黑客攻击 Web 服务器和 Web 应用程序安全 |第10章| EP。 10.2023

当您不再识别开放端口时，您就开始了 Web 应用程序黑客攻击过程。在本集中，我们将揭开为现代 Web 提供动力的动态组件的帷幕——从 PHP 和 JavaScript 到通过 ODBC/ADO 的数据库连接。我们分析开发人员的设计选择（例如动态表单和服务器端脚本）如何无意中创建攻击者利用的漏洞，并提供测试和保护这些关键接口的路线图。直接接触源材料并使用我们的人工智能学习工具测试您的知识：https://notebooklm.google.com/notebook/af9194f8-c109-4c4f-b913-5cb992a1cfdc Joseph H. Schuessler 博士 |塔尔顿州立大学信息系统教授 |质量问题 (QM) 主审稿人 | ACUE 有效教学高级认证。教科书参考：Wilson, RS、Simpson, MT 和 Antill, N. (2022)。实践道德黑客攻击和网络防御（第四版）。肯格。 https://www.cengage.com/c/hands-on-ethical-hacking-and-network-defense-4e-wilson-simpson-antill/9780357509753/ 讨论的资源： OWASP 十大项目：https://owasp.org/www-project-top-ten/ Burp Suite：https://portswigger.net/burp Zed 攻击代理 (ZAP)： https://www.zaproxy.org/ 您将在本集中学到什么： 0:00 – Web 表单悖论：边界与应用程序 1:33 – 应用程序安全 (AppSec)：被忽视的中间孩子 4:22 – Web 的演变：静态与动态 7:40 – 架构：CGI、Web 表单和服务器框架 12:06 – 第三方框架的供应链风险 14:10 – Web 服务器竞争：IIS 与 Apache 18:16 – 脚本语言：PHP、Cold Fusion 和 JavaScript 21:36 – 客户端执行 (JavaScript) 的危险 23:51 – 数据库互连：ODBC、OLE DB 和 ADO 27:39 – ADO 连接剖析 30:19 – Web 服务器妥协的影响 32:15 – OWASP 顶部10：绘制威胁态势图 34:12 – WebGoat：安全测试人员的安全沙箱 36:18 – 测试方法：SAST、DAST 和 IAST 39:07 – 信息收集和架构映射 40:29 – 身份验证与授权测试 41:39 – 输入验证：SQL 注入故障 46:04 – 盲 SQL 注入和错误处理风险48:25 – 加密实现缺陷 49:14 – 业务逻辑测试：颠覆顺序流 51:00 – 客户端控制：便利陷阱 52:14 – Web 应用程序分析工具包 54:19 – Burp Suite：重量级代理 56:36 – 使用 Wapiti 进行模糊测试：Web 应用程序的混沌工程 58:52 – 结论：像对手人工智能辅助学习透明度：此内容是在 Google Gemini 和 NotebookLM 的帮助下开发的。这些工具被用来组织课程概念、综合技术文档并为学生创建交互式学习材料。