十几年前,基于数据库的Web应用刚流行时,几乎所有开发商都忽略了SQL注入漏洞,导致当时大多数网站的登录入口形同虚设。时至今日,Web应用已愈加成熟,安全性也不断得到加强。遗憾的是,针对SQL注入漏洞的各种攻击工具也在推陈出新,不断地想安全管理人员发出新的挑战。如何最大程度地降低SQL注入风险,从根本上实施SQL注入防御,成为网路管理人员和开发人员亟需解决的“烫手山芋”。
现在网络上关于SQL注入方面的教程比较零散,大多针对某一类具体应用,难以作为预防SQL注入的完整解决方案。本书弥补了这一缺憾!本书作者均是专门研究SQL注入的安全专家,他们集众之长。对应用程序的基本编码和升级维护进行全程跟踪,详细讲解可能引发SQL注入的行为以及攻击者的利用要素,并结合长期实践经验提出了相应的解决方案。SQL注入利用的是正常的HTTP服务端口,表面上和正常的Web访问没有差别,隐蔽性极强。针对这种情况,书中重点讲解了SQL注入的排查方法和可以借助的工具,总结了常用的利用SQL注入漏洞的方法。开发人员和系统管理人员在SQL注入防御中扮演着重要角色,因此,书中专门从代码层和系统层角度介绍了避免SQL注入的各种策略和需要考虑的问题。
全书共10章,分别介绍了SQL注入的基本概念,如何发现、确认并利用SQL注入和SQL盲注,利用操作系统防御SQL注入,SQL注入的一些高级话题,代码层和平台层防御等知识,书中主要针对的是Microsoft Server、Mysql和Oracle这三大主流数据库。本书注重于实践,涉及的内容也比较前沿,另外,还包含了大量详实的案例,它们都具有很好的显示指导作用,读者可以从中学到最新的攻击和防御技术。
本书主要从黄晓磊和李化翻译完成,全书由李化统稿。由于本书内容较新、知识面广且译者水平有限,译文难免中难免存在错误之处,敬请读者批评指正。
暂无评论内容