白帽子講Web安全

出版時間：2012-3 出版社：電子工業(yè)出版社作者：吳翰清頁數(shù)：432 字數(shù)：716000
Tag標簽：無

內(nèi)容概要

　　在互聯(lián)網(wǎng)時代，數(shù)據(jù)安全與個人隱私受到了前所未有的挑戰(zhàn)，各種新奇的攻擊技術(shù)層出不窮。如何才能更好地保護我們的數(shù)據(jù)？本書將帶你走進web安全的世界，讓你了解web安全的方方面面。黑客不再變得神秘，攻擊技術(shù)原來我也可以會，小網(wǎng)站主自己也能找到正確的安全道路。大公司是怎么做安全的，為什么要選擇這樣的方案呢？你能在本書中找到答案。詳細的剖析，讓你不僅能“知其然”，更能“知其所以然”。
　　《白帽子講web安全》是根據(jù)作者若干年實際工作中積累下來的豐富經(jīng)驗而寫成的，在解決方案上具有極強的可操作性，深入分析了各種錯誤的解決方案與誤區(qū)，對安全工作者有很好的參考價值。安全開發(fā)流程與運營的介紹，對同行業(yè)的工作具有指導意義。

作者簡介

吳翰清，畢業(yè)于西安交通大學少年班，從2000年開始研究網(wǎng)絡(luò)攻防技術(shù)。在大學期間創(chuàng)立 了在中國安全圈內(nèi)極具影響力的組織“幻影”。2005年加入阿里巴巴，負責網(wǎng)絡(luò)安全。工作期間，對阿里巴巴的安全開發(fā)流程、應(yīng)用安全建設(shè)做出了杰出的貢獻，并多次獲得公司的表彰。曾先后幫助淘寶、支付寶建立了應(yīng)用安全體系，保障公司業(yè)務(wù)得以快速而安全地發(fā)展。2009年起，加入阿里巴巴支計算有限公司，負責云計算安全、反網(wǎng)絡(luò)欺詐等工作，是阿里巴巴集團最具價值的安全專家。長期專注于安全技術(shù)的創(chuàng)新與實踐，多有建樹。同時還是OWASP在中國的區(qū)域負責人之一，在互聯(lián)網(wǎng)安全領(lǐng)域有著極其豐富的經(jīng)驗。平時樂于分享，個人博客的訪問量迄今超過200萬。多年來活躍在安全社區(qū)中，有著巨大的影響力。多次受邀在國內(nèi)、國際安全會議上演講，是中國安全行業(yè)的領(lǐng)軍人物之一。

書籍目錄

第一篇 世界觀安全
　第1章 我的安全世界觀
　　1.1 web安全簡史
　　1.1.1 中國黑客簡史
　　1.1.2 黑客技術(shù)的發(fā)展歷程
　　1.1.3 web安全的興起
　　1.2 黑帽子，白帽子
　　1.3 返璞歸真，揭秘安全的本質(zhì)
　　1.4 破除迷信，沒有銀彈
　　1.5 安全三要素
　　1.6 如何實施安全評估
　　1.6.1 資產(chǎn)等級劃分
　　1.6.2 威脅分析
　　1.6.3 風險分析
　　1.6.4 設(shè)計安全方案
　　1.7 白帽子兵法
　　1.7.1 secure by default原則
　　1.7.2 縱深防御原則
　　1.7.3 數(shù)據(jù)與代碼分離原則
　　.1.7.4 不可預(yù)測性原則
　　1.8 小結(jié)
　　（附）誰來為漏洞買單？
第二篇 客戶端腳本安全
　第2章 瀏覽器安全
　　2.1 同源策略
　　2.2 瀏覽器沙箱
　　2.3 惡意網(wǎng)址攔截
　　2.4 高速發(fā)展的瀏覽器安全
　　2.5 小結(jié)
　第3章 跨站腳本攻擊（xss）
　　3.1 xss簡介
　　3.2 xss攻擊進階
　　3.2.1 初探xss payload
　　3.2.2 強大的xss payload
　　3.2.3 xss 攻擊平臺
　　3.2.4 終極武器：xss worm
　　3.2.5 調(diào)試javascript
　　3.2.6 xss構(gòu)造技巧
　　3.2.7 變廢為寶：mission impossible
　　3.2.8 容易被忽視的角落：flash xss
　　3.2.9 真的高枕無憂嗎：javascript開發(fā)框架
　　3.3 xss的防御
　　3.3.1 四兩撥千斤：httponly
　　3.3.2 輸入檢查
　　3.3.3 輸出檢查
　　3.3.4 正確地防御xss
　　3.3.5 處理富文本
　　3.3.6 防御dom based xss
　　3.3.7 換個角度看xss的風險
　　3.4 小結(jié)
　第4章 跨站點請求偽造（csrf）
　　4.1 csrf簡介
　　4.2 csrf進階
　　4.2.1 瀏覽器的cookie策略
　　4.2.2 p3p頭的副作用
　　4.2.3 get? post?
　　4.2.4 flash csrf
　　4.2.5 csrf worm
　　4.3 csrf的防御
　　4.3.1 驗證碼
　　4.3.2 referer check
　　4.3.3 anti csrf token
　　4.4 小結(jié)
　第5章 點擊劫持（clickjacking）
　　5.1 什么是點擊劫持
　　5.2 flash點擊劫持
　　5.3 圖片覆蓋攻擊
　　5.4 拖拽劫持與數(shù)據(jù)竊取
　　5.5 clickjacking 3.0：觸屏劫持
　　5.6 防御clickjacking
　　5.6.1 frame busting
　　5.6.2 x-frame-options
　　5.7 小結(jié)
　第6章 html 5 安全
　　6.1 html 5新標簽
　　6.1.1 新標簽的xss
　　6.1.2 iframe的sandbox
　　6.1.3 link types: noreferrer
　　6.1.4 canvas的妙用
　　6.2 其他安全問題
　　6.2.1 cross-origin resource sharing
　　6.2.2 postmessage——跨窗口傳遞消息
　　6.2.3 web storage
　　6.3 小結(jié)
第三篇 服務(wù)器端應(yīng)用安全
　第7章 注入攻擊
　　7.1 sql注入
　　7.1.1 盲注（blind injection）
　　7.1.2 timing attack
　　7.2 數(shù)據(jù)庫攻擊技巧
　　7.2.1 常見的攻擊技巧
　　7.2.2 命令執(zhí)行
　　7.2.3 攻擊存儲過程
　　7.2.4 編碼問題
　　7.2.5 sql column truncation
　　7.3 正確地防御sql注入
　　7.3.1 使用預(yù)編譯語句
　　7.3.2 使用存儲過程
　　7.3.3 檢查數(shù)據(jù)類型
　　7.3.4 使用安全函數(shù)
　　7.4 其他注入攻擊
　　7.4.1 xml注入
　　7.4.2 代碼注入
　　7.4.3 crlf注入
　　7.5 小結(jié)
　第8章 文件上傳漏洞
　　8.1 文件上傳漏洞概述
　　8.1.1 從fckeditor文件上傳漏洞談起
　　8.1.2 繞過文件上傳檢查功能
　　8.2 功能還是漏洞
　　8.2.1 apache文件解析問題
　　8.2.2 iis文件解析問題
　　8.2.3 php cgi路徑解析問題
　　8.2.4 利用上傳文件釣魚
　　8.3 設(shè)計安全的文件上傳功能
　　8.4 小結(jié)
　第9章 認證與會話管理
　　9.1 who am i?
　　9.2 密碼的那些事兒
　　9.3 多因素認證
　　9.4 session與認證
　　9.5 session fixation攻擊
　　9.6 session保持攻擊
　　9.7 單點登錄（sso）
　　9.8 小結(jié)
　第10章 訪問控制
　　10.1 what can i do?
　　10.2 垂直權(quán)限管理
　　10.3 水平權(quán)限管理
　　10.4 oauth簡介
　　10.5 小結(jié)
　第11章 加密算法與隨機數(shù)
　　11.1 概述
　　11.2 stream cipher attack
　　11.2.1 reused key attack
　　11.2.2 bit-flipping attack
　　11.2.3 弱隨機iv問題
　　11.3 wep破解
　　11.4 ecb模式的缺陷
　　11.5 padding oracle attack
　　11.6 密鑰管理
　　11.7 偽隨機數(shù)問題
　　11.7.1 弱偽隨機數(shù)的麻煩
　　11.7.2 時間真的隨機嗎
　　11.7.3 破解偽隨機數(shù)算法的種子
　　11.7.4 使用安全的隨機數(shù)
　　11.8 小結(jié)
　?。ǜ剑﹗nderstanding md5 length extension attack
　第12章 web框架安全
　　12.1 mvc框架安全
　　12.2 模板引擎與xss防御
　　12.3 web框架與csrf防御
　　12.4 http headers管理
　　12.5 數(shù)據(jù)持久層與sql注入
　　12.6 還能想到什么
　　12.7 web框架自身安全
　　12.7.1 struts 2命令執(zhí)行漏洞
　　12.7.2 struts 2的問題補丁
　　12.7.3 spring mvc命令執(zhí)行漏洞
　　12.7.4 django命令執(zhí)行漏洞
　　12.8 小結(jié)
　第13章 應(yīng)用層拒絕服務(wù)攻擊
　　13.1 ddos簡介
　　13.2 應(yīng)用層ddos
　　13.2.1 cc攻擊
　　13.2.2 限制請求頻率
　　13.2.3 道高一尺，魔高一丈
　　13.3 驗證碼的那些事兒
　　13.4 防御應(yīng)用層ddos
　　13.5 資源耗盡攻擊
　　13.5.1 slowloris攻擊
　　13.5.2 http post dos
　　13.5.3 server limit dos
　　13.6 一個正則引發(fā)的血案：redos
　　13.7 小結(jié)
　第14章 php安全
　　14.1 文件包含漏洞
　　14.1.1 本地文件包含
　　14.1.2 遠程文件包含
　　14.1.3 本地文件包含的利用技巧
　　14.2 變量覆蓋漏洞
　　14.2.1 全局變量覆蓋
　　14.2.2 extract()變量覆蓋
　　14.2.3 遍歷初始化變量
　　14.2.4 import_request_variables變量覆蓋
　　14.2.5 parse_str()變量覆蓋
　　14.3 代碼執(zhí)行漏洞
　　14.3.1 “危險函數(shù)”執(zhí)行代碼
　　14.3.2 “文件寫入”執(zhí)行代碼
　　14.3.3 其他執(zhí)行代碼方式
　　14.4 定制安全的php環(huán)境
　　14.5 小結(jié)
　第15章 web server配置安全
　　15.1 apache安全
　　15.2 nginx安全
　　15.3 jboss遠程命令執(zhí)行
　　15.4 tomcat遠程命令執(zhí)行
　　15.5 http parameter pollution
　　15.6 小結(jié)
第四篇 互聯(lián)網(wǎng)公司安全運營
　第16章 互聯(lián)網(wǎng)業(yè)務(wù)安全
　　16.1 產(chǎn)品需要什么樣的安全
　　16.1.1 互聯(lián)網(wǎng)產(chǎn)品對安全的需求
　　16.1.2 什么是好的安全方案
　　16.2 業(yè)務(wù)邏輯安全
　　16.2.1 永遠改不掉的密碼
　　16.2.2 誰是大贏家
　　16.2.3 瞞天過海
　　16.2.4 關(guān)于密碼取回流程
　　16.3 賬戶是如何被盜的
　　16.3.1 賬戶被盜的途徑
　　16.3.2 分析賬戶被盜的原因
　　16.4 互聯(lián)網(wǎng)的垃圾
　　16.4.1 垃圾的危害
　　16.4.2 垃圾處理
　　16.5 關(guān)于網(wǎng)絡(luò)釣魚
　　16.5.1 釣魚網(wǎng)站簡介
　　16.5.2 郵件釣魚
　　16.5.3 釣魚網(wǎng)站的防控
　　16.5.4 網(wǎng)購流程釣魚
　　16.6 用戶隱私保護
　　16.6.1 互聯(lián)網(wǎng)的用戶隱私挑戰(zhàn)
　　16.6.2 如何保護用戶隱私
　　16.6.3 do-not-track
　　16.7 小結(jié)
　?。ǜ剑┞闊┑慕K結(jié)者
　第17章 安全開發(fā)流程（sdl）
　　17.1 sdl簡介
　　17.2 敏捷sdl
　　17.3 sdl實戰(zhàn)經(jīng)驗
　　17.4 需求分析與設(shè)計階段
　　17.5 開發(fā)階段
　　17.5.1 提供安全的函數(shù)
　　17.5.2 代碼安全審計工具
　　17.6 測試階段
　　17.7 小結(jié)
　第18章 安全運營
　　18.1 把安全運營起來
　　18.2 漏洞修補流程
　　18.3 安全監(jiān)控
　　18.4 入侵檢測
　　18.5 緊急響應(yīng)流程
　　18.6 小結(jié)
　?。ǜ剑┱?wù)劵ヂ?lián)網(wǎng)企業(yè)安全的發(fā)展方向

章節(jié)摘錄

版權(quán)頁：第1章 我的安全世界觀互聯(lián)網(wǎng)本來是安全的。自從有了研究安全的人之后，互聯(lián)網(wǎng)就變得不安全了。1．IWeb安全簡史起初，研究計算機系統(tǒng)和網(wǎng)絡(luò)的人．被稱為“Hacker”，他們對計算機系統(tǒng)有著深入的理解，因此往往能夠發(fā)現(xiàn)其中的問題。“Hacker”在中國按照音譯，被稱為“黑客”。在計算機安全領(lǐng)域，黑客是一群破壞規(guī)則、不喜歡被拘束的人，因此總想著能夠找到系統(tǒng)的漏洞，以獲得一些規(guī)則之外的權(quán)力。對于現(xiàn)代計算機系統(tǒng)來說，在用戶態(tài)的最高權(quán)限是root（administrator），也是黑客們最渴望能夠獲取的系統(tǒng)最高權(quán)限?！皉oot”對黑客的吸引，就像大米對老鼠的吸引，美女對色狼的吸引。不想拿到“root”的黑客，不是好黑客。漏洞利用代碼能夠幫助黑客們達成這一目標．黑客們使用的漏洞利用代碼，被稱為“exPloit”。在黑客的世界里，有的黑客，精通計算機技術(shù)．能自己挖掘漏洞，并編寫exPloit：而有的黑客，則只對攻擊本身感興趣，對計算機原理和各種編程技術(shù)的了解比較粗淺，因此只懂得編譯別人的代碼，自己并沒有動手能力，這種黑客被稱為“sctiPtKids”，即“腳本小子”。

編輯推薦

《白帽子講Web安全》即是站在白帽子的視角，講述Web安全的方方面面。雖然也剖析攻擊原理，但更重要的是如何防范這些問題。同時也希望“白帽子”這一理念，能夠更加的廣為人知，為中國互聯(lián)網(wǎng)所接受?！栋酌弊又vWeb安全》分為4大篇共18章，讀者可以通過瀏覽目錄以進一步了解各篇章的內(nèi)容。在有的章節(jié)末尾，還附上了筆者曾經(jīng)寫過的一些博客文章，可以作為延伸閱讀以及《白帽子講Web安全》正文的補充。

圖書封面

圖書標簽Tags

無

評論、評分、閱讀與下載

還沒讀過(91)
勉強可看(664)
一般般(113)
內(nèi)容豐富(4702)
強力推薦(385)

白帽子講Web安全 PDF格式下載

用戶評論 (總計159條)

關(guān)注Web安全，關(guān)注網(wǎng)絡(luò).
從白帽子講Web安全開始
白帽子講Web安全d的，這書好啊
安全領(lǐng)域web白帽子，支持，研究，學習！
這本書很不錯，去年公司購買的這本書，看著不錯，所以就買了一本，值得做安全測試和web開發(fā)的人員研讀！
不少人不會注意web網(wǎng)站的安全。這本書告訴我們想不到的漏洞可以導致什么樣的后果~把安全的知識補上是有必要的~另外希望學了這本書開發(fā)人員把重點放在防御而不是攻擊~
從攻擊與防守兩方面講WEB安全，受益匪淺。書里講的內(nèi)容比較廣，很多攻擊方法都是點了一下，不太具體。
這本書是我讀過的web安全方面非常全面和深入的一本書，針對每種類型的漏洞，都講了防御原則，而不僅僅是防御方法。這一點非常好，對安全防御都知道作用
web開發(fā)必知的安全知識
本書是專門講安全的，所以涵蓋了各類WEB安全的問題，我打算每天看一個，這樣，我一個多月就差不多成高手啦，哈哈~~~
本書對Web安全的理解很有啟發(fā)意義。書中有一觀點我有點不同意，我覺得安全的等級區(qū)域是相對的，是變化的。
剛拿到書，大致瀏覽了一下。感覺不錯。
本書從WEB安全方面進行了系統(tǒng)的介紹，且很多地方點得比較透徹。

另外，作者在這個年齡就能寫出如此水平的書。
可見其知識儲備之豐厚。佩服
很體系化的介紹了web安全，受益匪淺！而不是市面上多如牛毛的一本本黑客工具說明書，質(zhì)量不錯
值得做安全測試和web開發(fā)的人員研讀
關(guān)于WEB安全寫的很詳細，非常好
平時不太注意web安全，現(xiàn)在學習一下。
網(wǎng)絡(luò)安全方面講的比較全了，而且很多例子，很實用。拜讀中
該書全面的介紹了Web安全的主要方面
別人推薦的，web安全的紅寶書
適合Web安全知識的普及，淺顯易懂，不錯
常見的web漏洞都涉及到了，并且有實例，結(jié)合防護的思路進行講解，web安全人員必備
不錯，很系統(tǒng)地講解了web安全相關(guān)的要點，值得買來看一看。
很不錯的作者，感覺作者的功力還是蠻深的，阿里的安全團隊就他們30個人左右在負責，能力肯定不一般
無論是開發(fā)人員還是網(wǎng)站運營，還是安全專員都值得一讀
看著還不錯，從運營者角度講安全的書比較少，有作者的心得，作者也是專家了。值得看一下。
很少能找到這樣的書籍，初步看了一下，介紹的很全面很到位，安全工程師開發(fā)工程師必看。
網(wǎng)絡(luò)時代關(guān)注安全很重要。
理論講得不錯，大概看了下，了解了很多安全知識
把網(wǎng)絡(luò)安全將得很全面，非常實用的書。。。。
原阿里安全專家寫的，國內(nèi)安全書籍圣經(jīng)。
非常好可以作為一本字典書忘記了就回顧一下不錯
非常系統(tǒng)的介紹了安全的方方面面
寫的不錯，近半年來一直都在關(guān)注作者，阿里巴巴的安全挺牛的，作者也是很有本事的，目前是安全寶的副總
本書內(nèi)容很好，各類安全問題講解很詳細
原理，理論方面很好。適合安全工作者
很好的書推薦各位買關(guān)于信息安全的
網(wǎng)站到一定規(guī)模，安全是第一問題
看了兩天了。覺得書寫的挺好的，涵蓋的范圍也挺廣的。我主要加強SQL注入安全方面的學習。推薦購買
介紹了很多安全方面的知識。
送貨速度非?？?，期待很久的書，安全方面的好書，值得一讀
最近很熱門的一本安全書籍?。?！
適合安全相關(guān)的同學們觀看
幻影組織的創(chuàng)始人寫的，我是沖著他的XSS平臺去的，感覺還不錯，對于當前的web攻擊講的比較透徹
這本書有些地方講的比較深~但是對于做網(wǎng)絡(luò)的人來說，看過之后就能了解最基本的攻擊和防御辦法~是本很有用的書~
看過了。書不錯，適合web開發(fā)人員看。
這本書真的不錯，做web的都來看一下吧
我要認真讀讀這本說，增長對WEB的了解。
內(nèi)容很豐富、經(jīng)驗之談，十分有參考價值
內(nèi)容不錯，書很新，有許多新知識，講的一些思路
書不錯，值得一看，講的很全面?。。。。。。?！
書很好，都是作者的經(jīng)驗
朋友推薦的，結(jié)果是用PHP講的，得先學PHP
一直在尋找的一本書。現(xiàn)在終于找到并買下了。好好學習學習。
一本很實用的技術(shù)書籍。
好好學習，提高技術(shù)！
書很棒，印刷也很好。這本書寫的也很棒
寫得很好的書，很值得讀的書
介紹了攻防，但不是非常仔細
很好的書，質(zhì)量好，內(nèi)容很全面。
本書的作者很年輕，但是寫的書很不錯！
作者看起來是很有經(jīng)驗的
書中描述的很全，很多實例講解
學就是為了跟好的玩。用的過程中本來就挺好玩的。
這本書寫的很不錯。
書的質(zhì)量也很不錯。
看了點，感覺有價值。。
書已讀完，本書要求對php的只是要有所了解，不過總體還是挺不錯的，可以當做入門教程
這本書是幫朋友買的，書的內(nèi)容十分實用，當當?shù)姆?wù)也十分好。
這個數(shù)寫的很好，通俗易懂，深入淺出
書很好，物有所值，快遞也很給力~
發(fā)貨很快，書的質(zhì)量很好，希望能學到東西
書本身挺好，送貨速度也快，就是書在生產(chǎn)的時候，所有目錄都是連在一起的，沒有裁剪開。。。。并且，所有的目錄頁都比正常的書頁要短一個邊，這是圖書生產(chǎn)的問題，不應(yīng)該算當當?shù)膯栴}吧。哈哈，反正不影響使用，我自己裁剪開就行了。
曾在圖書館看過一點這本書覺得很不錯所以想自己也擁有一本
書比向想象中的厚，學習一下。
確實是本好書，大受啟發(fā)
書印刷不錯，翻了翻介紹挺全面的，贊一個
書還不錯，聽人介紹買的。內(nèi)容也不錯
慕名而來，看了一點前言什么的，語言組織很不錯，至于內(nèi)容么，還沒看。
這個商品不錯，寫得很仔細，例子很棒
技術(shù)性很強~
很喜歡，覆蓋面廣，結(jié)合實際
貼合實際，讀來受益匪淺
就是內(nèi)容不多，不細，要是再厚點就好了
這個數(shù)真好吧
質(zhì)量很好～質(zhì)量很好～質(zhì)量很好～
發(fā)貨快，質(zhì)量好，內(nèi)容精彩
書本挺厚實的，包裝很好，書本一點沒損。很新，很厚。唉~ 還沒時間去看。。。
內(nèi)容很好，絕對是一本好書
剛開始看，還沒有看看完，暫不做評價！
還在觀察中，應(yīng)該還是不錯的還在觀察中，應(yīng)該還是不錯的
作者很牛B，內(nèi)容很不錯。
書看了一下，不錯，不過，賣家，我的發(fā)票去哪了啊?
書是正版，很信賴當當當！灰常給力！
幫同學帶的，書是正版
書已收到，完好無損，發(fā)貨速度還是比較滿意的
書很不錯，是正版，推薦大家看道哥的書！
我買的書一般都是很多人推薦的，這樣才不怎么會買虧～～當當發(fā)貨很神速～
菜鳥和高手都看得懂的書
書的質(zhì)量比**的好多了！
不錯，只是書腳鄒了
入門后看這書，思路更清晰！
書里面的內(nèi)容都是每一個前端工程師必備的知識
送貨速度很給力，書很值得一讀

白帽子講Web安全

用戶評論 (總計159條)

推薦圖書

相關(guān)圖書