网站构建分析

网站构建分析【网站构建分析】《网站构建分析》是2014年1月1日出版的图书,作者是肖萍、刘奇志、徐国天 。
基本介绍书名:网站构建分析
作者:肖萍、刘奇志、徐国天
ISBN:9787302348573
定价:25元
出版时间:2014.01.01
书籍信息作者:肖萍、刘奇志、徐国天定价:25元印次:1-1ISBN:9787302348573出版日期:2014.01.01印刷日期:2014.01.17内容简介本书以目前主流的ASP,PHP及JSP三大网站平台的构建方法为主要讲解方向,以实例分析加案例分析为主要脉络,讲解各类网站平台结构特点及相关调查取证重点命令及方向,包括钓鱼网站的构建与分析过程、在ASP网站平台模拟发布敏感信息事件、在PHP网站模拟挂马攻击实例等,并对每类案件发生后如何在网站平台下找到相关线索进行了详细剖析 。本书可作为高等院校信息安全等相关专业的教材,也适合从事计算机犯罪现场勘查工作及计算机取证工作的人员,负责企业、公司网站信息安全的从业者,以及对网站平台架构分析技术有兴趣的师生和技术人员参考阅读 。图书目录第1章网站构建概述11.1网站发展史11.1.1Web1.011.1.2Web2.011.1.3Web3.021.2网站工作原理31.2.1网站工作模式31.2.2访问网站所使用的协定31.2.3网站工作原理概述51.3网站组成结构71.3.1Web服务软体81.3.2套用服务软体91.3.3资料库管理软体91.3.4主流网站开发平台111.4网站后台架构121.4.1初期站点后台架构131.4.2资料库单独部署131.4.3前端负载均衡部署131.4.4增加快取及资料库读写分离141.5虚拟机介绍151.5.1联网方式151.5.2已分享档案夹19习题121第2章ASP网站构建与分析232.1ASP网站常见档案232.1.1HTML档案232.1.2CSS档案252.1.3JavaScript档案252.1.4VBScript档案26网站构建分析目录2.1.5ASP档案262.2典型ASP网站构建方法282.2.1运行平台搭建282.2.2发布网站322.2.3发布加密网站412.3IDC网站系统462.3.1什幺是虚拟主机462.3.2发布多个网站462.3.3域名伺服器配置502.4发布ASP.NET网站532.4.1什幺是ASP.NET532.4.2ASP.NET程式与ASP程式的区别532.4.3ASP.NET网站目录结构552.4.4ASP.NET网站发布实例562.5ASP网站平台分析622.5.1IIS日誌解析622.5.2前后台连线模式762.5.3敏感信息追查782.5.4网站分析中常见问题85习题290第3章钓鱼网站构建与分析923.1钓鱼网站概述923.1.1钓鱼网站概念923.1.2钓鱼网站犯罪现状923.1.3钓鱼网站案例增多原因923.2钓鱼网站工作流程933.3钓鱼网站组成结构933.3.1钓鱼页面933.3.2后台处理模组943.3.3发布钓鱼网站953.4钓鱼网站构建实例963.5钓鱼网站实例分析1003.5.1确定主机为网站伺服器1003.5.2确定网站源码所在目录1003.5.3定位可疑“钓鱼页面”1013.5.4分析钓鱼模组,确定数据的流转路径1043.5.5钓鱼网站分析方法107习题3107第4章SQL注入攻击的痕迹分析1094.1SQL注入的成因分析1094.2扫描注入点、判断资料库类型、用户许可权、资料库名和用户表内容1104.2.1实验环境1104.2.2实验目的介绍1104.2.3以手工注入的方式进行攻击1104.3读取网站主目录位置1204.3.1利用xp_dirtree存储过程获得网站的主目录1204.3.2利用xp_regread存储过程读取网站主目录位置1224.3.3调查线索1234.4利用差异备份上传网页木马1254.4.1利用SQL Server资料库的差异备份功能在伺服器端形成“一句话木马”1254.4.2利用“一句话木马”修改网站主页植入挂马代码1274.4.3线索调查1314.5通过ASP注入防火墙来预防SQL注入135习题4138第5章LAMP平台下PHP网站构建与分析1395.1LAMP平台简介1395.2PHP概述1395.2.1什幺是PHP1395.2.2PHP特点1415.3搭建LAMP平台1425.3.1实验环境準备1425.3.2Linux软体安装方法1425.3.3LAMP平台构建1445.3.4Apache下的多虚拟主机配置1465.4LAMP平台下发布PHP网站1515.5Windows平台下发布PHP网站1565.6LAMP平台中PHP网站分析1605.6.1LAMP平台特徵分析1605.6.2Apache日誌分析1625.6.3敏感信息源追查1665.7PHP网站挂马攻击痕迹分析1725.7.1挂马攻击过程1725.7.2攻击痕迹分析174习题5176第6章JSP网站构建与分析 1786.1JSP概述1786.1.1什幺是JSP1786.1.2JSP发展历史1796.1.3JSP与ASP、PHP比较1796.1.4JSP技术原理180 6.2构建JSP网站运行平台1816.2.1JDK1816.2.2Tomcat1836.3发布JSP网站1856.3.1準备网站源码档案1856.3.2配置虚拟目录1856.3.3更改网站监听连线埠1866.3.4访问网站安装精灵1866.4网站分析1886.4.1资料库位置1886.4.2连线配置档案1906.4.3JSP网站目录结构1916.4.4Tomcat日誌分析192习题6193参考文献195第1章引言11.1作业系统面临安全威胁11.1.1病毒和蠕虫11.1.2逻辑炸弹21.1.3特洛伊木马21.1.4天窗31.1.5隐蔽通道31.2作业系统安全和信息系统安全41.3安全作业系统的国内外研究现状51.4相关术语101.5本书的组织和编排131.6本章小结131.7习题14第2章基本概念152.1系统边界与安全周界152.2安全功能与安全保证152.3可信软体与不可信软体162.4主体与客体172.5安全策略和安全模型182.6访问控制思想192.6.1访问控制矩阵192.6.2引用监控器192.6.3安全核心202.7可信计算基222.8本章小结232.9习题23第3章安全机制243.1硬体安全机制243.1.1存储保护243.1.2运行保护263.1.3I/O保护283.2标识与鉴别283.2.1基本概念283.2.2安全作业系统中的标识与鉴别机制283.2.3与鉴别有关的认证机制293.2.4口令管理303.2.5实现要点32作业系统安全(第2版)目录3.3访问控制333.3.1自主访问控制343.3.2强制访问控制373.4最小特权管理423.4.1基本思想423.4.2POSIX权能机制433.4.3特权细分453.4.4一个最小特权管理机制的实现举例473.5可信路径493.6安全审计493.6.1审计的概念493.6.2审计事件503.6.3审计记录和审计日誌513.6.4一般作业系统审计的实现513.7UNIX/Linux的安全机制523.7.1标识533.7.2鉴别533.7.3访问控制543.7.4审计563.7.5密码563.7.6网路安全性583.7.7网路监控与入侵检测593.7.8备份/恢复603.8本章小结60 3.9习题60第4章安全模型624.1安全模型的作用和特点624.2形式化安全模型设计634.3状态机模型原理644.4机密性安全模型 654.4.1BellLaPadula模型 654.4.2BLP模型分析与改进754.5完整性安全模型774.5.1Biba模型774.5.2ClarkWilson完整性模型814.6多策略安全模型854.6.1中国墙(Chinese Wall)模型864.6.2基于角色的存取控制(RBAC)模型934.6.3域型强制实施(DTE)模型964.7安全性分析模型974.7.1信息流模型974.7.2无干扰模型1024.8本章小结1034.9习题103第5章安全体系结构1045.1安全体系结构概念1045.1.1安全体系结构含义1045.1.2安全体系结构类型1055.1.3安全体系结构设计原则1065.2权能(capability)体系1095.2.1权能的一般概念1095.2.2对权能的控制及实现方法1105.2.3权能系统的局限性1105.3Flask体系1105.3.1背景介绍1105.3.2策略可变通性分析1125.3.3Flask体系的设计与实现1135.3.4特殊微核心特徵1175.3.5支持吊销机制1185.3.6安全伺服器1195.3.7其他Flask对象管理器1205.4LSM安全框架1245.4.1LSM设计思想1245.4.2LSM实现方法1255.4.3LSM 钩函式调用说明1275.5本章小结1325.6习题133第6章形式化规範与验证1346.1形式化安全验证技术原理1356.1.1形式化验证技术1356.1.2与安全作业系统开发相关的形式化验证技术1366.1.3形式化验证中的层次分解技术1376.2形式化安全验证系统结构1406.2.1规範语言和处理器1416.2.2验证条件生成器1416.2.3定理证明器1426.3一个形式化验证技术在安全作业系统核心设计中的套用实例1426.3.1Gypsy验证环境(GVE)简介1426.3.2ASOS项目简介1436.3.3保障目标及技术路线概览1446.3.4ASOS安全模型1456.3.5形式化顶层规範1466.3.6具体验证过程1496.4本章小结1556.5习题155第7章隐蔽通道分析与处理1577.1隐蔽通道的概念1587.1.1隐蔽通道与MAC策略1587.1.2隐蔽通道的分类162 7.1.3模型解释缺陷1647.1.4隐蔽通道的特徵1657.2隐蔽通道的标识技术1667.2.1标识技术的发展1677.2.2句法信息流分析法1697.2.3无干扰分析1707.2.4共享资源矩阵分析法1727.2.5语义信息流分析法1757.2.6隐蔽流树分析法1777.2.7潜在隐蔽通道1807.3隐蔽通道的频宽计算技术1807.3.1影响频宽计算的因素1817.3.2频宽计算的两种方法1837.4处理技术1857.4.1消除法1867.4.2频宽限制法1877.4.3威慑法1887.4.4进一步讨论1897.5本章小结1907.6习题190第8章安全作业系统设计1928.1设计原则与一般结构1928.2开发方法1938.2.1虚拟机法1938.2.2改进/增强法1948.2.3仿真法1948.3一般开发过程1958.4应注意的问题1978.4.1TCB的设计与实现1978.4.2安全机制的友好性2098.4.3兼容性和效率2098.5安胜安全作业系统设计2108.5.1设计目标2108.5.2开发方法2118.5.3总体结构2128.5.4关键技术2178.6经典SELinux安全设计2268.6.1安全体系结构2268.6.2安全策略配置2288.7本章小结2288.8习题229第9章作业系统安全评测2309.1作业系统安全性保证手段——从漏洞扫描评估到系统性安全性评测2309.1.1作业系统安全漏洞扫描2309.1.2作业系统安全性评测2319.2作业系统安全评测方法2319.3安全评测準则2329.3.1国内外安全评测準则概况2329.3.2美国橘皮书2359.3.3中国国标GB 17859—19992469.3.4国际通用安全评价準则CC2489.3.5中国推荐标準GB/T 18336—20012719.4本章小结2729.5习题272第10章安全作业系统的网路扩展27310.1网路体系结构27310.2网路安全威胁和安全服务27510.3分散式安全网路系统27710.3.1网路安全策略27910.3.2安全网路系统主体、客体和访问控制27910.3.3安全域与相互通信28010.3.4网路访问控制机制28210.3.5数据安全信息标识与传输机制28410.3.6数据传输保护机制28510.4安全网路系统的将来发展趋势28610.5本章小结28710.6习题288第11章可信计算与可信作业系统28911.1可信计算概述28911.1.1可信计算概念28911.1.2可信计算组织TCG292 11.1.3国内外可信计算技术发展29611.2可信平台模组TPM与可信加密模组TCM29811.2.1可信平台模组TPM29811.2.2可信加密模组TCM30111.2.3TCM、TPM、TPM.next之间的关係30411.3可信平台技术30511.3.1可信平台构件30611.3.2可信边界30611.3.3可传递的信任30611.3.4完整性度量30611.3.5完整性报告30711.3.6TCG证书机制30811.3.7TCG密钥管理机制31011.4基于TPM/TCM的可信作业系统技术31311.4.1主流作业系统中的问题31311.4.2基于可信计算的安全作业系统体系结构31411.4.3可信作业系统的核心技术31611.5本章小结32011.6习题321第12章新型作业系统发展与展望32212.1PC作业系统的发展与安全32212.1.1Windows Vista与Windows 732212.1.2Sun Solaris33112.2Web OS的发展与安全33411.2.1Web OS概述33411.2.2YouOS & eyeOS33611.2.3Web OS安全33712.3未来云作业系统与安全33712.3.1Google Chrome OS33712.3.2Windows Azure33912.4本章小结34512.5习题345参考文献346