駭客攻擊 Web 伺服器和 Web 應用程式安全 |第10章| EP。 10.2023

當您不再識別開放連接埠時，您就開始了 Web 應用程式駭客攻擊過程。在本集中，我們將揭開為現代 Web 提供動力的動態元件的帷幕——從 PHP 和 JavaScript 到透過 ODBC/ADO 的資料庫連線。我們分析開發人員的設計選擇（例如動態表單和伺服器端腳本）如何無意中創建攻擊者利用的漏洞，並提供測試和保護這些關鍵介面的路線圖。直接接觸來源材料並使用我們的人工智慧學習工具測試您的知識：https://notebooklm.google.com/notebook/af9194f8-c109-4c4f-b913-5cb992a1cfdc Joseph H. Schuessler 博士 |塔爾頓州立大學資訊系統教授高級品質問題 (QM) ACUE 教師審查者 |教科書參考：Wilson, RS、Simpson, MT 和 Antill, N. (2022)。實踐道德駭客攻擊和網路防禦（第四版）。肯格。 https://www.cengage.com/c/hands-on-ethical-hacking-and-network-defense-4e-wilson-simpson-antill/9780357509753/ 討論的資源： OWASP 十大專案：https://owasp.org/www-project-top-ten/p Suite-toppimfid Suite:Pnet 攻擊代理https://www.zaproxy.org/ 您將在本集中學到什麼： 0:00 – Web 表單悖論：邊界與應用程式 1:33 – 應用程式安全 (AppSec)：被忽視的中間孩子 4:22 – Web 的演進：靜態與動態 7:40 – 架構：CGI、WebWeb 表單與伺服器框架 12:06 – 12:40 – 架構：CGI、WebWeb 和伺服器連結 12:06 – 12:06 框架 18:16 – 脚本语言：PHP、Cold Fusion 和 JavaScript 21:36 – 客户端执行 (JavaScript) 的危险 23:51 – 数据库互连：ODBC、OLE DB 和 ADO 27:39 – ADO 连接剖析 30:19 – Web 服务器妥协的影响 32:15 – OWASP 顶部10：绘制威胁态势图 34:12 – WebGoat：安全測試人員的安全沙箱 36:18 – 測試方法：SAST、DAST 和 IAST 39:07 – 資訊收集和架構映射 40:29 – 身份驗證與授權測試 41:39 – 輸入驗證：SQL 注入故障 46:04 – 盲 SQL 注入和錯誤處理風險51:00 – 用戶端控制：便利陷阱 52:14 – Web 應用程式分析工具包 54:19 – Burp Suite：重量級代理 56:36 – 使用 Wapiti 進行模糊測試：Web 應用程式的混沌工程 58:52 – 結論：像對手人工智慧輔助學習透明度：此內容是在 Google Gemini 和 NoteLM 開發的透明度。這些工具被用來組織課程概念、綜合技術文件並為學生創建互動式學習材料。