Web应用程序安全
Web应用程序安全
Andrew Hoffman
卢浩, 陈新 译
出版时间:2021年06月
页数:356
虽然有很多网络和IT安全方面的资源,但是直到现在,依然缺乏详细的现代Web应用安全相关的知识。这本实用的指南提供了攻防兼备的安全观念,软件工程师可以轻松学习和应用。
Salesforce的高级安全工程师Andrew Hoffman介绍了Web应用安全 的三大支柱:侦察、攻击和防御。你将学习有效研究和分析现代Web应用程序的方法,包括那些你无法直接访问的应用程序。你还将学习如何使用最新的黑客技术来入侵Web应用。最后,你将学到如何在自己的Web应用程序开发中采取缓解措施,以防止黑客攻击。
● 探索困扰当今Web应用的常见漏洞。
● 学习攻击者进行漏洞利用攻击所用的基本的黑客技术。
● 映射和记录你无法直接访问的Web应用。
● 开发并部署可以绕过常规防御机制的、定制的漏洞利用程序。
● 制订并部署缓解措施,保护你的应用程序免受黑客攻击。
● 将安全编码的最佳实践融入到你的开发生命周期中。
● 获取实用的技巧,帮助你提高Web应用的整体安全性。
  1. 前言
  2. 第1章 软件安全历程
  3. 1.1 黑客的起源
  4. 1.2 Enigma密码机,约1930年
  5. 1.3 自动Enigma密码破解,约1940年
  6. 1.4 电话“Phreaking”,约1950年
  7. 1.5 防Phreaking技术,约1960年
  8. 1.6 计算机黑客的起源,约1980年
  9. 1.7 互联网的兴起,约2000年
  10. 1.8 现时代的黑客,约2015年之后
  11. 1.9 小结
  12. 第一部分 侦察
  13. 第2章 Web应用侦察简介
  14. 2.1 信息收集
  15. 2.2 Web应用程序构图
  16. 2.3 小结
  17. 第3章 现代Web应用程序的结构
  18. 3.1 现代的与传统的Web应用程序
  19. 3.2 REST API
  20. 3.3 JS对象标记
  21. 3.4 JavaScript
  22. 3.4.1 变量和作用域
  23. 3.4.2 函数
  24. 3.4.3 上下文
  25. 3.4.4 原型继承
  26. 3.4.5 异步模型
  27. 3.4.6 浏览器DOM
  28. 3.5 SPA框架
  29. 3.6 认证和授权系统
  30. 3.6.1 认证
  31. 3.6.2 授权
  32. 3.7 Web服务器
  33. 3.8 服务器端数据库
  34. 3.9 客户端数据存储
  35. 3.10 小结
  36. 第4章 寻找子域
  37. 4.1 单域多应用程序
  38. 4.2 浏览器内置的网络分析工具
  39. 4.3 公开信息利用
  40. 4.3.1 搜索引擎缓存
  41. 4.3.2 存档信息利用
  42. 4.3.3 社交媒体快照
  43. 4.4 域传送攻击
  44. 4.5 暴力破解子域
  45. 4.6 字典攻击
  46. 4.7 小结
  47. 第5章 API分析
  48. 5.1 端点探索
  49. 5.2 认证机制
  50. 5.3 端点的模型
  51. 5.3.1 常见模型
  52. 5.3.2 特定于应用的模型
  53. 5.4 小结
  54. 第6章 识别第三方依赖
  55. 6.1 探测客户端框架
  56. 6.1.1 探测SPA框架
  57. 6.1.2 探测JavaScript库
  58. 6.1.3 探测CSS库
  59. 6.2 探测服务器端框架
  60. 6.2.1 标头探测
  61. 6.2.2 默认错误信息和404页面
  62. 6.2.3 探测数据库
  63. 6.3 小结
  64. 第7章 定位应用架构中的薄弱点
  65. 7.1 安全架构与不安全架构的标志
  66. 7.2 多层安全机制
  67. 7.3 采纳和重构
  68. 7.4 小结
  69. 第8章 第一部分总结
  70. 第二部分 攻击
  71. 第9章 Web应用入侵简介
  72. 9.1 黑客的心态
  73. 9.2 运用侦察
  74. 第10章 XSS攻击
  75. 10.1 XSS的发现和利用
  76. 10.2 储存型XSS
  77. 10.3 反射型XSS
  78. 10.4 DOM型XSS
  79. 10.5 突变型XSS
  80. 10.6 小结
  81. 第11章 CSRF攻击
  82. 11.1 查询参数篡改
  83. 11.2 替换GET的有效载荷
  84. 11.3 针对POST端点的CSRF
  85. 11.4 小结
  86. 第12章 XXE攻击
  87. 12.1 直接型XXE
  88. 12.2 间接型XXE
  89. 12.3 小结
  90. 第13章 注入攻击
  91. 13.1 SQL注入攻击
  92. 13.2 代码注入
  93. 13.3 命令注入
  94. 13.4 小结
  95. 第14章 DoS攻击
  96. 14.1 ReDoS(Regex DoS)攻击
  97. 14.2 逻辑DoS攻击
  98. 14.3 DDoS(分布式DoS)攻击
  99. 14.4 小结
  100. 第15章 第三方依赖漏洞利用
  101. 15.1 集成的方法
  102. 15.1.1 分支和复制
  103. 15.1.2 自托管的应用程序集成
  104. 15.1.3 源代码集成
  105. 15.2 软件包管理器
  106. 15.2.1 JavaScript包管理器
  107. 15.2 2 Java包管理器
  108. 15.2.3 其他语言的包管理器
  109. 15.3 CVE(公共漏洞和披露)数据库
  110. 15.4 小结
  111. 第16章 第二部分总结
  112. 第三部分 防御
  113. 第17章 现代Web应用加固
  114. 17.1 防御性软件架构
  115. 17.2 全面的代码审查
  116. 17.3 漏洞发现
  117. 17.4 漏洞分析
  118. 17.5 漏洞管理
  119. 17.6 回归测试
  120. 17.7 缓解策略
  121. 17.8 应用侦察和攻击技术
  122. 第18章 安全的应用架构
  123. 18.1 分析功能需求
  124. 18.2 认证和授权
  125. 18.2.1 SSL和TLS
  126. 18.2.2 安全的凭证
  127. 18.2.3 散列凭证信息
  128. 18.2.4 2FA认证
  129. 18.3 PII和财务数据
  130. 18.4 搜索
  131. 18.5 小结
  132. 第19章 代码安全审查
  133. 19.1 如何开始代码审查
  134. 19.2 原型漏洞与自定义逻辑漏洞
  135. 19.3 代码安全审查起步
  136. 19.4 安全编码的反面模式
  137. 19.4.1 黑名单
  138. 19.4.2 模板代码
  139. 19.4.3 默认信任反模式
  140. 19.4.4 客户端/服务器分离
  141. 19.5 小结
  142. 第20章 漏洞发现
  143. 20.1 安全自动化
  144. 20.1.1 静态分析
  145. 20.1.2 动态分析
  146. 20.1.3 漏洞回归测试
  147. 20.2 责任披露计划
  148. 20.3 漏洞赏金计划
  149. 20.4 第三方渗透测试
  150. 20.5 小结
  151. 第21章 漏洞管理
  152. 21.1 漏洞重现
  153. 21.2 漏洞严重等级
  154. 21.3 通用漏洞评分系统
  155. 21.3.1 CVSS:基础评分
  156. 21.3.2 CVSS:时间评分
  157. 21.3.3 CVSS:环境评分
  158. 21.4 高级漏洞评分
  159. 21.5 分拣、评分之后
  160. 21.6 小结
  161. 第22章 防御XSS攻击
  162. 22.1 防御XSS编码最佳实践
  163. 22.2 净化用户输入
  164. 22.2.1 DOM解析接收器
  165. 22.2.2 SVG接收器
  166. 22.2.3 Blob接收器
  167. 22.2.4 超链接净化
  168. 22.2.5 HTML实体编码
  169. 22.3 CSS
  170. 22.4 阻止XSS的CSP
  171. 22.4.1 脚本源
  172. 22.4.2 Unsafe Eval和Unsafe Inline选项
  173. 22.4.3 实现CSP
  174. 22.5 小结
  175. 第23章 防御CSRF攻击
  176. 23.1 标头验证
  177. 23.2 CSRF令牌
  178. 23.3 防CRSF编码最佳实践
  179. 23.3.1 无状态GET请求
  180. 23.3.2 应用级CSRF缓解
  181. 23.4 小结
  182. 第24章 防御XXE攻击
  183. 24.1 评估其他数据格式
  184. 24.2 高级XXE风险
  185. 24.3 小结
  186. 第25章 防御注入攻击
  187. 25.1 缓解SQL注入攻击
  188. 25.1.1 SQL注入检测
  189. 25.1.2 预编译语句
  190. 25.1.3 特定于数据库的防御
  191. 25.2 通用注入防御
  192. 25.2.1 潜在的注入目标
  193. 25.2.2 最小权限原则
  194. 25.2.3 命令白名单化
  195. 25.3 小结
  196. 第26章 防御DoS攻击
  197. 26.1 防范Regex DoS攻击
  198. 26.2 防范逻辑DoS攻击
  199. 26.3 防范DDoS攻击
  200. 26.4 缓解DDoS攻击
  201. 26.5 小结
  202. 第27章 加固第三方依赖
  203. 27.1 评估依赖关系树
  204. 27.1.1 依赖关系树建模
  205. 27.1.2 依赖关系树实例
  206. 27.1.3 自动评估
  207. 27.2 安全集成技术
  208. 27.2.1 关注点分离
  209. 27.2.2 安全包管理
  210. 27.3 小结
  211. 第28章 第三部分小结
  212. 28.1 软件安全的历史
  213. 28.2 Web应用侦察
  214. 28.3 攻击
  215. 28.4 防御
  216. 第29章 总结
书名:Web应用程序安全
作者:Andrew Hoffman
译者:卢浩, 陈新 译
国内出版社:中国电力出版社
出版时间:2021年06月
页数:356
书号:978-7-5198-5480-5
原版书书名:Web Application Security
原版书出版商:O'Reilly Media
Andrew Hoffman
 
Andrew Hoffman是Salesforce.com的高级安全工程师,负责多个JavaScript、Node.js和OSS团队的安全工作。他的专长是DOM和JavaScript安全漏洞深入研究。他曾与各大浏览器厂商,包括TC39和WHATWG(Web Hypertext Application Technology Working Group,负责设计即将推出的 JavaScript和浏览器DOM版本的组织)合作过。
 
 
购买选项
定价:88.00元
书号:978-7-5198-5480-5
出版社:中国电力出版社
联系出版社邮购

© 2024,奥莱利技术咨询(北京)有限公司。版权所有。
传真: +86-10-88097463
 京ICP备05003502号