万本电子书0元读

万本电子书0元读

顶部广告

开发者的Web安全戒律:真实威胁与防御实践电子书

售       价:¥

纸质售价:¥54.50购买纸书

118人正在读 | 0人评论 6.7

作       者:(美)马尔科姆·麦克唐纳(Malcolm McDonald)

出  版  社:机械工业出版社

出版时间:2022-07-01

字       数:12.6万

所属分类: 科技 > 计算机/网络 > 计算机理论与教程

温馨提示:数字商品不支持退换货,不提供源文件,不支持导出打印

为你推荐

  • 读书简介
  • 目录
  • 累计评论(0条)
  • 读书简介
  • 目录
  • 累计评论(0条)
本书介绍了成为高效Web发人员所需掌握的基本安全知识,并将教你为何你的网站容易受到攻以及如何保护它们。每一章都分解了一个主要的安全漏洞,并探讨了一个真实的攻,结合大量的代码,向你展示漏洞和修复方法。<br/>
目录展开

版权页

作者简介

译者简介

译者序

前言

关于技术审校

致谢

第1章 让我们了解黑客如何入侵一个网站

1.1 软件漏洞和暗网

1.2 黑客如何攻击网站

第2章 互联网的工作原理

2.1 互联网协议套件

2.1.1 IP地址

2.1.2 域名系统

2.2 应用层协议

2.3 状态连接

2.4 加密

2.5 小结

第3章 浏览器的工作原理

3.1 页面呈现

3.1.1 渲染管道:概述

3.1.2 文档对象模型

3.1.3 样式信息

3.2 JavaScript

3.3 渲染前后:浏览器执行的所有其他操作

3.4 小结

第4章 Web服务器的工作方式

4.1 静态资源

4.1.1 URL解析

4.1.2 内容交付网络

4.1.3 内容管理系统

4.2 动态资源

4.2.1 模板

4.2.2 数据库

4.2.3 分布式缓存

4.2.4 Web编程语言

4.3 小结

第5章 程序员的工作方式

5.1 阶段1:设计与分析

5.2 阶段2:编写代码

5.2.1 分布式版本控制与集中式版本控制

5.2.2 分支和合并代码

5.3 阶段3:发布前测试

5.3.1 覆盖范围和持续集成

5.3.2 测试环境

5.4 阶段4:发布过程

5.4.1 发布期间标准化部署的选项

5.4.2 编译过程

5.4.3 数据库迁移脚本

5.5 阶段5:发布后的测试和观察

5.5.1 渗透测试

5.5.2 监控、日志记录和错误报告

5.6 依赖管理

5.7 小结

第6章 注入攻击

6.1 SQL注入

6.1.1 什么是SQL

6.1.2 SQL注入攻击剖析

6.1.3 缓解措施1:使用参数化语句

6.1.4 缓解措施2:使用对象关系映射

6.1.5 额外缓解:使用纵深防御

6.2 命令注入

6.2.1 命令注入攻击剖析

6.2.2 缓解措施:转义控制字符

6.3 远程代码执行

6.3.1 远程代码执行剖析

6.3.2 缓解措施:在反序列化期间禁用代码执行

6.4 文件上传漏洞

6.4.1 文件上传攻击剖析

6.4.2 缓解措施

6.5 小结

第7章 跨站点脚本攻击

7.1 存储型跨站点脚本攻击

7.1.1 缓解措施1:转义HTML字符

7.1.2 缓解措施2:实施内容安全策略

7.2 反射型跨站点脚本攻击

7.3 基于DOM的跨站点脚本攻击

7.4 小结

第8章 跨站点请求伪造攻击

8.1 CSRF攻击剖析

8.2 缓解措施1:遵循REST原则

8.3 缓解措施2:使用anti-CSRF cookie

8.4 缓解措施3:使用SameSite cookie属性

8.5 额外的缓解措施:敏感动作需要重新验证

8.6 小结

第9章 破坏身份认证

9.1 实施身份认证

9.1.1 HTTP本地身份认证

9.1.2 非本地认证

9.1.3 暴力破解攻击

9.2 缓解措施1:使用第三方身份认证

9.3 缓解措施2:与单点登录集成

9.4 缓解措施3:保护自己的身份认证系统

9.4.1 需要用户名、电子邮件地址或两个都要

9.4.2 要求复杂密码

9.4.3 安全地存储密码

9.4.4 多因素身份认证

9.4.5 实现并保护注销功能

9.4.6 防止用户枚举

9.5 小结

第10章 会话劫持

10.1 会话的工作方式

10.1.1 服务器端会话

10.1.2 客户端会话

10.2 攻击者如何劫持会话

10.2.1 cookie窃取

10.2.2 会话确定

10.2.3 利用弱会话ID

10.3 小结

第11章 权限

11.1 提权

11.2 访问控制

11.2.1 设计授权模型

11.2.2 实施访问控制

11.2.3 测试访问控制

11.2.4 添加审计记录

11.2.5 避免常见的疏忽

11.3 目录遍历

11.3.1 文件路径和相对文件路径

11.3.2 目录遍历攻击剖析

11.3.3 缓解措施1:信任你的Web服务器

11.3.4 缓解措施2:使用托管服务

11.3.5 缓解措施3:使用间接文件引用

11.3.6 缓解措施4:净化文件引用

11.4 小结

第12章 信息泄露

12.1 缓解措施1:禁用Telltale Server标头

12.2 缓解措施2:使用干净的URL

12.3 缓解措施3:使用通用cookie参数

12.4 缓解措施4:禁用客户端错误报告

12.5 缓解措施5:缩小或模糊处理JavaScript文件

12.6 缓解措施6:清理客户端文件

12.7 始终关注安全公告

12.8 小结

第13章 加密

13.1 Internet协议中的加密

13.1.1 加密算法、哈希和消息身份认证代码

13.1.2 TLS握手

13.2 启用HTTPS

13.2.1 数字证书

13.2.2 获取数字证书

13.2.3 安装数字证书

13.3 攻击HTTP(和HTTPS)

13.3.1 无线路由器

13.3.2 Wi-Fi热点

13.3.3 互联网服务提供商

13.3.4 政府机构

13.4 小结

第14章 第三方代码

14.1 保护依赖项

14.1.1 知道你正在运行什么代码

14.1.2 能够快速部署新版本

14.1.3 对安全问题保持警惕

14.1.4 知道什么时候升级

14.2 保护配置

14.2.1 禁用默认凭据

14.2.2 禁用开放目录列表

14.2.3 保护你的配置信息

14.2.4 加固测试环境

14.2.5 保护管理前端

14.3 保护你使用的服务

14.3.1 保护你的API密钥

14.3.2 保护你的webhook

14.3.3 第三方提供的安全内容

14.4 服务作为攻击媒介

14.4.1 警惕恶意广告

14.4.2 避免恶意软件传递

14.4.3 使用信誉良好的广告平台

14.4.4 使用SafeFrame

14.4.5 定制广告偏好设置

14.4.6 审查并报告可疑广告

14.5 小结

第15章 XML攻击

15.1 XML的使用

15.2 验证XML

15.3 XML炸弹

15.4 XML外部实体攻击

15.5 保护你的XML解析器

15.5.1 Python

15.5.2 Ruby

15.5.3 Node.js

15.5.4 Java

15.5.5 .NET

15.6 其他考虑

15.7 小结

第16章 不要成为帮凶

16.1 电子邮件欺诈

16.1.1 实施发件人策略框架

16.1.2 域密钥标识邮件

16.1.3 保护你的电子邮件:实用步骤

16.2 伪装电子邮件中的恶意链接

16.2.1 开放重定向

16.2.2 防止开放重定向

16.2.3 其他考虑

16.3 点击劫持

16.4 服务器端请求伪造

16.5 僵尸网络

16.6 小结

第17章 拒绝服务攻击

17.1 拒绝服务攻击类型

17.1.1 互联网控制消息协议攻击

17.1.2 传输控制协议攻击

17.1.3 应用层攻击

17.1.4 反射和放大攻击

17.1.5 分布式拒绝服务攻击

17.1.6 无意拒绝服务攻击

17.2 拒绝服务攻击的缓解措施

17.2.1 防火墙和入侵防御系统

17.2.2 DDoS保护服务

17.2.3 规模扩展

17.3 小结

第18章 总结

累计评论(0条) 0个书友正在讨论这本书 发表评论

发表评论

发表评论,分享你的想法吧!

买过这本书的人还买过

读了这本书的人还在读

回顶部