探查这些漏洞:对每一项功能重复进行相同检查,很费力(第八章讲访问控制测试)

     

    2.2处理用户输入

    攻击者会针对输入和提交进行不同的攻击,所以用户输入都不可信。因此,能够安全输入是对应用程序安全防御的一个关键要求。

      2.2.1输入的多样性

    在许多情况下,应用程序会对特殊的输入实行非常严格的检查,例如:登录功能提交的用户名智能包含字母且最大长度8个字符。   

    在其他情况下,应用程序必须接受广泛的输入。例如:提交给个人信页面的  地址字段  可合法包含字母,数字,空格,连字符,撇号等其他字符。但仍可以对这个字段实施有效限制(限制长度,不得包含任何HTML标记)。

    有些时候需要接受任意输入:比如有些写关于安全的博客,看似危险但是不能拒绝该输入

     

    2.2.2输入处理方法

    1、"拒绝已知的不良输入":设置黑名单(其中包括在空集中使用的一直的字符串或者模式)拒绝黑名单匹配数据,接受其他数据。

    这种方法是确认用户输入效率最低的方式。两方面原因:1、攻击者可以通过一系列输入对典型Web应用程序中存在的漏洞加以利用,这种输入可通过各种方式进行编码或者表现为不同的形式。2、黑名单无法防止更多新型的攻击模式。                                解决方案

    *****:比如 如果SELECT被阻止,尝试SeLeCt      ;      如果or 1 = 1  --被阻止,且尝试 or 2=2--;

    *********在其他情况下,通过表达式之间使用非标准字符应用程序执行的令牌,可以避开旨在阻止特定关键字的过滤。例如:SELECT/*foo*/username,password/*foo*/FROM/*foo*/users          <img%09οnerrοr=alert(1) src=a>

    *********最后,各种基于黑名单的过滤,特别是那些有web应用程序防火墙执行的过滤,都容易收到空字节攻击。由于托管和非托情况下处理字符串的方式各不相同,在阻止表达式之前任意位置插入"空格",过滤器停止处理。(18张介绍各种攻击Web应用程序防火墙的其他技巧)

    2、"接受已知的正常输入":使用白名单(接受与白名单匹配的数据,拒绝其他数据)

    这种方法是处理潜在恶意输入最有效的方式。然而在有些时候,应用程序必须接受并不满足任何已知"正常"标准的数据,并进行处理例如:有些人的姓名中包含撇号和连字符的情况,这些数据可用于对数据库发动攻击。所以白名单不是万能的方法。

    3、净化:需要接受无法保证其安全的数据,然后对其中可能存在的恶意字符删除留下安全字符,或者在进一步处理之前进行适当的编码“转义”

    基于数据净化的方法一般是非常有效地,许多情况下可作为处理恶意输入问题的通用解决办法。然而,如果需要在一个输入项中容纳集中可能的恶意数据,这是就很难进行进化,这时最好采用边界确认方法

    4、安全数据处理:不需要确认输入本身,只需确保处理过程绝对安全,即可避免漏洞。有时可使用安全的编程方法避免常见的问题。例如:在数据库访问过程中正确使用参数化查询就可以避免SQL注入攻击。

    这种方法不适于Web程序要执行的每个任务。

    5、语法检查

    2.23 边界确认(我认为就是一次输入就是一道坎)

    边界确认,是一种更加有效地模型。这个模型之中会把每个 web应用程序或者逻辑单元的输入,当做来自潜在恶意来源的输入对待。出了下述客户端和服务器之间的信任边界外,还要在每个可以输入数据的web应用程序或者逻辑单元执行数据确认。因为在不同的处理阶段执行不同的确认检查,他们之间不可能发生冲突。

    用户提交的数据不可信是造成Web应用程序核心安全问题的主要原因。即使经过输入确认检查,提高了性能和用户体验,但不能为到达服务器的数据的安全有任何的保证。

    服务器应用程序第一次收到用户数据的地方是一个重要的信任边界(服务器端就收的第一个程序,这是个边界,经过这个程序之后的数据,也就是经过这个信任边界之后的数据都是可信任的),应用程序需要在此采取措施防御恶意输入。

    具体操作是,在因特网("不良"且不可信)传递出来的数据经过"净化"后转为“洁净”的数据交给服务器端应用程序(“正常”且可信任)。这个过程之后的数据就是可信的数据。

     

     

     

     

     

     

     

     

     

    展开全文
  • [黑客攻防技术宝典Web实战篇].Dafydd.Stuttard.第2版.无水印.pdf.zip
  • (2)这种方法仅在包含诊断功能的Web服务器为源Web服务器的父域或子域,且对会话cookie进行了相应地审查时有效,否则cookie将不会被提交到诊断服务器。将需要为诊断服务器实施后端机制,以确认随源服务器一起提交的...

    5.1 通过客户端传送数据

    5.1.1 隐藏表单字段

    1、通过对表单中的数据隐藏,暗中更改数值,造成恶意攻击。

     

    5.1.2 HTTP cookie

    1、HTTPcookie是通过客户端传送数据的另一种常用机制,和隐藏表单类似,

    上图是请求头,如果服务器端信任DiscountAgreed的值,那么客户就可以得到优惠折扣。

    5.1.3 URL参数

    1、应用程序常常使用预先定义的URL参数通过客户端传送数据,例如用户浏览商品目录时,应用程序会向他们提供如下URL超链接。

     

    5.1.4 Referer消息头

    1、浏览器大多数HTTP请求使用Referer消息头,利用这个消息头提出当前请求的页面的URL,或点击超链接,或提交表单,或该页面引用其他资源。可利用此消息头传送数据。

     

    5.1.5 模糊数据

    1、表单可能会对重要数据进行隐藏加密或者模糊化处理,例如上例中对商品的单价MD5加密。

     

     

    5.1.6 ASP.NET ViewState

    1、ASP.NET ViewState是一种通过客户端传送模糊数据的常用机制。

    2、客户端和服务器还可以约定一种机制,使得客户端只传送相应数据的代号即可,服务器端就可以知道代表数据。例如,下拉列表,客户端只需传送相应索引,服务器端查询即可。

    5.2 收集用户数据:HTML表单

    5.2.1 长度限制

    1、利用input标签中的maxLength属性限制用户输入的字符数。但攻击者也可以通过拦截工具更改数值,且删除maxLength属性。

     

    5.2.2 基于脚本的确认

    1、在用户注册或者登录时候,可以通过JS脚本语言对其输入合法性进行确认。

     

    5.2.3 禁用的元素

    1、通过disabled=true的属性,对一些值进行禁用,减少攻击。但禁用之后,抓包工具无法获取别禁用属性input值,后端PHP也获取不到。

     

    5.3 收集用户数据:浏览器扩展

    5.3.1 常见的浏览器扩展技术

    1、常见的浏览器扩展技术包括:Java applet、Flash、Silverlight。

    2、Java applet:在Java虚拟机JVM中运行,并采用由Java安全策略应用的沙盒。

    3、Flash:Flash对象在Flash虚拟机中运行,也在主机沙盒上运行。

    4、Silverlight:微软开发的与Flash类似的产品,主要用于启动各种桌面应用程序,允许Web应用程序在浏览器内的沙盒环境中提供精简的.NET体验。

    5.3.2 攻击浏览器扩展的方法

    1、可以拦截并修改浏览器扩展组件提出的请求及服务器的响应。

    2、可以直接针对组件实施攻击,并尝试反编译它的字节码,以查看其源代码。或者使用调试器与组件进行动态交互。

    5.3.3 拦截浏览器扩展的流量

    1、先打开浏览器拦截代理服务器,然后使用浏览器扩展加载客户端组件,这时组件提出的请求经过拦截器,可以通过拦截器对其尽心修改及查询功能。

    2、处理扩展组件遇到的障碍

    ①处理序列化数据:Java applet序列化、Flash序列化、Silverlight序列化。

    ②拦截服务器扩展流量时遇到的障碍

    5.3.4 反编译浏览器扩展

    1、对浏览器扩展组件实施攻击时,最彻底的方法就是反编译对象、对源码进行全面分析、修改源代码以及改编对象的行为,然后重新编译源代码。

    2、步骤:

    ①下载字节码:一般从HTML源代码中指定的URL加载到单独的文件中。

    ②反编译字节码

    ③分析源代码

    ④字节码模糊化处理:由于攻击者可以反编译字节码以恢复其源代码,所以需要模糊化。(模糊化处理技巧:A、用没有意义的字符代表有意义的类表方法名等,B、一些模糊化处理工具用new等关键字代替项目名称。后面不再列举….)。

    ⑤Java applet:可用示例

    大致意思:先下载applet字节码,类似一个class的文件。然后把它反编译,分析源码,之后修改其中的doCheck方法,此方法的作用是取消输入确认(使得输入任意值都有效)。然后根据前面拦截的obfpad属性值和任意数字传入doCheck方法中。最后增加一个main方法,把doCheck方法返回的值打印出来,在拦截器中更改这个值,就可以获得服务器的确认了,即成功修改了值,实现攻击。

    5.3.5 附加调试器

    1、由于代码量较多,需要借助调试工具,通过反编译获得源码运用附加调试器在适当位置设置断点,观察执行过程。

    5.3.6 本地客户端组件

    1、一些应用程序需要在用户的计算及执行基于浏览器VM沙盒内无法执行的操作,

    这些操作需要使用本地代码组件。

    5.4 安全处理客户端数据

    5.4.1 通过客户端传送数据

    1、许多应用程序之所以存在缺陷,是因为他们通过客户端以危险的方式传送重要数据,所以,要尽量避免通过客户端传送重要数据。

    2、如果避免不了,应当对数据进行签名或加密处理来防止用户篡改。采取这种措施还可以避免:重传攻击、密码攻击。

    5.4.2 确认客户端生成的数据

    1、客户端无法安全确认由客户端生成并且向服务区传送的数据。确认客户端生成数据的唯一安全方法是在应用程序的服务器端实施保护。

    5.4.3 日志与警报

    1、应用程序将异常记录到日志,适当情况下发出警报。

    5.5 小结

    1、所有客户端组件以及其中发生的处理都不值得信任。

    5.6 问题

    1、通过客户端传送的数据如何阻止破坏性攻击?

    答:可以使用保存在服务器上的密钥对数据进行加密或散列处理,就像选择性地使用ASP.NET ViewState一样。除非攻击者以某种方式获得密钥,否则他们将无法加密任意数据,或计算出任意数据的有效散列。但是,攻击者仍然能够将一种情形中的数据用于另一种情形——例如,可以用廉价商品的加密价格替代昂贵商品的加密价格。为防止这种攻击,应用程序应在受保护的数据中包含足够的上下文信息,以便于确认所采用的数据源自同一情形——例如,可以将产品代码和价格组合在一个加密对象中。

     

    2、应用程序开发者希望阻止攻击者对登录功能发动蛮力攻击。由于攻击者可能以多个用户名为目标,开发者决定将登录尝试失败次数保存在一个加密cookie中,阻止任何失败次数超过5次的请求。有什么办法能够避开这种防御?

    答:这种防御很容易突破。攻击者不需要提交跟踪登录尝试失败次数的cookie。他们可以在浏览器中禁用cookie,或使用自动化脚本不通过相关cookie提交请求。

    其他防御措施包括使用CAPTCHA控件暂时阻止攻击者,或在登录失败次数达到五次后阻止源IP地址,但是,这样做可能会对使用代理或NAT防火墙的多个用户造成负面影响。

     

    3、某应用程序包含一个执行严格访问控件的管理页面。该页面上有一个连接到另一台Web服务器的诊断功能链接。只有管理员才能够访问这些功能。不执行另一种验证机制,下列哪一种(如果有)客户端机制可用于为诊断功能提供安全的访问控件?要选择一个解决方案,是否还需要了解其他信息?

    (1)诊断功能能够检查HTTP Referer消息头,证实请求由主管理页面提交。

    (2)诊断功能能够验证收到的cookie,证实其中包含访问主应用程序所需的有效会话令牌。

    (3)主应用程序可在请求的一个隐藏字段中设置一个身份验证令牌。诊断功能能够确认这一点,证实用户在主应用程序中有一个会话。

    答:(1)攻击者可以将Referer消息头设置为任意值,因此它不是执行任何访问控制检查的安全方法。

    (2)这种方法仅在包含诊断功能的Web服务器为源Web服务器的父域或子域,且对会话cookie进行了相应地审查时有效,否则cookie将不会被提交到诊断服务器。将需要为诊断服务器实施后端机制,以确认随源服务器一起提交的令牌。

    (3)无论诊断服务器的域名是什么,这种方法都有效。只要身份验证令牌不可预测,并且以安全方式传输(请参阅第7章),这种方法就是安全的。此外,还需要实施用于验证令牌的后端机制。

     

    4、如果一个表单字段的属性为disabled=true,那么它就不会和表单的其他内容一起提交。如何才能改变这种情况呢?

    答:有两种基本的方法:

    (1)可以拦截提交表单的请求,并添加被禁用的参数。

    (2)可以拦截包含表单的响应,并删除disabled=true属性。

     

    5、应用程序可采取什么方法确保客户端执行了输入确认?

    答:应用程序没有办法可以确保客户端执行了输入确认。在客户端上执行的各种操作完全由用户控制。

    展开全文
  • 今天想了解一下书中介绍的Samy蠕虫病毒。 这是一个在24小时内感染了100多万MySpace用户的病毒,传播速度很快。 这是从网上找来的XSS Samy源代码。 &...div id=mycode style=&...BACKGROUND: url('java script:...
  • 黑客攻防技术宝典 Web实战篇(最新版).zip
  • 黑客攻防技术宝典-web实战篇 从攻击者的视角看web安全,以经典实例讲web攻防
  • 《黑客攻防技术宝典Web实战篇》是探索和研究Web 应用程序安全漏洞的实践指南。作者利用大量的实际案例和示例代码,详细介绍了各类Web 应用程序的弱点,并深入阐述了如何针对Web 应用程序进行具体的渗透测试。本书...
  • 《黑客攻防技术宝典(Web实战篇第2版)》从介绍当前Web应用程序安全概况开始,重点讨论渗透测试时使用的详细步骤和技巧,最后总结书中涵盖的主题。每章后还附有习题,便于读者巩固所学内容。 《黑客攻防技术宝典(Web...
  • 黑客攻防技术宝典_Web实战篇第2版英文,属于WEB安全。黑客攻防技术宝典_Web实战篇第2版英文。
  • 在开展Web应用程序渗透测试之前请先了解下面列出的这些内容,如果不是很懂的话,请读David Gourley & Brian Totty的HTTP权威指南也叫HTTP:The Definitive Guide. 1 HTTP 1.1 HTTP请求 消息头和消息体 1.2 ...
  • 1、Unicode是一种为支持全世界所使用的各种编写系统而设计的字符编码标准,采用各种编码方案,其中一些可用于表示Web应用程序中的不常见字符。 2、16位Unicode编码的字符以%u开头,后是这个字符的十六进制Unicode...
  • [黑客攻防技术宝典Web实战篇].Dafydd.Stuttard.第2版
  • 《黑客攻防技术宝典.Web实战篇(第2版)》是探索和研究Web 应用程序安全漏洞的实践指南。作者利用大量的实际案例和示例代码,详细介绍了各类Web 应用程序的弱点,并深入阐述了如何针对Web 应用程序进行具体的渗透...
  • [黑客攻防技术宝典Web实战篇].Dafydd.Stuttard.第2版.pdf.zip
  • 《黑客攻防技术宝典Web实战篇第2版)》是探索和研究Web应用程序安全漏洞的实践指南。作者利用大量的实际案例和示例代码,详细介绍了各类Web应用程序的弱点,并深入阐述了如何针对Web应用程序进行具体的渗透测试。...
  • 译者按:以下为《黑客攻防技术宝典Web实战篇》一书第二版中的习题答案,特在此推出。如果读者发现任何问题,请与本人联系。英文答案请见:http://mdsec.net/wahh/answers1e.html。 如有转载,请注明出处。谢谢!...
  • 2、多层权限模型:与访问有关的问题不仅适用于Web应用程序,也适用于其他基础设施,特别是应用程序服务器、数据库和操作系统。采用深层次安全措施对上述每一层面执行访问控制,建立几层保护。可以强化未授权访问的...
  • 钓鱼攻击是获得用户敏感信息的一种方法。钓鱼攻击的目标通常是在线银行用户、PayPal、eBay等。 主要形式: 1.电子邮件钓鱼 ... 2.网站钓鱼 在网站上伪造一个网站,通常是模仿合法的某个网站。...经常也需要使用一个欺骗性...
  • 黑客攻防技术宝典 Web实战篇 石华耀 pdf版
  • 黑客攻防技术宝典web实战篇
  • 黑客攻防技术宝典_Web实战篇(第2版) (图灵程序设计丛书 99)azw3资源,kindle购买的,可以自行转码为其他格式
  • 下载地址:网盘下载内容简介······越来越多的关键应用现在已经迁移到网站上,这些Web应用的安全已经成为各机构的重要挑战。知己知彼,方能百战不殆。只有了解Web应用程序中存在的可被利用的漏洞和攻击者所采用...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 721
精华内容 288
关键字:

web安全攻防宝典实战篇