红日攻防实验室

红日攻防实验室



Web安全开发实战

11.jpg

红日安全团队,核心成员专注于Web安全及移动安全。研究成果有安全书籍、安全课程、安全工具、外文翻译等安全领域。加入我们一起为安全圈保驾护航!
红日翻译小组作为团队英语领导着,翻译了一本Web安全开发实战。此书翻译内容有信息收集测试、配置和部署管理安全测试、身份管理测试、认证测试、授权测试、SESSION管理测试、输入漏洞验证测试、报错页面漏洞测试、若加密漏洞测试、业务逻辑安全测试、前端安全测试11个章节。作为一名安全开发人员或者是一名安全渗透测试人员必备安全书籍。
由于文章较大,就不在公众号一篇一篇分享了,特意做成了PDF文档,方便大家查看。作为一个推广的活动,大家后台回复关键字“Web安全开发”,获取下载地址,或者直接去百度云下载(链接:https://pan.baidu.com/s/1aCTgj0vQ4KHiDjvaOCNbZQ 密码:musi),欢迎大家传播给需要的小伙伴。
大家看一下书籍目录吧,过一把眼瘾。

  1. 信息收集测试 4
    1.1. 采用搜索引擎 4

1.1.1. Google Hacker技巧 4
1.2. Web服务器指纹 6
1.3. Web服务robots.txt文件泄露 7
1.4. Web服务枚举 8
1.5. Web目录注释信息泄露 10
1.6. 明确Web应用程序入口点 10
1.7. Web路径探测 12
1.8. Web指纹信息&Web应用框架 13

  1. 配置和部署管理安全测试 16
    2.1. 网络/基础设施安全测试 16

2.2. 应用平台安全测试 20
2.3. 文件后缀安全测试 25
2.4. 备份文件安全测试 28
2.5. 枚举管理后台测试 30
2.6. HTTP安全方法测试 34
2.7. HTTP传输加密安全测试 36
2.8. Cross Domain策略测试 38

  1. 身份管理测试 40
    3.1. 角色定义测试 40

3.2. 用户注册安全测试 41
3.3. 用户账户权限测试 43
3.4. 账户枚举和用户帐户猜解测试 45

  1. 认证测试 51
    4.1. HTTP数据传输认证测试 51

4.2. HTTP默认认证测试 54
4.3. 暴力破解锁定测试 58
4.4. 绕过认证协议测试 64
4.5. 记住密码功能测试 69
4.6. 浏览器内存脆弱测试 71
4.7 弱密码策略测试 76
4.7. 脆弱安全问答测试 82
4.8. 重置密码&弱密码测试 83

  1. 授权测试 84
    5.1. 目录遍历/文件包含测试 84

5.2. 特权升级测试 85
5.3. 不安全的直接对象引用测试 89

  1. SESSION管理测试 93
    6.1. 绕过SESSION管理协议测试 93

6.2. COOKIE会话漏洞测试 96
6.3. SESSION固定攻击测试 97
6.4. SESSION Token和加密测试 99
6.5. CSRF漏洞测试 101
6.6. 用户接口安全测试 103
6.7. SESSION超时测试 106

  1. 输入漏洞验证测试 108
    7.1. 反射型XSS漏洞测试 108

7.2. 存储型XSS漏洞测试 113
7.3. HTTP头方法测试 117
7.4. HTTP参数污染测试 117
7.5. SQL注入测试 121
7.6. LDAP注入测试 134
7.7. XML注入测试 136
7.8. Xpath注入测试 138
7.9. 代码注入测试 139
7.10命令行注入 141

  1. 报错页面漏洞测试 142
    8.1. 页面状态码安全测试 142

8.2. 栈区溢出漏洞测试 145

  1. 弱加密漏洞测试 146
    9.1. SSL/TLS测试 146

9.2. Padding Oracle漏洞测试 153

  1. 业务逻辑安全测试 162
    10.1. 业务漏洞安全测试 162

10.2. 越权认证绕过 164
10.3. 完整型安全测试 164
10.4. 超时安全测试 166
10.5. 应用程序误用错误配置测试 166
10.6. 恶意文件类型的上传测试 167
10.7. 可执行病毒文件上传测试 167

  1. 前端安全测试 167
    11.1. 前端安全URL跳转测试 167

11.2. Clickjacking安全测试 170
11.3. 跨域资源共享(CORS)测试 172
11.4. XFF安全测试 173

翻译小组续:
Web安全一直都是团队关注的一个热点,此次作为翻译小组给大家翻译Web安全开发,希望可以让更多企业和学生受益。文章不仅介绍了工具如何使用,还介绍了Web常见问题点,在哪里可能会出现问题,在安全开发的时候,需要注意哪里。安全不是相对的,只有在开发人员和攻防人员不断碰撞中,安全才会变得更强。此文章为Web安全开发文章,后续小组也在打造物联网渗透测试书籍,希望可以给安全圈更好的礼物。
红日翻译小组后续任务

  1. Web安全开发二次改造
  2. 翻译物联网渗透测试书籍
    关于Web安全开发存在翻译或者解释上面的错误,请各位大佬欢迎指出。

12.png

 标签: none

作者  :  redBu11



关于我

about me

redBu11

联系我