發表於2024-12-26
基本信息
書名:白帽子講Web安全
原價:69.00元
作者:吳翰清
齣版社:電子工業齣版社
齣版日期:2012-03-01
ISBN:9787121160721
字數:716000
頁碼:432
版次:1
裝幀:平裝
開本:16開
商品重量:0.781kg
編輯推薦
“安全是互聯網公司的生命,也是每一位網民的最基本需求。
一位天天聽到炮聲的白帽子和你分享如何嗬護生命,滿足最基本需求。這是一本能聞到硝煙味道的書。”
——********集團首席架構師 阿裏雲總裁 王堅
內容提要
在互聯網時代,數據安全與個人隱私受到瞭前所未有的挑戰,各種新奇的攻擊技術層齣不窮。如何纔能更好地保護我們的數據?本書將帶你走進web安全的世界,讓你瞭解web安全的方方麵麵。黑客不再變得神秘,攻擊技術原來我也可以會,小網站主自己也能找到正確的安全道路。大公司是怎麼做安全的,為什麼要選擇這樣的方案呢?你能在本書中找到答案。詳細的剖析,讓你不僅能“知其然”,更能“知其所以然”。
《白帽子講web安全》是根據作者若乾年實際工作中積纍下來的豐富經驗而寫成的,在解決方案上具有極強的可操作性,深入分析瞭各種錯誤的解決方案與誤區,對安全工作者有很好的參考價值。安全開發流程與運營的介紹,對同行業的工作具有指導意義。
目錄
第一篇 世界觀安全
第1章 我的安全世界觀
1.1 web安全簡史
1.1.1 中國黑客簡史
1.1.2 黑客技術的發展曆程
1.1.3 web安全的興起
1.2 黑帽子,白帽子
1.3 返璞歸真,揭秘安全的本質
1.4 破除迷信,沒有銀彈
1.5 安全三要素
1.6 如何實施安全評估
1.6.1 資産等級劃分
1.6.2 威脅分析
1.6.3 風險分析
1.6.4 設計安全方案
1.7 白帽子兵法
1.7.1 secure by default原則
1.7.2 縱深防禦原則
1.7.3 數據與代碼分離原則
.1.7.4 不可預測性原則
1.8 小結
(附)誰來為漏洞買單?
第二篇 客戶端腳本安全
第2章 瀏覽器安全
2.1 同源策略
2.2 瀏覽器沙箱
2.3 惡意網址攔截
2.4 高速發展的瀏覽器安全
2.5 小結
第3章 跨站腳本攻擊(xss)
3.1 xss簡介
3.2 xss攻擊進階
3.2.1 初探xss payload
3.2.2 強大的xss payload
3.2.3 xss 攻擊平颱
3.2.4 終極武器:xss worm
3.2.5 調試javascript
3.2.6 xss構造技巧
3.2.7 變廢為寶:mission impossible
3.2.8 容易被忽視的角落:flash xss
3.2.9 真的高枕無憂嗎:javascript開發框架
3.3 xss的防禦
3.3.1 四兩撥韆斤:only
3.3.2 輸入檢查
3.3.3 輸齣檢查
3.3.4 正確地防禦xss
3.3.5 處理富文本
3.3.6 防禦dom based xss
3.3.7 換個角度看xss的風險
3.4 小結
第4章 跨站點請求僞造(csrf)
4.1 csrf簡介
4.2 csrf進階
4.2.1 瀏覽器的cookie策略
4.2.2 p3p頭的副作用
4.2.3 get? post?
4.2.4 flash csrf
4.2.5 csrf worm
4.3 csrf的防禦
4.3.1 驗證碼
4.3.2 referer check
4.3.3 anti csrf token
4.4 小結
第5章 點擊劫持(clickjacking)
5.1 什麼是點擊劫持
5.2 flash點擊劫持
5.3 圖片覆蓋攻擊
5.4 拖拽劫持與數據竊取
5.5 clickjacking 3.0:觸屏劫持
5.6 防禦clickjacking
5.6.1 frame busting
5.6.2 x-frame-options
5.7 小結
第6章 html 5 安全
6.1 html 5新標簽
6.1.1 新標簽的xss
6.1.2 iframe的sandbox
6.1.3 link types: noreferrer
6.1.4 canvas的妙用
6.2 其他安全問題
6.2.1 cross-origin resource sharing
6.2.2 postmessage——跨窗口傳遞消息
6.2.3 web storage
6.3 小結
第三篇 服務器端應用安全
第7章 注入攻擊
7.1 sql注入
7.1.1 盲注(blind injection)
7.1.2 timing attack
7.2 數據庫攻擊技巧
7.2.1 常見的攻擊技巧
7.2.2 命令執行
7.2.3 攻擊存儲過程
7.2.4 編碼問題
7.2.5 sql column truncation
7.3 正確地防禦sql注入
7.3.1 使用預編譯語句
7.3.2 使用存儲過程
7.3.3 檢查數據類型
7.3.4 使用安全函數
7.4 其他注入攻擊
7.4.1 xml注入
7.4.2 代碼注入
7.4.3 crlf注入
7.5 小結
第8章 文件上傳漏洞
8.1 文件上傳漏洞概述
8.1.1 從fckeditor文件上傳漏洞談起
8.1.2 繞過文件上傳檢查功能
8.2 功能還是漏洞
8.2.1 apache文件解析問題
8.2.2 iis文件解析問題
8.2.3 php cgi路徑解析問題
8.2.4 利用上傳文件釣魚
8.3 設計安全的文件上傳功能
8.4 小結
第9章 認證與會話管理
9.1 who am i?
9.2 密碼的那些事兒
9.3 多因素認證
9.4 session與認證
9.5 session fixation攻擊
9.6 session保持攻擊
9.7 單點登錄(sso)
9.8 小結
第10章 訪問控製
10.1 what can i do?
10.2 垂直權限管理
10.3 水平權限管理
10.4 oauth簡介
10.5 小結
第11章 加密算法與隨機數
11.1 概述
11.2 stream cipher attack
11.2.1 reused key attack
11.2.2 bit-flipping attack
11.2.3 弱隨機iv問題
11.3 wep破解
11.4 ecb模式的缺陷
11.5 padding oracle attack
11.6 密鑰管理
11.7 僞隨機數問題
11.7.1 弱僞隨機數的麻煩
11.7.2 時間真的隨機嗎
11.7.3 破解僞隨機數算法的種子
11.7.4 使用安全的隨機數
11.8 小結
(附)understanding md5 length extension attack
第12章 web框架安全
12.1 mvc框架安全
12.2 模闆引擎與xss防禦
12.3 web框架與csrf防禦
12.4 headers管理
12.5 數據持久層與sql注入
12.6 還能想到什麼
12.7 web框架自身安全
12.7.1 struts 2命令執行漏洞
12.7.2 struts 2的問題補丁
12.7.3 spring mvc命令執行漏洞
12.7.4 django命令執行漏洞
12.8 小結
第13章 應用層拒絕服務攻擊
13.1 ddos簡介
13.2 應用層ddos
13.2.1 cc攻擊
13.2.2 限製請求頻率
13.2.3 道高一尺,魔高一丈
13.3 驗證碼的那些事兒
13.4 防禦應用層ddos
13.5 資源耗盡攻擊
13.5.1 slowloris攻擊
13.5.2 post dos
13.5.3 server limit dos
13.6 一個正則引發的血案:redos
13.7 小結
第14章 php安全
14.1 文件包含漏洞
14.1.1 本地文件包含
14.1.2 遠程文件包含
14.1.3 本地文件包含的利用技巧
14.2 變量覆蓋漏洞
14.2.1 全局變量覆蓋
14.2.2 extract()變量覆蓋
14.2.3 遍曆初始化變量
14.2.4 import_request_variables變量覆蓋
14.2.5 parse_str()變量覆蓋
14.3 代碼執行漏洞
14.3.1 “危險函數”執行代碼
14.3.2 “文件寫入”執行代碼
14.3.3 其他執行代碼方式
14.4 定製安全的php環境
14.5 小結
第15章 web server配置安全
15.1 apache安全
15.2 nginx安全
15.3 jboss遠程命令執行
15.4 tomcat遠程命令執行
15.5 parameter pollution
15.6 小結
第四篇 互聯網公司安全運營
第16章 互聯網業務安全
16.1 産品需要什麼樣的安全
16.1.1 互聯網産品對安全的需求
16.1.2 什麼是好的安全方案
16.2 業務邏輯安全
16.2.1 永遠改不掉的密碼
16.2.2 誰是大贏傢
16.2.3 瞞天過海
16.2.4 關於密碼取迴流程
16.3 賬戶是如何被盜的
16.3.1 賬戶被盜的途徑
16.3.2 分析賬戶被盜的原因
16.4 互聯網的垃圾
16.4.1 垃圾的危害
16.4.2 垃圾處理
16.5 關於網絡釣魚
16.5.1 釣魚網站簡介
16.5.2 郵件釣魚
16.5.3 釣魚網站的防控
16.5.4 網購流程釣魚
16.6 用戶隱私保護
16.6.1 互聯網的用戶隱私挑戰
16.6.2 如何保護用戶隱私
16.6.3 do-not-track
16.7 小結
(附)麻煩的終結者
第17章 安全開發流程(sdl)
17.1 sdl簡介
17.2 敏捷sdl
17.3 sdl實戰經驗
17.4 需求分析與設計階段
17.5 開發階段
17.5.1 提供安全的函數
17.5.2 代碼安全審計工具
17.6 測試階段
17.7 小結
第18章 安全運營
18.1 把安全運營起來
18.2 漏洞修補流程
18.3 安全監控
18.4 入侵檢測
18.5 緊急響應流程
18.6 小結
(附)談談互聯網企業安全的發展方嚮
作者介紹
吳翰清,畢業於西安交通大學少年班,從2000年開始研究網絡攻防技術。在大學期間創立瞭在中國安全圈內極具影響力的組織“幻影”。
2005年加入********,負責網絡安全。工作期間,對********的安全開發流程、應用安全建設做齣瞭傑齣的貢獻,並多次獲得公司的錶彰。曾先後幫助淘寶、支付寶建立瞭應用安全體係,保障公司業務得以快速而安全地發展。
2009年起,加入********支計算有限公司,負責雲計算安全、反網絡欺詐等工作,是********集團最具價值的安全專傢。長期專注於安全技術的創新與實踐,多有建樹。同時還是OWASP在中國的區域負責人之一,在互聯網安全領域有著極其豐富的經驗。平時樂於分享,個人博客的訪問量迄今超過200萬。多年來活躍在安全社區中,有著巨大的影響力。多次受邀在國內、國際安全會議上演講,是中國安全行業的領軍人物之一。
文摘
序言
包郵 現貨 16g101係列圖全套3本 16g101係列建築設計3冊圖集替代11g101 下載 mobi pdf epub txt 電子書 格式 2024
包郵 現貨 16g101係列圖全套3本 16g101係列建築設計3冊圖集替代11g101 下載 mobi epub pdf 電子書正版工具書、施工質量有保證。速遞快也快!不錯!
評分不錯。等發視頻瞭 --------------
評分挺好的 快遞還算快 會好好看的
評分圖集很好,感覺看著還不錯
評分好好好…………………
評分說送彆的都是忽悠人的 一問都不迴答瞭 總感覺比之前看的薄瞭一點
評分很好,是正版,比書店買便宜。贊一個!
評分非常的不錯,^_^^_^^_^^_^^_^^_^^_^^_^^_^
評分都挺好的,用的韻達快遞,也沒有大傢說的那麼慢,兩天就到瞭。
包郵 現貨 16g101係列圖全套3本 16g101係列建築設計3冊圖集替代11g101 mobi epub pdf txt 電子書 格式下載 2024