Web應用安全威脅與防治

前言

　　序1　　隨著社交網(wǎng)絡、微博等一系列新型的互聯(lián)網(wǎng)產(chǎn)品的誕生，尤其是Web 2.0技術的推廣，基于Web環(huán)境的面向普通終端用戶的互聯(lián)網(wǎng)應用越來越廣泛。在企業(yè)界，隨著企業(yè)信息化的不斷深入，各種服務于企業(yè)的應用都架設在Web平臺上。Web業(yè)務的迅速發(fā)展把越來越多的個人和企業(yè)的敏感數(shù)據(jù)通過Web展現(xiàn)給用戶。這引起黑客們的強烈關注，他們躍躍欲試，利用網(wǎng)站操作系統(tǒng)的漏洞和Web服務程序的SQL注入等漏洞得到Web服務器的控制權限，輕則篡改網(wǎng)頁內(nèi)容，重則竊取重要內(nèi)部數(shù)據(jù)。更為嚴重的則是在網(wǎng)頁中植入惡意代碼，使得網(wǎng)站訪問者受到侵害。這些也使得越來越多的用戶關注應用層的安全問題，業(yè)界對Web應用安全的關注度也逐漸升溫?！　∧壳昂芏鄻I(yè)務都依賴于互聯(lián)網(wǎng)，如網(wǎng)上銀行、網(wǎng)絡購物、網(wǎng)游等，很多惡意攻擊者會對Web服務器進行攻擊，想方設法通過各種手段獲取他人的個人賬戶信息以謀取利益。正是因為這樣，Web業(yè)務平臺非常容易遭受攻擊。為了防止黑客的攻擊，除了對Web服務器做相應的配置外，Web應用程序的設計和開發(fā)也需要杜絕黑客攻擊的隱患。本書有針對性地面向廣大Web應用程序員提供了系統(tǒng)的安全設計原則和編程技巧?！　∽鳛閼贸绦騿T，你可能非常熟悉你所負責的業(yè)務邏輯，你也一定精通幾種編程語言和數(shù)據(jù)庫。但是，就我所接觸的程序員來說，很少有懂得怎樣在編程中避免留下安全漏洞的。對于產(chǎn)品架構師，很多產(chǎn)品在其設計之時沒有考慮系統(tǒng)的安全問題，沒有相應的安全標準。請仔細閱讀本書，本書為你的Web產(chǎn)品提供了一個可行的安全標準，同時也為你提供了系統(tǒng)的針對各種安全漏洞的行之有效的編程技巧?！　∽髡咧坏耐跷木俏翌I導的惠普軟件PPM產(chǎn)品研發(fā)團隊的安全架構師。他將OWASP Top 10應用于PPM，使之成為該企業(yè)級產(chǎn)品的安全標準。事實證明，OWASP Top 10及相應的ESAPI有效地滿足了用戶對該產(chǎn)品安全方面的苛刻要求。不久前，我們的產(chǎn)品通過了我們的客戶之一某國國防部的安全攻擊測試。所以，我極力將本書推薦給你。你將會有針對性地在你的程序里滿足安全性要求，對于潛在的安全隱患，你將有足夠的智慧和手段去解決它?！　±罹S綱　　惠普軟件部研發(fā)團隊經(jīng)理

內(nèi)容概要

　　《Web應用安全威脅與防治：基于OWASP Top 10與ESAPI》是一本講解Web應用中最常見的安全風險以及解決方案的實用教材。它以當今公認的安全權威機構OWASP（Open Web Application Security Project）制定的OWASP  Top 10為藍本，介紹了十項最嚴重的Web應用程序安全風險，并利用ESAPI（Enterprise Security API）提出了解決方案。本書共有五篇，第1篇通過幾個故事引領讀者進入安全的世界；第2篇是基礎知識篇，讀者可以了解基本的Web應用安全的技術和知識；第3篇介紹了常用的安全測試和掃描工具；第4篇介紹了各種威脅以及測試和解決方案；第5篇在前幾篇的基礎上，總結在設計和編碼過程中的安全原則?！　”緯髡乱砸粋€生動的小故事或者實例開頭，讓讀者快速了解其中的安全問題，然后分析其產(chǎn)生的原因和測試方法并提出有效的解決方案，最后列出處理相關問題的檢查列表，幫助讀者在以后的工作和學習中更好地理解和處理類似的問題。讀完本書之后，相信讀者可以將學過的內(nèi)容應用到Web應用安全設計、開發(fā)、測試中，提高Web應用程序的安全，也可以很有信心地向客戶熟練地講解Web應用安全威脅和攻防，并在自己的事業(yè)發(fā)展中有更多的收獲?！　”緯m用于Web開發(fā)人員、設計人員、測試人員、架構師、項目經(jīng)理、安全咨詢顧問等。本書也可以作為對Web應用安全有興趣的高校學生的教材，是一本實用的講解Web應用安全的教材和使用手冊。

作者簡介

王文君，2007年加入惠普軟件從事軟件開發(fā)、軟件安全分析以及手機開發(fā)等工作?，F(xiàn)為OWASP中國上海地區(qū)負責人之一，并于2011年被OWASP邀請參加OWASP亞洲峰會，作為演講嘉賓和培訓講師，擁有CISSP、PMP、ITIL認證，2012年被評為HP Global Software Star。王文君于2002年畢業(yè)于上海交通大學，擁有電力工程碩士學位以及電力工程和涉外會計雙學士學位。 李建蒙，2004年從日本回國之后。加入華為技術有限公司。開發(fā)移動通信平臺。2006年加入思科，從事在線應用產(chǎn)品的后臺開發(fā)和應用安全領域的工作，有豐富的多平臺多語言開發(fā)、滲透測試和安全開發(fā)經(jīng)驗。曾于2011年被OWASP邀請作為OWASP亞洲峰會的演講嘉賓和培訓講師。

書籍目錄

第1篇 引子 故事一：家有一IT，如有一寶  故事二：微博上的蠕蟲  故事三：明文密碼  故事四：IT青年VS禪師  第2篇 基礎篇 第1章 Web應用技術  1.1 HTTP簡介  1.2 HTTPS簡介  1.3 URI  1.3.1 URL  1.3.2 URI／URL／URN  1.3.3 URI比較  1.4 HTTP消息  1.4.1 HTTP方法  1.4.2 HTTP狀態(tài)碼  1.5 HTTP Cookie  1.5.1 HTTP Cookie的作用  1.5.2 HTTP Cookie的缺點  1.6 HTTP session  1.7 HTTP的安全  第2章 OWASP  2.1 OWASP簡介  2.2 OWASP風險評估方法  2.3 OWASP Top 10  2.4 ESAPI（Enterprise Security API）  第3篇 工具篇 第3章 Web服務器工具簡介  3.1 Apache  3.2 其他Web服務器  第4章 Web瀏覽器以及調(diào)試工具  4.1 瀏覽器簡介  4.1.1 基本功能  4.1.2 主流瀏覽器  4.1.3 瀏覽器內(nèi)核  4.2 開發(fā)調(diào)試工具  第5章 滲透測試工具  5.1 Fiddler  5.1.1 工作原理  5.1.2 如何捕捉HTTPS會話  5.1.3 Fiddler功能介紹  5.1.4 Fiddler擴展功能  5.1.5 Fiddler第三方擴展功能  5.2 ZAP  5.2.1 斷點調(diào)試  5.2.2 編碼／解碼  5.2.3 主動掃描  5.2.4 Spider  5.2.5 暴力破解  5.2.6 端口掃描  5.2.7 Fuzzer  5.2.8 API  5.3 WebScrab  5.3.1 HTTP代理  5.3.2 Manual Request  5.3.3 Spider  5.3.4 Session ID分析  5.3.5 Bean Shell的支持  5.3.6 Web編碼和解碼  第6章 掃描工具簡介  6.1 萬能的掃描工具——WebInspect  6.1.1 引言  6.1.2 WebInspect特性  6.1.3 環(huán)境準備  6.1.4 HP WebInspect總覽  6.1.5 Web網(wǎng)站測試  6.1.6 企業(yè)測試  6.2 開源掃描工具——w3af  6.2.1 w3af概述  6.2.2 w3af環(huán)境配置  6.2.3 w3af使用示例  6.3 被動掃描的利器——Ratproxy  6.3.1 Ratproxy概述  6.3.2 Ratproxy環(huán)境配置  6.3.3 Ratproxy運行  第7章 漏洞學習網(wǎng)站  7.1 WebGoat  7.2 DVWA  7.3 其他的漏洞學習網(wǎng)站  第4篇 攻防篇 第8章 代碼注入  8.1 注入的分類  8.1.1 OS命令注入  8.1.2 XPath注入  8.1.3 LDAP注入  8.1.4 SQL注入  8.1.5 JSON注入  8.1.6 URL參數(shù)注入  8.2 OWASP ESAPI與注入問題的預防  8.2.1 命令注入的ESAPI預防  8.2.2 XPath注入的ESAPI預防  8.2.3 LDAP注入的ESAPI預防  8.2.4 SQL注入的ESAPI預防  8.2.5 其他注入的ESAPI預防  8.3 注入預防檢查列表  8.4 小結  第9章 跨站腳本（XSS）  9.1 XSS簡介  9.2 XSS分類  9.2.1 反射式XSS  9.2.2 存儲式XSS  9.2.3 基于DOM的XSS  9.2.4 XSS另一種分類法  9.3 XSS危害  9.4 XSS檢測  9.4.1 手動檢測  9.4.2 半自動檢測  9.4.3 全自動檢測  9.5 XSS的預防  9.5.1 一刀切  9.5.2 在服務器端預防  9.5.3 在客戶端預防  9.5.4 富文本框的XSS預防措施  9.5.5 CSS  9.5.6 FreeMarker  9.5.7 OWASP ESAPI與XSS的預防  9.6 XSS檢查列表  9.7 小結  第10章 失效的身份認證和會話管理  10.1 身份認證和會話管理簡介  10.2 誰動了我的琴弦——會話劫持  10.3 請君入甕——會話固定  10.4 我很含蓄——非直接會話攻擊  10.5 如何測試  10.5.1 會話固定測試  10.5.2 用Web Scrab分析會話ID  10.6 如何預防會話攻擊  10.6.1 如何防治固定會話  10.6.2 保護你的會話令牌  10.7 身份驗證  10.7.1 雙因子認證流程圖  10.7.2 雙因子認證原理說明  10.7.3 隱藏在QR Code里的秘密  10.7.4 如何在服務器端實現(xiàn)雙因子認證  10.7.5 我沒有智能手機怎么辦  10.8 身份認證設計的基本準則  10.8.1 密碼長度和復雜性策略  10.8.2 實現(xiàn)一個安全的密碼恢復策略  10.8.3 重要的操作應通過HTTPS傳輸  10.8.4 認證錯誤信息以及賬戶鎖定  10.9 檢查列表  10.9.1 身份驗證和密碼管理檢查列表  10.9.2 會話管理檢查列表  10.10 小結  第11章 不安全的直接對象引用  11.1 坐一望二——直接對象引用  11.2 不安全直接對象引用的危害  11.3 其他可能的不安全直接對象引用  11.4 不安全直接對象引用的預防  11.5 如何使用OWASP ESAPI預防  11.7 小結  第12章 跨站請求偽造（CSRF）  12.1 CSRF簡介  12.2 誰動了我的奶酪  12.3 跨站請求偽造的攻擊原理  12.4 剝繭抽絲見真相  12.5 其他可能的攻擊場景  12.5.1 家用路由器被CSRF攻擊  12.5.2 別以為用POST你就躲過了CSRF  12.5.3 寫一個自己的CSRF Redirector  12.5.4 利用重定向欺騙老實人  12.6 跨站請求偽造的檢測  12.6.1 手工檢測  12.6.2 半自動CSRFTester  12.7 跨站請求偽造的預防  12.7.1 用戶需要知道的一些小技巧  12.7.2 增加一些確認操作  12.7.3 重新認證  12.7.4 加入驗證碼（CAPTCHA）  12.7.5 ESAPI解決CSRF  12.7.6 CSRFGuard  12.8 CSRF檢查列表  12.9 小結  第13章 安全配置錯誤  13.1 不能說的秘密——Google hacking  13.2 Tomcat那些事  13.3 安全配置錯誤的檢測與預防  13.3.1 系統(tǒng)配置 264 13.3.2 Web應用服務器的配置  13.3.3 數(shù)據(jù)庫  13.3.4 日志配置  13.3.5 協(xié)議  13.3.6 開發(fā)相關的安全配置  13.3.7 編譯器的安全配置  13.4 安全配置檢查列表  13.5 小結  第14章 不安全的加密存儲  14.1 關于加密  14.1.1 加密算法簡介  14.1.2 加密算法作用  14.1.3 加密分類  14.2 加密數(shù)據(jù)分類  14.3 加密數(shù)據(jù)保護  14.3.1 密碼的存儲與保護  14.3.2 重要信息的保護  14.3.3 密鑰的管理  14.3.4 數(shù)據(jù)的完整性  14.3.5 云系統(tǒng)存儲安全  14.3.6 數(shù)據(jù)保護的常犯錯誤  14.4 如何檢測加密存儲數(shù)據(jù)的安全性  14.4.1 審查加密內(nèi)容  14.4.2 已知答案測試（Known Answer Test）  14.4.3 自發(fā)明加密算法的檢測  14.4.4 AES加密算法的測試  14.4.5 代碼審查  14.5 如何預防不安全的加密存儲的數(shù)據(jù)  14.6 OWASP ESAPI與加密存儲  14.6.1 OWASP ESAPI與隨機數(shù)  14.6.2 OWASP ESAPI 與FIPS 140－2  14.7 加密存儲檢查列表  14.8 小結  第15章 沒有限制的URL訪問  15.1 掩耳盜鈴——隱藏（Disable）頁面按鈕  15.2 權限認證模型  15.2.1 自主型訪問控制  15.2.2 強制型訪問控制  15.2.3 基于角色的訪問控制  15.3 繞過認證  15.3.1 網(wǎng)絡嗅探  15.3.2 默認或者可猜測用戶賬號  15.3.3 直接訪問內(nèi)部URL  15.3.4 修改參數(shù)繞過認證  15.3.5 可預測的SessionID  15.3.6 注入問題  15.3.7 CSRF  15.3.8 繞過認證小結  15.4 繞過授權驗證  15.4.1 水平越權  15.4.2 垂直越權  15.5 文件上傳與下載  15.5.1 文件上傳  15.5.2 文件下載和路徑遍歷  15.6 靜態(tài)資源  15.7 后臺組件之間的認證  15.8 SSO  15.9 OWASP ESAPI與授權  15.9.1 AccessController的實現(xiàn)  15.9.2 一個AccessController的代碼示例  15.9.3 我們還需要做些什么  15.10 訪問控制檢查列表  15.11 小結  第16章 傳輸層保護不足  16.1 臥底的故事——對稱加密和非對稱加密  16.2 明文傳輸問題  16.3 有什么危害  16.3.1 會話劫持  16.3.2 中間人攻擊  16.4 預防措施 399 16.4.1 密鑰交換算法  16.4.2 對稱加密和非對稱加密結合  16.4.3 SSL／TLS  16.5 檢查列表  16.6 小結  第17章 未驗證的重定向和轉(zhuǎn)發(fā)  17.1 三角借貸的故事——轉(zhuǎn)發(fā)和重定向  17.1.1 URL轉(zhuǎn)發(fā)  17.1.2 URL重定向  17.1.3 轉(zhuǎn)發(fā)與重定向的區(qū)別  17.1.4 URL 重定向的實現(xiàn)方式  17.2 危害  17.3 如何檢測  17.4 如何預防  17.4.1 OWASP ESAPI與預防  17.5 重定向和轉(zhuǎn)發(fā)檢查列表  17.6 小結  第5篇 安全設計、編碼十大原則 第18章 安全設計十大原則  設計原則1——簡單易懂  設計原則2——最小特權  設計原則3——故障安全化  設計原則4——保護最薄弱環(huán)節(jié)  設計原則5——提供深度防御  設計原則6——分隔  設計原則7——總體調(diào)節(jié)  設計原則8——默認不信任  設計原則9——保護隱私  設計原則10——公開設計，不要假設隱藏秘密就是安全  第19章 安全編碼十大原則  編碼原則1——保持簡單  編碼原則2——驗證輸入  編碼原則3——注意編譯器告警  編碼原則4——框架和設計要符合安全策略  編碼原則5——默認拒絕  編碼原則6——堅持最小權限原則  編碼原則7——凈化發(fā)送到其他系統(tǒng)的數(shù)據(jù)  編碼原則8——深度預防  編碼原則9——使用有效的質(zhì)量保證技術  編碼原則10——采用一個安全編碼規(guī)范 

章節(jié)摘錄

版權頁：   插圖：   第一種，明文存儲。 這種方法是最不安全的一種，系統(tǒng)的管理員可以直接看到所有用戶的密碼明文，而且，一旦有SQL注入攻擊，攻擊者也可以直接拿到明文。前面說的CSDN遭受攻擊之后，密碼泄露，主要是有些用戶的密碼是明文存儲的。 第二種，密碼經(jīng)過對稱轉(zhuǎn)換后存儲。 這種方法是編寫一個對稱的轉(zhuǎn)換算法，密碼經(jīng)過轉(zhuǎn)換后，看起來和原來的密碼完全不一樣，但是，這種存儲方法和第一種直接存儲明文在本質(zhì)上是相似的，只要知道轉(zhuǎn)換方法，也就能知道如何將密文轉(zhuǎn)換為明文。即使不知道轉(zhuǎn)換方法，通過嘗試和猜測，也可以逐步找到轉(zhuǎn)換的規(guī)律，進而可以根據(jù)密文推導出明文，達到破解的目的。 第三種，對稱加密之后存儲。 對于對稱加密存儲，用戶加密和解密來說，則需要加密的密鑰，那么，對于密鑰的保護，就和對密碼的保護一樣重要，一旦密鑰泄露，則所有的密碼也就都處于危險的境地。而且，密鑰可能事先配置好或者直接寫在代碼里了，這樣一旦負責維護的員工因為對公司不滿而離開，很有可能導致密鑰泄露，導致破解的可能性很大，Skype就曾經(jīng)被揭露密鑰寫在代碼里，導致產(chǎn)品的安全性大大降低。而且，系統(tǒng)管理員或者系統(tǒng)的維護人員很有可能獲得這些密鑰，也就能很容易地把密碼的原文算出來。所以，對稱加密之后存儲密碼，需要加強對密鑰的管理，而且一旦密鑰泄露，切換密鑰也可能導致兼容問題。 第四種，非對稱加密后存儲。 雖然使用對稱加密算法，但是由于密碼經(jīng)過公鑰加密，需要私鑰才能解密，那么，私鑰的安全性就變得和密碼的安全性一樣重要，只有保證私鑰的安全，才能夠保證密碼的安全。但是，使用非對稱加密算法仍然需要管理密鑰，而且非對稱加密算法的效率也很低。 以上四種方法，都有一個共同的特點，就是密碼都可以從加密的存儲形式還原到明文。像前面所說的，如果需要通過注冊的郵箱找回原來的密碼，那么肯定要用到以上四種方法中的一種。但是需要銘記的是：既然通過注冊的郵箱可以找回密碼，那么，網(wǎng)站的工作人員或者管理員也就有辦法通過查看配置的密鑰，然后解密得到明文。這對于一些對安全性要求很高的政府或者企業(yè)是不允許的。 以上介紹的幾種密碼的存儲方法的共同弱點就是密碼是可逆的，系統(tǒng)有可能還原得到明文，所以，最好的保存密碼的方法是以連系統(tǒng)都不可能還原明文的方式保存，也就是用哈希算法的單向性保證服務器端保存的是哈希之后的哈希值，從而系統(tǒng)就不可能知道密碼的明文。 使用哈希算法也有幾種方式，如下所示。 第一種，使用MD5和SHA－1哈希之后存儲。 MD5和SHA－1已經(jīng)被破解，這意味著雖然不能通過逆運算還原密碼原文，但很容易找到一個能生成相同哈希值的密碼原文的碰撞，例如，密碼是12345678，通過計算，可以得到abcdefgh的哈希值和12345678的哈希值一樣，那么，輸入密碼時，輸入12345678和abcdefgh都可以登錄。還有一點，這兩個算法相對速度比較快，這就意味著對暴力破解來說消耗的資源少，所消耗的時間也短。所以強烈建議不要使用這兩個算法。 第二種，使用更安全的SHA256算法。 這在一定程度上降低或者杜絕了碰撞率，也增加了暴力破解的成本。但是，一般的密碼輸入的長度都是8個字符左右，有的用戶為了容易記憶使用更短的密碼，這樣通過常用密碼字典，就可以很快得到密碼原文。所以，單純地只是用SHA256這樣的比較安全的哈希算法還是有一定風險的。 第三種，使用加入鹽（Salt）的SHA256算法。 將密碼原文和隨機生成的鹽字符串混淆，進行哈希，存儲哈希之后的值以及鹽。在密碼驗證的時候，只需要用同樣的算法，把密碼原文和鹽再做一次同樣的哈希，與存儲的哈希值比較就可以驗證密碼了。建議使用的鹽最少是8個字節(jié)，而且是隨機的字符串，這樣密碼和鹽的組合值就成為了一個不同尋常的字符串，密碼字典很難構造這么巨大的字典，就可以增加密碼字典破解的成本，甚至使之不可能。鹽的長度越長，暴力破解的難度就越大，也限制了彩虹表的效力。隨著機器硬件的更新以及性能的不斷提高，暴力破解的速度也得到提高，為了應對日益提高的硬件速度，可以通過將具體的哈希進行若干次迭代，如SHA256（…SHA256（salt，SHA256（salt，password），這樣，就可以增加暴力破解的難度。即使被暴力破解了，得到的也只是隨機的鹽和密碼混淆之后的值，如果需要恢復密碼原文，仍然需要進一步努力得到哪些是鹽，然后才能得到密碼，雖然這對一些資深的攻擊者并不難，但這總是要花他們一些時間的。

媒體關注與評論

　　這是一本帶點酷酷的工程師范兒和人文氣質(zhì)的“硬貨”。作為一名資深IT文藝老人，特別喜歡這種帶著思想氣息卻又有著豐富案例娓娓道來的實用信息安全書，過去卻往往只在國外作者中讀到。正如書中開頭的引子說的那樣：“家有IT，如有一寶”。那么在Web安全日益火爆的今天，你會不會在讀完這本書后的未來也成為傳說中讓我們頂禮膜拜的大牛呢^-^　　——IDF威懾防御實驗室益云（公益互聯(lián)網(wǎng)）社會創(chuàng)新中心聯(lián)合創(chuàng)始人萬濤@黑客老鷹　　伴隨互聯(lián)網(wǎng)的高速發(fā)展，基于B/S架構的業(yè)務系統(tǒng)對安全要求越來越高，安全從業(yè)人員面臨空前的壓力。如何讓安全從業(yè)人員快速掌握Web應用安全？本書以詼諧、幽默的語言，精彩、豐富的實例，幫助安全從業(yè)人員從端到端理解Web應用安全。不失為近幾年Web應用安全書籍的上佳之作?！　　狾WASP中國區(qū)主席SecZone高級安全顧問 RIP　　很樂意看到有人將自身的資深安全積累和OWASP的最佳實踐出版成書，內(nèi)容嚴謹細致卻不乏生動。這本信息安全領域的實用手冊將成為銀基安全致力于互聯(lián)網(wǎng)安全的參考指導書目之一，我們廣泛的電信、銀行、保險、證券和政府部門等客戶都會從中受益?！　　虾ｃy基信息安全技術有限公司首席技術官胡紹勇（Kurau）　　隨著安全訪問控制策略ACL的普及應用，互聯(lián)網(wǎng)企業(yè)目前面臨的安全風險面主要集中在Web服務層。其中Web應用系統(tǒng)在架構設計、開發(fā)編碼過程中是安全漏洞和風險引入的主要階段，而普遍地我們的架構、開發(fā)、測試崗位在安全技能與意識上恰恰是相對比較欠缺的。本書詳細介紹了Web安全基礎知識、測試平臺與方法，常見漏洞形式與原理，并結合OWASP最佳實踐經(jīng)驗給出預防建議、設計和編碼原則等。書中舉例生動形象，圖文代碼并茂，步驟歸納清晰。特別推薦給廣大Web開發(fā)、測試、安全崗位的朋友們?！　　袊鹕杰浖瘓F信息安全負責人程沖　　在網(wǎng)絡攻擊愈加復雜，手段日益翻新的今天，Web攻擊依然是大多數(shù)攻擊者首選的入侵手段。反思CSDN泄密及新浪微博蠕蟲事件，Web應用的安全突顯其重要性。OWASP作為全球領先的Web應用安全研究團隊，透過本書將Web應用安全的威脅、防御以及相關的工具進行了詳細的探討和研究。詳盡的操作步驟說明是本書的亮點之一，這些詳實且圖文并茂的內(nèi)容為逐步深入學習Web應用安全提供了很好的幫助。我衷心希望這本書能夠成為信息安全專業(yè)的在校生以及應用安全相關從業(yè)人員的學習指導書?！　　?上海交通大學信息安全工程學院施勇（CISSP  CISA）

編輯推薦

《安全技術大系?Web應用安全威脅與防治:基于OWASP Top 10與ESAPI》適用于Web開發(fā)人員、設計人員、測試人員、架構師、項目經(jīng)理、安全咨詢顧問等?！栋踩夹g大系?Web應用安全威脅與防治:基于OWASP Top 10與ESAPI》也可以作為對Web應用安全有興趣的高校學生的教材，是一本實用的講解Web應用安全的教材和使用手冊。

名人推薦

這是一本帶點酷酷的工程師范兒和人文氣質(zhì)的“硬貨”。作為一名資深IT文藝老人，特別喜歡這種帶著思想氣息卻又有著豐富案例娓娓道來的實用信息安全書，過去卻往往只在國外作者中讀到。正如書中開頭的引子說的那樣：“家有IT，如有一寶”。那么在Web安全日益火爆的今天，你會不會在讀完這本書后的未來也成為傳說中讓我們頂禮膜拜的大牛呢。 ——IDF威懾防御實驗室益云（公益互聯(lián)網(wǎng)）社會創(chuàng)新中心聯(lián)合創(chuàng)始人 萬濤@黑客老鷹 伴隨互聯(lián)網(wǎng)的高速發(fā)展，基于B／S架構的業(yè)務系統(tǒng)對安全要求越來越高，安全從業(yè)人員面臨空前的壓力。如何讓安全從業(yè)人員快速掌握Web應用安全？本書以詼諧、幽默的語言，精彩、豐富的實例，幫助安全從業(yè)人員從端到端理解Web應用安全。不失為近幾年Web應用安全書籍的上佳之作。 ——OWASP中國區(qū)主席SecZone高級安全顧問 RIP 很樂意看到有人將自身的資深安全積累和OWASP的最佳實踐出版成書，內(nèi)容嚴謹細致卻不乏生動。這本信息安全領域的實用手冊將成為銀基安全致力于互聯(lián)網(wǎng)安全的參考指導書目之一，我們廣泛的電信、銀行、保險、證券和政府部門等客戶都會從中受益。 ——上海銀基信息安全技術有限公司首席技術官 胡紹勇（Kurau） 隨著安全訪問控制策略ACL的普及應用，互聯(lián)網(wǎng)企業(yè)目前面臨的安全風險面主要集中在Web服務層。其中Web應用系統(tǒng)在架構設計、開發(fā)編碼過程中是安全漏洞和風險引入的主要階段，而普遍地我們的架構、開發(fā)、測試崗位在安全技能與意識上恰恰是相對比較欠缺的。本書詳細介紹了Web安全基礎知識、測試平臺與方法，常見漏洞形式與原理，并結合OWASP最佳實踐經(jīng)驗給出預防建議、設計和編碼原則等。書中舉例生動形象，圖文代碼并茂，步驟歸納清晰。特別推薦給廣大Web開發(fā)、測試、安全崗位的朋友們。 ——中國金山軟件集團信息安全負責人 程沖 在網(wǎng)絡攻擊愈加復雜，手段日益翻新的今天，Web攻擊依然是大多數(shù)攻擊者首選的入侵手段。反思CSDN泄密及新浪微博蠕蟲事件，Web應用的安全突顯其重要性。OWASP作為全球領先的Web應用安全研究團隊，透過本書將Web應用安全的威脅、防御以及相關的工具進行了詳細的探討和研究。詳盡的操作步驟說明是本書的亮點之一，這些詳實且圖文并茂的內(nèi)容為逐步深入學習Web應用安全提供了很好的幫助。我衷心希望這本書能夠成為信息安全專業(yè)的在校生以及應用安全相關從業(yè)人員的學習指導書。 ——上海交通大學信息安全工程學院 施勇（CISSP CISA）

圖書封面

圖書標簽Tags

無

評論、評分、閱讀與下載

---

    Web應用安全威脅與防治 PDF格式下載

---