什么叫股东代码？_百度知道
什么叫股东代码？
我有更好的答案
按默认排序
html 只要存入能买一百股的现金就行、股票市值等信息：http、注意做好防黑防毒 目前网上黑客猖獗、转增或送股.jrj，和委托人的授权委托书。 若是代理人，办理有关申请开立证券账户手续;每个账户；如果是在网吧等公共场所登录 交易系统。 开户步骤如下。即可查询和委托交易：电话委托。因此。 七,有时因使用操作不当等原因会使股票买卖出现失误，然后才可以买卖证券,对于确保网上炒股的 正确和资金安全是非常重要的。 证券投资基金、更换,造成了股票 的重复买卖，个人磁卡本地40元&#47,贻误买入或卖出的最佳时机://news1、佣金优惠等措施，到证券营业部买卖证券前、资金存取方式进行选择，还需与委托人同时临柜签署《授权委托书》并提供代理人的身份证原件和复印件，带齐有效身份证件和复印件，深,对 发出的交易指令进行查询,如果电脑和网络缺 少必要的防黑.com,方可点 击确认。 （3）证券营业部为投资者开设资金账户 （4）需开通证券营业部银证转账业务功能的投资者,一旦被&quot。 四。所以对网上 炒股者来说,密码忌用吉祥数：个人50元&#47,可以在网上交易暂不能使用时； （二）证券营业部开户 投资者办理深、银证转账等。例如,防 范风险意识相对较弱。 六。分别开立深圳证券账户卡和上海证券账户卡、减免宽带网开户费,只选实惠的,网上炒股以其方便。 （三）银证通开户 开通“银证通”需要到银行办理相关手续,每项委托操作完毕后,券商概不负责,以确认委托是否被券商受理和是否已成交.com：须提供代办人身份证明及其复印件、银行同名储蓄存折（如无。 二,交易系统记录的成本价就会出现偏差,必须高度重视网上交易密码的保管，注意查阅证券营业部有关此类业务功能的使用说明：详细内容见以后“银证通”章节） 参考资料、关注网上炒股的优惠举措 网上炒股业务减少了券商的工作量.cn/news//。 网上炒股八项注意 如今。 附、及时查询,有时电脑 界面显示网上委托已成功。因此、保险公司,所以券商和网络公司有时会组织各种优惠活动,否则造成损失;每个账户, 并以此作为选择券商和网络公司的条件之一。 五、快捷.jrj,券商却已收到两次委托,病毒泛滥要在网上炒股、网上交易，然后下载一个券商要求的交易软件就行了、同时开通电话委托 网上交易遇到系统繁忙或网络通讯故障时,在判断股票 的盈亏时应以个人记录或交割单的实际信息为准，需首先在证券营业部开户，需提供本人有效身份证及复印件,常常 会影响正常登录，需要对今后自己采用的交易手段,重者 会造成股票交易密码等个人资料的泄露。但网上炒股作为一种新的理财方式;黑&quot：持本人有效身份证
股东代码就是你的股票帐号代码，分上市和深市。
即股东卡帐号
股东卡帐号
其他类似问题
您可能关注的推广
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁&4,034.31076.78
&14,013.335216.60
&27,272.390328.000
代码：601519
29.700.00&0.00%
昨收盘:29.70
今开盘:0.00
最高价:0.00
最低价:0.00
流通:19.88亿
市值:590.35亿元黑客大曝光：Web应用程序安全（原书第3版)(样章) PDF格式
为鼓励上传资源，我们采用积分下载方式，希望您能发布更多更好的资源互相分享
1.上传软件或电子书,源码,资料等,审核后即获2积分;如发布时设了下载需积分，其他用户下载后你将获得相应积分
2.当您首次注册时，可以获送10个下载积分，供您下载资源和熟悉网站下载的使用
3.发现资源有误或其他问题，通过举报按钮反馈后我们将奖励积分
4.您可以在论坛通过发帖等方式获取
5.参加本站可以在有效期内不限次数下载
6.您也（1元=10积分）或
7.我们会不定期举办各种活动，参加活动可以获取积分，请关注下载频道首页公告。
您可能遇到这些“伪问题”：
1.资料无法解压：
请确保所有分卷均下载完毕，如果有未知后缀文件，请搜索相应解压软件；
2.chm文件无内容：
您的电脑锁定了这一文件，请右击文件属性，点击右下方“解除锁定”，关闭文件后再打开；
3.下载不下来：
请尝试重新下载（重新下载不扣积分）；
4.杀毒软件报毒：
黑客安全及破解类软件容易报毒，但可正常使用，如担心安全请谨慎使用。
黑客大曝光：Web应用程序安全
（原书第3版）
Hacking Exposed Web Applications：Web Application Security Secrets and Solutions，Third Edition
（美）Joel Scambray&
Vincent Liu
Caleb Sima　著
姚军　等译
Joel Scambray, Vincent Liu, Caleb Sima&
Hacking Exposed Web Applications：Web Application Security Secrets and Solutions，Third Edition
Copyright& 2011 by Joel Scambray.
All Rights reserved. No part of this publication may be reproduced or transmitted in any form or by any means, electronic or mechanical, including without limitation photocopying, recording, taping, or any database, information or retrieval system, without the prior written permission of the publisher.
This authorized Chinese translation edition is jointly published by McGraw-Hill Education (Asia) and China Machine Press.This edition is authorized for sale in the Peoples Republic of China only, excluding Hong Kong, Macao SAR and Taiwan.
Copyright& 2011 by McGraw-Hill Education (Asia)， a division of the Singapore Branch of The McGraw-Hill Companies, Inc. and China Machine Press.
版权所有。未经出版人事先书面许可，对本出版物的任何部分不得以任何方式或途径复制或传播，包括但不限于复印、录制、录音，或通过任何数据库、信息或可检索的系统。
本授权中文简体字翻译版由麦格劳-希尔（亚洲）教育出版公司和机械工业出版社合作出版。此版本经授权仅限在中华人民共和国境内（不包括香港特别行政区、澳门特别行政区和台湾）销售。
版权 2011由麦格劳-希尔（亚洲）教育出版公司与机械工业出版社所有。
本书封面贴有McGraw-Hill公司防伪标签，无标签者不得销售。
封底无防伪标均为盗版
版权所有，侵权必究
本书法律顾问　北京市展达律师事务所
本书版权登记号：图字：01-
图书在版编目（CIP）数据
黑客大曝光：Web应用程序安全（原书第3版）/（美）斯坎布雷（Scambray，J.），（美）刘（Liu，V.），（美）西玛（Sima，C.）著；姚军等译. &北京：机械工业出版社，2011.9
书名原文：Hacking Exposed Web Applications：Web Application Security Secrets and Solutions，Third Edition
ISBN 978-7-111-35662-2
I.黑&　II.①斯&　②刘&　③西&　④姚&　III.计算机网络-安全技术　IV. TP393.08
中国版本图书馆CIP数据核字（2011）第167720号
机械工业出版社（北京市西城区百万庄大街22号　邮政编码　100037）
责任编辑：吴　怡
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& 印刷
2011年10 月第 1 版第 1 次印刷
186mm&240mm& 21.25印张&
标准书号：ISBN 978-7-111-35662-2
定价：65.00元
凡购本书，如有缺页、倒页、脱页，由本社发行部调换
客服热线：（010）361066
购书热线：（010）995259
投稿热线：（010）
对本书的赞誉
&&不管你是期望理解企业威胁的公司领导，还是为网站编写代码的工程师，或是识别和缓解对应用造成威胁的安全工程师，本书都是你的武器库中有价值的武器。&
&摘自Chris Peterson的序言　　
Zynga Game Network应用安全高级主管　　
前Microsoft安全保障主管　　
&&我认真品读了Joel的作品，这本书没有让我失望。人们常问，到哪里能找到在这个令人畏缩的行业里获得立足之地的高质量内容。这本书就是每个应用安全从业者所需要的案头参考。它将是我的珍藏书籍之一。&
&Robert &RSnake& Hansen　SecTheory CEO及ha.ckers.org创始人　　
&&作为了解当今Web应用安全形势的一个具有启发性的资源，本书研究了最新的漏洞以及攻击技术，以及用于对抗这些漏洞的手法。本书对于寻求进入Web应用安全世界、有抱负的工程师，以及紧跟最新技术发展、成熟的应用安全和渗透测试专家来说，都是值得一读的。&
&Chad Greene　eBay全球信息安全主管　　
&&由于我们的业务将更多的信息和商务通过Web应用推送给客户，这些业务的机密性和完整性是我们立足的根本，即使不是义务，也是责任。本书为担负这一责任的应用开发人员和安全人员提供了全面的信息。作者的研究、洞察力，以及30年以上信息安全专家的经历，都令本书成为应用和信息保护工具箱中宝贵的资源。这是本好书！&
&Ken Swanson　P&C保险公司区域IS业务解决方案经理　　
&&本书不仅是关于Web应用安全的权威入门书籍；它还是师从最著名的行业专家的一次机会，即使熟练的专业人员也应珍惜这一机会。&
&Andrew Stravitz, CISSP　Barnes & 信息安全主管　　
&&非常及时的参考书，随着云计算不断扩展到企业中，Web安全成为了攻击者和防御者的新战场。这本全面的书籍是理解当代Web应用形势及对策的权威入门读物。特别值得一提的是书中对身份管理的详细论述，这本书第一次深入地审视并以如此容易理解的方式介绍了围绕身份验证的各种挑战。&
&Cem Paya　Google安全团队　　
译　者　序
&&& 互联网确实是人类历史上伟大的发明之一，它彻底地改变了人们的生活，现在，可以毫不怀疑地说，人们日常生活的每个方面都已经和互联网息息相关。
&&& 那么，什么是互联网中最引人注目的部分呢？您一定能猜到，是各式各样的Web应用。Web应用可以说是IT界的骄傲，它们使现实世界中形形色色的业务都搬到了网络上，使人们可以足不出户地购物、娱乐、处理各种日常事务。在这一刻，IT人可以自豪地说：这么多年来，我们终于引领了业务，超越商业界创造了一种生产、销售、服务的新形式。
&&& 骄傲和危险总是相伴的，网络上巨大的商业机会也同样吸引着不法分子，既然可以在网络上从事各种商务活动，也就意味着，技术高超的黑客们不用荷枪实弹，就能洗劫一个商店，甚至偷走银行中的现金。使用电子商务的人不断激增，大部分人都不具备与黑客同样的技术背景，在与犯罪分子的斗争当中，人们已经落了下风。而搭建网上平台的企业，自然要承担起保护自身及客户财产和隐私安全的职责，企业的安全管理员们，肩上的责任也就更沉重了。
&&& 令人遗憾的是，近年来不断发展的平台技术，虽然在安全上有了巨大的进步，但是对于扩张如此迅速的Web应用所面对的越来越广泛的威胁仍然无能为力。网络架构本身的特点，决定了安全不再只是通过防火墙、防病毒软件和安全补丁就能完成的任务，而是涉及开发人员、安全管理人员以及整个企业的各个部门甚至网上所有客户的巨大项目，而黑客们所研究出来的各种攻击手段，则是五花八门，令人瞠目结舌。
&&& 和往常一样，《黑客大曝光》的作者们又一次走到了幕前，用他们在许多大型企业担当安全顾问的丰富经验，为我们呈现了安全工作中将要面对的各种威胁，丰富的实例解说、逼真的样板应用攻防，既让我们深深感受到黑客手段的可怕之处，又欣慰地看到，在开发和安全实施的很多时候，我们只要理解和运用书中所介绍的最佳实践，就能够很快地消除大部分的隐患，除了对各种威胁原理的详细解说之外，本书还为读者提供了一套十分好用的安全过程方法论，并且用实例讲解了如何将这些方法集成到Web应用产品生命期中，而这，正是安全工作者孜孜以求的。
&&& 这是我们第二次翻译《黑客大曝光》了，本书充实的内容使我们担心，因为自己的水平所限，不能百分之百地再现原作的精彩之处，我们为此倾注了很大心力，也真诚地向读者推荐这本书，希望它能成为你工作中的定海神针。
&&& 本书的翻译主要由姚军完成，徐锋、陈绍继、郑端、吴兰陟、施游、林起浪等人也为本书的翻译工作做出了贡献，在此也要感谢华章科技图书的编辑们对翻译工作提出的许多中肯意见，同时期待着广大读者朋友的批评指正。
&&& 不知彼不知己，每战必败。
&&&&&&& &孙武《孙子兵法》　　
&&& 今天的商业活动依靠Web生存是无法回避的事实。从银行到书店，从拍卖到游戏，大部分公司都在Web上进行交易。例如，美国接近50%的音乐零售业务发生在网上，2010年网络游戏中的虚拟交易市场将超过15亿美元。有人估计，美国成年人中超过45%的人专门使用互联网进行自己的银行业务。随着Web的智能手机的流行，现在大部分的网络商务活动对消费者来说在任何时间、任何地点都可以进行。不管如何估算，Web上的业务都是经济的重要组成部分，并且正在快速发展。但是这种增长也带来了令人不快的现实&&这部分商务活动的安全并没有齐头并进。
&&& 在现实世界里，企业所有者数十年来都在面对和学习缓解威胁，他们必须应付强行闯入、盗窃、持械抢劫、伪钞、支票诈骗以及各种骗局。但是现实世界里，企业的业务边界是有限而容易定义的。在大部分情况下，威胁的种类也在合理的限度内。随着时间的推移，他们已经学会应用越来越成熟的方法、工具和保安措施来对付这些威胁。而在Web上，情况就大不相同了。
&&& Web上的商务活动出现不足20年，在现实世界中积累的许多经验教训，在Web商务活动中才刚刚露出苗头。和现实世界中一样，只要有钱或者有价值的资产，总是会发现一些人为非作歹，企图利用这些资产。但是，电子商务和现实世界不同，企业面对令人眼花缭乱的技术和概念，大部分领导者都感觉这些技术和概念难以（甚至不可能）理解。除此之外，资产的边界常常没有得到很好的理解，潜在威胁可能横跨全球。虽然所有银行的高级主管对现实世界的安防都很在行，提高物理资产的访问管理，精细设计银行金库的安全性，钱柜里有染色包，大堂中加武装保安等，但是这些主管们常常困惑于跨站脚本、SQL注入等技术对企业的影响。在许多情况下，即使这些公司雇用的建站&专家&、开发人员几乎也不知道这些威胁对网站的危害程度、他们所编写代码的脆弱性，或者那些打算获得系统访问权的攻击者的距离。
&&& 在电子商务和网络犯罪不对等的战场上，一些专家全心全意地将有关安全威胁的知识传授给企业，加强开发人员建立抗攻击代码的意识，并且不断地研究攻击者所采用的频繁变化的策略和工具。本书的作者代表着这个群体中最有经验和知识的专家，这本书是他们分享知识和经验的最新努力。
&&& 不管你是期望理解企业威胁的公司领导，还是为网站编写代码的工程师，或是期望识别和缓解对应用造成威胁的安全工程师，本书都是你的武器库中有价值的武器。正如孙子告诉我们的，这本书能让你更清楚地认识自己和你的敌人，最后你将有能力减少企业的风险。
&&Chris Peterson，2010年8月　　
Zynga Game Network应用安全高级主管　前Microsoft安全保障主管　　
&&& 早在1999年，本书第1版就向读者介绍了计算机网络和系统多么容易闯入。尽管今天还有许多人没有意识到这个事实，但是很多人正在开始理解防火墙、安全操作系统配置、软件供应商补丁维护和许多其他以前觉得很神秘的信息系统安全的基础知识。
&&& 遗憾的是，互联网所带来的快速发展已经把&球门柱&推向了前场。防火墙、操作系统安全性和最新的补丁都可能被简单的Web攻击所绕过。尽管那些要素仍然是所有安全架构中的关键部件，但是对于越来越频繁而且不断成熟的新一代攻击来说明显无能为力。
&&& 这不是我的一家之言。Gartner集团指出，75%的网络攻击都在Web应用级别，而在300个经过审核的网站中，97%的网站都容易受到攻击。2009年秋季的WhiteHat网站安全统计报告称，83%的网站至少有一个严重的漏洞，64%的网站目前至少有一个漏洞，而漏洞解决率仅为61%，余留了8902个未解决的问题（样本大小：1364个网站）。毁灭性攻击的新闻现在已经很常见：身份盗窃资源中心（Identity Theft Resource Center，ITRC）称，在2010年上半年，至少有301个安全性缺口导致了超过820万份身份记录曝光。估计因为安全性缺口所引起的敏感数字记录侵害总数还会再攀新高：Verizon Business 2010数据破坏调查报告中称，6年来，仅查看900余种缺口样本就有超过9亿条记录受到侵害。
&&& 我们不能停止互联网商务的脚步，关上大门。我们除了划定一条底线，并保卫信息空间中无数的组织和个人所划定的阵地之外，别无选择。对于已经组建了最基本的网站的人来说，这是一个令人畏惧的任务。面对现有协议如HTTP的安全局限性，以及技术挑战（包括XML Web服务、AJAX、RSS、移动应用以及用户生成内容等）不断加速的脚步，设计和实现一个安全的Web应用可能成为一个戈尔地雅斯难结。
面对Web应用安全挑战
&&& 本书为你展示如何使用书中提出的双管齐下的方法来应对这一挑战。
&&& 首先，我们把Web应用将要面对的最大威胁分类，并且非常详细地解释它们的工作原理。我们是如何知道这些最大的威胁的？因为我们受雇于世界上最大的公司，进入它们的Web应用，每天使用基于这些威胁的攻击来开展工作。我们几人做这项工作的时间加起来已经超过30年，我们研究最新出现的攻击，开发自己的工具和技术，并且将它们组合成为最有效方法，用于渗透现有的Web应用安全。
&&& 在你注意到我们展示的这些危险之后，我们告诉你如何避免所有这些攻击。在不理解本书中的信息的情况下开发Web应用，等同于开车时不系安全带，还开上光滑的路面，穿过大裂谷，没有刹车，并且把油门踩到最大。
本书的组织结构
&&& 本书由多个章节组成，每个章节描述攻击方法论的一个方面。这种结构组成了本书的主干，因为如果没有一种方法论，那么本书就仅仅是一堆没有上下文和意义的信息。以下是本书章节内容。
&&& 第1章　Web应用入侵基础。这一章中，我们广泛地概述了Web应用入侵攻击和技术，同时展示了具体的实例。系上你的安全带，因为我们就要离开堪萨斯了。
&&& 第2章　剖析。任何方法论的第一步往往是最重要的，剖析也不例外。该章讲解了作为攻击Web应用及其相关基础设施前奏的侦查过程。
&&& 第3章　Web平台入侵。如果建立在充满安全漏洞的Web平台之上，那么没有一个应用能够安全，该章描述了大部分流行的Web平台包括IIS、Apache、 PHP和ASP.NET的攻击、检测躲避技术及其对策。
&&& 第4章　攻击Web验证。该章介绍常见Web验证机制的攻击和对策，包括基于密码、多因素（例如CAPTCHA）以及Windows Live ID这样的在线验证服务。
&&& 第5章　攻击Web授权。了解通过高级会话分析、劫持和完成（Fixation）技术。
&&& 第6章　 输入注入攻击。从跨站脚本到SQL注入，大部分Web攻击的实质是意外的应用输入。在该章中，我们回顾经典的恶意输入类别，从超长输入（像缓冲区溢出）到规范化攻击（像臭名昭著的dot-dot-slash），并且揭示应该始终加以怀疑的元字符（包括角括号、引号、单引号、双破折号、百分号、星号、下划线、换行、&、管道符号和分号），从入门级到高级的SQL注入工具和技术，以及隐蔽编码技术和输入验证/输出编码对策。
&&& 第7章　攻击XML Web服务。不要遗漏了SOAP，因为这一章将揭示如何通过包括WSDL暴露、输入注入、外部实体注入和XPath注入等技术发现和攻击Web服务漏洞。
&&& 第8章　攻击Web应用管理。如果前门上锁，就试试后门！该章揭示了大部分针对远程服务器管理、Web内容管理/授权、管理员错误配置以及开发者造成错误的常见Web应用管理攻击。
&&& 第9章　入侵Web客户端。你可知道，浏览器实际上是不安全的东西直接进入你家里和办公室的一个有效的途径？来一次最危险的Web浏览器攻击之旅，然后遵循我们提出的&获得更安全的互联网体验10大步骤&（以及本章列出的许多附加对策），在浏览的时候就能更轻松地呼吸。
&&& 第10章　企业Web应用安全计划。在该章中，我们短暂地告别零知识/黑盒分析，解释一种健壮的全知识/白盒Web应用安全评估方法学的优点，包括威胁建模、代码评审、动态Web应用扫描、安全测试以及将安全集成到整个Web应用开发生命期和IT运作中。该章是针对中大型企业的IT运作和开发人员，他们需要实施我们的Web应用评估方法从而得到伸缩性、一致性和可接受的投资回报。
&&& 最后，我们添加了有用的附录，这并不代表这些内容不重要，具体包括：&Web安全检查列表&和&Web 黑客工具和技术快速参考&。
模块性、组织和易读性
&&& 很显然，本书可以从头到尾阅读，来得到Web应用渗透测试的全面描述。但是，我们尽力使每章独立，这样可以逐个模块地消化本书，适合时间紧张的目标读者。
&&& 而且，我们严格地坚持清晰、易于理解和简练的写作风格，这是读者对本书的总体印象。我们知道读者很忙，需要直接地得到第一手资料，而不是大量的空话和无谓的行话。正如本书以前版本的读者们所评论的：&读起来像小说，如地狱般令人惊恐！&我们认为，从头到尾阅读和逐个章节阅读都能使你满意，本书的结构适合于任何一种阅读风格。
&&& 章节小结及参考与延伸阅读
&&& 本书每一章的结尾处都有两个特别部分：&小结&和&参考与延伸阅读&。
&&&& &小结&顾名思义，是本章中介绍的主要概念的摘要，以及对各种对策的强调。我们希望，如果你阅读了每章的小结，就能知道如何加固Web应用来对付任何形式的攻击。
&&& 每章的&参考与延伸阅读&部分包含了该章正文介绍的每个条目所需的URL、ISBN号码和其他信息，这些条目包含供应商安全通告和补丁、第三方建议、商业和免费工具、新闻中的Web 入侵事件以及关于正文的信息详细或者扩展读物。这样，如果你需要查找某些内容，可以翻到这一章的末尾去寻找。我们希望通过汇集附加的参考内容能够改进本书的整个阅读体验。
&&& 基本组成部分：攻击与对策
&&& 本书的基本组成部分是每一章所讨论的攻击和对策，因此我们使用了非常醒目的攻击与对策图标。
　　攻击图标
&&& 这个图标强调了各种攻击方法，使读者找到特定的渗透测试工具和方法很容易，并直接为你指出说服管理层投资新的安全倡议所需要的信息。
&&& 许多攻击附有危险等级，计分方法如下：
&&& 流行性：对活动目标的使用频度：1表示最罕见，10表示广泛使用。
&&& 难易度：执行这一攻击所需要的技能：10表示很少或者完全不需要技能，1表示成熟的安全编程人员。
&&& 影响力：成功执行这一攻击可能产生的破坏：1表示暴露目标的没有价值的信息，10表示超级用户账号侵入或者等价的破坏。
&&& 危险级：前三个值平均后向上取整得出总体危险等级。
&&& 伴随着每种或者每个系列的攻击，也有相应的对策，图标如下：
　　 对策图标
&&& 这个标志应该会引起你对关键修复信息的注意。
其他辅助图标
&&& 我们还使用了很多视觉增强图标来突出显示那些经常被忽视的细节。
　　　　　　
在线资源和工具
&&& Web应用安全技术变化很快，我们承认书籍通常很难跟上这种急剧变化的研究领域。
&&& 因此，我们建立了一个网站，跟踪与本书讨论的主题相关的新信息、勘误表，以及书中介绍的公共工具、脚本和技术。网站地址为
&&& 网站还提供了论坛，可直接与作者通过以下邮件交流：
&&& 我们希望读者在阅读本书各个章节时经常登录这个网站，查看更新的材料、获得我们提到的工具，并跟上Web安全技术的变化形势。否则，你永远无法在进行防御时预先得知哪些新的发展可能危及你的应用。
致读者的最后一段话
&&& 我们在本书中倾注了感情、才智和经验，我们真诚地希望所有的努力能为负责Web应用安全的读者节约大量的时间。我们认为你已经做出了一个有勇气和前瞻性的决策，希望在互联网上获得一席之地，但是，就像你将在本书中看到的那样，你的工作在网站启动的一刻才刚刚开始。不要惊慌，打开这本书，通过学习你会得到莫大的安慰：在下一个Web大灾难登上报纸头版时，你甚至连眼睛都不会眨一下。
作 者 简 介
　　Joel Scambray
&&& Joel Scambray是一家战略安全资讯服务提供商Consciere的联合创始人和CEO。他已经帮助从新兴公司到《财富》前50大公司在内的许多公司处理信息安全问题，历时超过12年。
&&& 他曾经担任过高管、技术顾问和企业家。他曾经是Microsoft公司的高级主管，在那里他领导Microsoft的在线服务安全工作三年多，然后加入Windows平台和服务部门，专门研究安全技术架构。Joel还与他人共同创办了安全软件和服务公司Foundstone，并获得了McAfee 8600万美元的投资。他先前还担任过 Ernst & Young的经理，Microsoft TechNet安全专栏作者，InfoWorld Magazine的自由撰稿人，以及一家大型商业房地产公司的IT主管。
&&& 他是1999年首次出版的畅销世界的计算机安全书籍《Hacking Exposed: Network Security Secrets and Solutions》的合著者。他还是《Hacking Exposed Windows》和《Hacking Exposed Web Applications》的主要作者。
&&& 他在很多场合发表关于信息安全的演讲，包括Black Hat、I-4、INTERFACE以及亚欧会议（ASEM）等论坛，IANS、CERT、计算机安全学会（CSI）、 ISSA、 ISACA、 SANS等组织，私有公司以及韩国信息安全局（KISA）、FBI和RCMP等政府机关。
&&& 他拥有加州大学戴维斯分校的学士学位，加州大学洛杉矶分校的硕士学位，他还是一位认证信息系统安全专家（CISSP）。
　　Vincent Liu
&&& Vincent Liu（CISSP）是Stach & Liu的任事股东。在创办Stach & Liu之前，Vincent在Honeywell国际公司领导全球安全单位的攻击与渗透及逆向工程团队。在此之前，他是Ernst & Young高级安全中心的顾问和美国国家安全局的分析师。Vincent是广受欢迎的演说家，曾在Black Hat、ToorCon和 Microsoft BlueHat等业界会议上介绍自己的研究成果。Vincent拥有宾夕法尼亚大学的科学与工程学士学位，主修计算机科学与工程并选修心理学。
　　Caleb Sima
&&& Caleb Sima是以Santa Clara为基地的集成Web应用安全解决方案提供商Armorize Technologies的CEO。他在2000年创立了SPI Dynamics，并作为CTO目睹了堪称Web应用安全测试工具解决方案标杆的WebInspect的发展。2007年Hewlett-Packard （惠普公司）收购了SPI Dynamics，Sima成为了惠普公司的应用安全中心首席技术专家，在这里他指导并建立了该公司安全解决方案并且领导开发了基于云的安全服务。在这个位置上，他还管理一个训练有素的安全专家团队，成功地识别了新的安全威胁并且设计出先进的对策。在创办SPI Dynamics之前，他是Internet Security Systems / IBM精锐的X-Force研究和开发团队工作，推动了该公司的企业安全性评估。Sima是一位Web应用安全领域的思想领袖和技术预言家，在Web安全技术上有五项专利并合著了这方面的多本书籍， 他经常在媒体上投稿，并且定期地在主要的业界会议如RSA和Black Hat上演讲。他是ISSA的成员，OASIS中的应用漏洞描述语言（AVDL）的创建者之一，还是 Web应用安全协会（WASC）的创办会员。
对本书的贡献者
&&& Hernan Ochoa是具有14年专业经验的安全顾问和研究者。Hernan于1996年随着Virus Sentinel的创立开始其职业生涯，Virus Sentinel是一个基于特征码的文件/内存/MBR/启动扇区检测/删除的防病毒应用程序，并且具备启发式检测多态病毒的能力。Hernan还开发了一个详细的技术性病毒信息数据库和与之相伴的时讯报道。他在1999年加入Core Security Technologies并在那里供职10年，担任了多个职务，包括安全顾问和攻击程序编写者。作为攻击程序编写者，他进行了多种多样的安全评估，开发了多种方法论、外壳代码和安全工具，并对新的攻击方向提出了意见。他还为一种最终部署在某家金融机构的多OS安全系统设计和开发了多种低级/内核组件。Henan已经发表了许多安全工具，包括Universal Hooker（使用Python编写的动态处理例程的运行时工具），Pass-The-Hash Toolkit for Windows和WifiZoo。他目前在Amplia Security担任顾问/研究员，进行网络、无线和Web应用的渗透测试，独立/客户-服务器应用黑箱评估，源代码审核，逆向工程，漏洞分析，以及其他信息安全相关的服务。
Justin Hays是Stach & Liu的一位高级安全顾问。在加入Stach & Liu之前，Justin是PTC日本公司的企业支持工程师，负责调试、逆向工程以及缓解PTC的旗舰产品Windchill企业服务器J2EE软件缺陷。Justin拥有肯塔基大学的学士学位，主修计算机科学，兼修数学。
Carl Livitt是Stach & Liu的管理安全顾问。在加入Stach & Liu之前，Carl领导一家广受尊敬的英国安全公司的网络安全服务组，这家公司为世界最大的许多制药公司提供网络安全咨询服务。Carl还曾经与英国警察反恐怖单位合作，为执法部门人员举办安全技术讲座。
Rob Ragan是Stach & Liu的一位高级安全顾问。在加入Stach & Liu之前，Rob在惠普公司的应用安全中心任软件工程师，开发Web应用安全测试工具并且管理应用渗透测试。Rob积极开展Web应用安全研究并在Black Hat、 Defcon、 InfoSec World和 Outerz0ne等大会上加以展示。Rob拥有宾夕法尼亚州大学的学士学位，主修信息科学与技术，主要关注系统开发。
本书的技术编辑
Robert Hensing是Microsoft的高级顾问，他已经担任各种安全工作超过12年。Robert以前在Microsoft安全响应中心（MSRC）工作，关注于提供安全漏洞的根源分析、鉴别缓解和变通方法，帮助客户免遭攻击。在MSRC工程团队工作之前，Robert是客户支持服务安全团队的高级成员，帮助客户进行事故响应相关的研究。Robert还是《Hacking Exposed Windows: Windows Security Secrets and Solutions, Third Edition》的作者。
没有许多人的支持、鼓励、投入和贡献，本书就不可能出版。我们希望能够在这里提及所有这些人，如果因为我们的疏忽而忽略了某些人，请接受我们的歉意。
首先，要感谢我们的家人和朋友在这段繁忙的研究和写作时间里对我们的支持，他们的理解和支持对本书的完成至关重要，我们希望可以弥补这段离开他们完成又一个图书项目的日子（真的，这次我们保证！）。
其次，感谢我们的伙伴Hernan Ochoa、Justin Hays、 Carl Livitt和 Rob Ragan对本书的宝贵贡献。还要特别感谢Robert Hensing犀利的技术评审和许多重大的贡献。
特别感谢先前版本的主要作者对这个版本的巨大影响。Caleb Sima（第1版和第3版的合著者）在Web应用安全领域不断推出新发明，Mike Shema（第1版的合著者）坚持不懈地将书中的想法精炼为自动化的过程。
当然，要再次深深地感谢不知疲倦的McGraw-Hill制作团队，包括我们的组稿编辑Megg Morin、曝光系列&名誉编辑&Jane Brownlow、组稿协调员Joya Anthony，感谢他们使一切工作井然有序，感谢制作顾问Melinda Lytle和项目编辑LeeAnn Pickrel，他们即使面对周末交付的样稿和其他作者强加给他们的不公平的任务时都保持着负责任的心态。
我们还要感谢在本书许多主题上提供了意见和指导的很多人，包括Consciere 的Kevin Rich、Kevin Nassery、Tab Pierce、Mike DeLibero和Cyrus Gray。此外，我们还要衷心地感谢Stach & Liu的Fran Brown、Liz Lagman、Steve Schwartz、Brenda Larcom、Shyama Rose和Dan对我们工作的不懈支持。
还要感谢Chris Peterson对本书手稿的反馈意见以及序言中对本书的赞扬，感谢对我们的初稿提出意见的同事们：Chad Greene、Robert Hansen、Cem Paya、Andrew Stravitz和Ken Swanson。
我们要一如既往地向全世界许多敏锐而且有创造力的黑客们脱帽致敬，他们持续不断地创新并且为《黑客大曝光》提供原始素材，特别是那些经常与我们通信的人们。
最后，要对所有《黑客大曝光》的读者说声&谢谢&，你们的支持使得所有辛勤的工作都有了价值。
&Joel、Vinnie、Caleb　　
感谢Jane让《黑客大曝光》系列图书起飞，并且坚持了这么多年。
感谢Heather在本书整个写作过程中让我总是带着笑。
&Vinnie　　
感谢我的母亲和父亲（对我的宽容），我的哥哥Jonathon、RJ和Andrew，以及我的姐姐Emily。最后，感谢SPI的所有人，他们改变了我的生活并且帮助我建立了一个伟大的公司。
&Caleb　　
对本书的赞誉
第1章　Web应用入侵基础1
1.1　什么是Web应用入侵1
1.1.1　GUI Web入侵1
1.1.2　URI 入侵2
1.1.3　方法、首部和主体3
1.1.4　资源4
1.1.5　验证、会话和授权5
1.1.6　Web客户端与HTML5
1.1.7　其他协议6
1.2　为什么攻击Web应用7
1.3　谁、何时、何处8
1.4　Web应用是如何遭到攻击的9
1.4.1　Web浏览器9
1.4.2　浏览器扩展10
1.4.3　HTTP代理14
1.4.4　命令行工具19
1.4.5　较老的工具20
1.5　小结20
1.6　参考与延伸阅读20
第2章　剖析23
2.1　基础架构剖析23
2.1.1　足迹法和扫描：定义范围23
2.1.2　基本的标志获取24
2.1.3　高级HTTP指纹识别25
2.1.4　基础架构中介28
2.2　应用剖析34
2.2.1　手工检查34
2.2.2　剖析所用的搜索工具50
2.2.3　自动化的Web爬行55
2.2.4　常见Web应用剖析60
2.3　一般对策63
2.3.1　警告63
2.3.2　保护目录63
2.3.3　保护包含文件64
2.3.4　其他技巧64
2.4　小结65
2.5　参考与延伸阅读65
第3章　Web平台入侵67
3.1　用Metasploit进行点击攻击68
3.2　手工攻击70
3.3　逃避检测80
3.4　Web平台安全最佳实践82
3.4.1　通用的最佳实践82
3.4.2　IIS加固84
3.4.3　Apache加固87
3.4.4　PHP最佳实践90
3.5　小结91
3.6　参考与延伸阅读92
第4章　攻击Web验证94
4.1　Web验证威胁94
4.1.1　用户名/密码威胁94
4.1.2　（更）强的Web验证108
4.1.3　Web验证服务111
4.2　绕过验证114
4.2.1　令牌重放114
4.2.2　跨站请求伪造116
4.2.3　身份管理118
4.2.4　客户端借道法121
4.3　最后一些想法：身份盗窃122
4.4　小结122
4.5　参考与延伸阅读123
第5章　攻击Web授权126
5.1　授权指纹识别127
5.1.1　ACL爬行127
5.1.2　识别访问令牌128
5.1.3　分析会话令牌129
5.1.4　差异分析131
5.1.5　角色矩阵132
5.2　攻击ACL132
5.3　攻击令牌134
5.3.1　人工预测134
5.3.2　自动预测140
5.3.3　捕捉/重放145
5.3.4　会话完成146
5.4　授权攻击案例研究147
5.4.1　水平权限提升147
5.4.2　垂直权限提升151
5.4.3　差异分析153
5.4.4　当加密失败时155
5.4.5　使用cURL映射权限155
5.5　授权最佳实践158
5.5.1　Web ACL最佳实践158
5.5.2　Web授权/访问令牌安全161
5.5.3　安全日志163
5.6　小结163
5.7　参考与延伸阅读164
第6章　输入注入攻击166
6.1　预料到意外情况167
6.2　何处寻找攻击目标167
6.3　绕过客户端校验例程168
6.4　常见输入注入攻击169
6.4.1　缓冲区溢出169
6.4.2　规范化攻击170
6.4.3　HTML注入174
6.4.4　边界检查177
6.4.5　操纵应用行为178
6.4.6　SQL注入179
6.4.7　XPATH注入189
6.4.8　LDAP注入191
6.4.9　自定义参数注入192
6.4.10　日志注入193
6.4.11　命令执行193
6.4.12　编码误用195
6.4.13　PHP全局变量195
6.4.14　常见的副作用196
6.5　常见对策196
6.6　小结197
6.7　参考与延伸阅读198
第7章　攻击XML Web服务200
7.1　Web服务是什么200
7.1.1　传输：SOAP over HTTP201
7.1.2　WSDL204
7.1.3　目录服务：UDDI和DISCO205
7.1.4　与Web应用安全的相似性209
7.2　攻击Web服务209
7.3　Web服务安全基础216
7.4　小结219
7.5　参考与延伸阅读219
第8章　攻击Web应用管理221
8.1　远程服务器管理221
8.1.1　Telnet221
8.1.2　SSH222
8.1.3　专用管理端口222
8.1.4　其他管理服务223
8.2　Web内容管理224
8.2.1　FTP224
8.2.2　SSH/scp224
8.2.3　FrontPage225
8.2.4　WebDAV226
8.3　错误的配置231
8.3.1　不必要的Web服务器扩展232
8.3.2　引起信息泄露的错误配置234
8.3.3　状态管理的错误配置245
8.4　小结249
8.5　参考与延伸阅读250
第9章　入侵Web客户端251
9.1　利用251
9.2　骗术264
9.3　一般的对策269
9.3.1　低权限浏览269
9.3.2　Firefox安全扩展271
9.3.3　ActiveX对策271
9.3.4　服务器端对策273
9.4　小结274
9.5　参考与延伸274
第10章　企业Web应用安全计划277
10.1　威胁建模277
10.1.1　澄清安全目标278
10.1.2　识别资产279
10.1.3　架构概要279
10.1.4　分解应用280
10.1.5　识别和记录威胁280
10.1.6　威胁排名282
10.1.7　开发威胁缓解策略283
10.2　代码评审284
10.2.1　人工源代码评审284
10.2.2　自动化源代码评审288
10.2.3　二进制分析288
10.3　Web应用代码安全测试296
10.3.1　模糊测试296
10.3.2　测试工具、实用程序和框架298
10.3.3　测试298
10.4　Web开发过程中的安全299
10.4.1　人员299
10.4.2　过程301
10.4.3　技术303
10.5　小结305
10.6　参考与延伸阅读305
附录A　Web安全检查列表308
附录B　Web黑客工具和技术快速参考312
您对本软件有什么意见或着疑问吗？请到您的关注和建议是我们前行的参考和动力
下载地址：
您正在下载：黑客大曝光：Web应用程序安全（原书第3版)(样章)
您的浏览器不支持嵌入式框架，或者当前配置为不显示嵌入式框架。}