《白帽子讲Web扫描》.pdf

    白帽子讲 Web扫描 刘漩 编著 北京·BEIJING Publishing House of Electronics Industry 内 容 简 介 Web扫描器是一种可以对 Web应用程序进行自动化安全测试的工具，它可以帮助我们快速发现目 标存在的安全风险，并能够对其进行持续性安全监控。 本书详细讲述了 Web扫描器的概念、原理、实践及反制等知识，笔者凭借多年的安全工作经验， 站在安全和开发的双重角度，力求为读者呈现出一个完整的 Web扫描知识体系。通过对本书的学习和 实践，可以让你快速建立自己的 Web扫描体系，提高安全基础能力。 未经许可，不得以任何方式复制或抄袭本书之部分或全部内容。 版权所有，侵权必究。 图书在版编目（ CIP）数据 白帽子讲 Web扫描／刘漩编著 . —北京：电子工业出版社， 2017.7 （安全技术大系） ISBN 978-7-121-31477-3 Ⅰ. ①白… Ⅱ. ①刘… Ⅲ. ①网络安全－安全技术 Ⅳ. ①TN915.08 中国版本图书馆 CIP数据核字（ 2017）第096978号 责任编辑：张 玲 印 刷：北京中新伟业印刷有限公司 装 订：北京中新伟业印刷有限公司 出版发行：电子工业出版社 北京市海淀区万寿路 173信箱 邮编100036 开 本：787×980 1/16 印张：15.5 字数：320千字 版 次：2017年7月第1版 印 次：2017年7月第1次印刷 印 数：3000册 定价：65.00元 凡所购买电子工业出版社图书有缺损问题，请向购买书店调换。若书店售缺，请与本社发行部联系， 联系及邮购电话： （010）88254888，88258888。 质量投诉请发邮件至 zlts@phei.com.cn，盗版侵权举报请发邮件至 dbqq@phei.com.cn。 本书咨询联系方式： （010）51260888-819，faq@phei.com.cn。 推荐序 非常荣幸受刘漩的邀请为本书写推荐序。   刘漩是安全宝第一位安全工程师，也是早期 WAF规则的主要维护者。这六年多来，他一 直在Web安全的最前线与黑客做斗争，从防御到漏洞挖掘，都有着丰富的经验，也正是因为如 此，他眼中的扫描技术更为系统化。   纵观网络安全的发展历史，扫描器是最早出现的工具，从著名的开源实现 Nmap，到国人 为之骄傲的流光 FluXay，都是端口扫描的利器。而 Web安全领域里的扫描器虽然原理类似， 但实现却更为复杂，需要考虑扫描频率、扫描深度、爬虫对于 HTML的解释能力，还要不断 地积累POC。  记得我最早使用过的扫描器是 IBM的AppScan，其爬取能力很强， 但扫描速度却奇慢无比， 基本上对 URL要尝试所有扫描特征，最后还需要从大