Web前端黑客技術(shù)揭秘

內(nèi)容概要

Web前端的黑客攻防技術(shù)是一門(mén)非常新穎且有趣的黑客技術(shù)，主要包含Web前端安全的跨站腳本（XSS）、跨站請(qǐng)求偽造（CSRF）、界面操作劫持這三大類(lèi)，涉及的知識(shí)點(diǎn)涵蓋信任與信任關(guān)系、Cookie安全、Flash安全、DOM渲染、字符集、跨域、原生態(tài)攻擊、高級(jí)釣魚(yú)、蠕蟲(chóng)思想等，這些都是研究前端安全的人必備的知識(shí)點(diǎn)。本書(shū)作者深入剖析了許多經(jīng)典的攻防技巧，并給出了許多獨(dú)到的安全見(jiàn)解。
本書(shū)適合前端工程師閱讀，同時(shí)也適合對(duì)Web前端各類(lèi)安全問(wèn)題或黑客攻防過(guò)程充滿(mǎn)好奇的讀者閱讀，書(shū)中的內(nèi)容可以讓讀者重新認(rèn)識(shí)到Web的危險(xiǎn)，并知道該如何去保護(hù)自己以免受黑客的攻擊。

作者簡(jiǎn)介

鐘晨鳴，畢業(yè)于北京化工大學(xué)，網(wǎng)名：余弦。國(guó)內(nèi)著名Web安全團(tuán)隊(duì)xeye成員，除了愛(ài)好Web ；Hacking外，還對(duì)宇宙學(xué)、人類(lèi)學(xué)等保持著濃厚興趣。2008年加入北京知道創(chuàng)宇信息技術(shù)有限公司，現(xiàn)任研究部總監(jiān)，團(tuán)隊(duì)致力于Web安全與海量數(shù)據(jù)研究，并進(jìn)行相關(guān)超酷平臺(tái)的實(shí)現(xiàn)。如果大家想和我交流，可以私信我微博：weibo.com/evilcos，同時(shí)本書(shū)的最新動(dòng)態(tài)也會(huì)發(fā)布在我的微博上。 徐少培，畢業(yè)于河北工業(yè)大學(xué)。網(wǎng)名：xisigr。國(guó)內(nèi)著名Web安全團(tuán)隊(duì)xeye成員。2008年加入北京天融信公司，現(xiàn)任北京天融信資深安全專(zhuān)家，重點(diǎn)負(fù)責(zé)安全研究工作，主要研究領(lǐng)域包括：WEB安全、HTML5安全、瀏覽器安全、協(xié)議分析等。同時(shí)也是國(guó)內(nèi)信息安全大會(huì)常見(jiàn)的演講者。我的微博：weibo.com/xisigr，希望可以和大家交流。

書(shū)籍目錄

第1章Web安全的關(guān)鍵點(diǎn)1 1.1數(shù)據(jù)與指令1 1.2瀏覽器的同源策略4 1.3信任與信任關(guān)系7 1.4社會(huì)工程學(xué)的作用9 1.5攻防不單一9 1.6場(chǎng)景很重要10 1.7小結(jié)11 第2章前端基礎(chǔ)12 2.1W3C的世界法則12 2.2URL14 2.3HTTP協(xié)議15 2.4松散的HTML世界19 2.4.1DOM樹(shù)20 2.4.2iframe內(nèi)嵌出一個(gè)開(kāi)放的世界21 2.4.3HTML內(nèi)嵌腳本執(zhí)行22 2.5跨站之魂——JavaScript23 2.5.1DOM樹(shù)操作23 2.5.2AJAX風(fēng)險(xiǎn)25 2.5.3模擬用戶(hù)發(fā)起瀏覽器請(qǐng)求30 2.5.4Cookie安全33 2.5.5本地存儲(chǔ)風(fēng)險(xiǎn)43 2.5.6E4X帶來(lái)的混亂世界48 2.5.7JavaScript函數(shù)劫持49 2.6一個(gè)偽裝出來(lái)的世界——CSS51 2.6.1CSS容錯(cuò)性51 2.6.2樣式偽裝52 2.6.3CSS偽類(lèi)52 2.6.4CSS3的屬性選擇符53 2.7另一個(gè)幽靈——ActionScript55 2.7.1Flash安全沙箱55 2.7.2HTML嵌入Flash的安全相關(guān)配置59 2.7.3跨站Flash61 2.7.4參數(shù)傳遞64 2.7.5Flash里的內(nèi)嵌HTML65 2.7.6與JavaScript通信67 2.7.7網(wǎng)絡(luò)通信71 2.7.8其他安全問(wèn)題71 第3章前端黑客之XSS72 3.1XSS概述73 3.1.1“跨站腳本”重要的是腳本73 3.1.2一個(gè)小例子74 3.2XSS類(lèi)型76 3.2.1反射型XSS76 3.2.2存儲(chǔ)型XSS77 3.2.3DOMXSS78 3.3哪里可以出現(xiàn)XSS攻擊80 3.4有何危害81 第4章前端黑客之CSRF83 4.1CSRF概述84 4.1.1跨站點(diǎn)的請(qǐng)求84 4.1.2請(qǐng)求是偽造的84 4.1.3一個(gè)場(chǎng)景84 4.2CSRF類(lèi)型89 4.2.1HTMLCSRF攻擊89 4.2.2JSONHiJacking攻擊90 4.2.3FlashCSRF攻擊94 4.3有何危害96 第5章前端黑客之界面操作劫持97 5.1界面操作劫持概述97 5.1.1點(diǎn)擊劫持（Clickjacking）98 5.1.2拖放劫持（Drag＆Dropjacking）98 5.1.3觸屏劫持（Tapjacking）99 5.2界面操作劫持技術(shù)原理分析99 5.2.1透明層+iframe99 5.2.2點(diǎn)擊劫持技術(shù)實(shí)現(xiàn)100 5.2.3拖放劫持技術(shù)實(shí)現(xiàn)101 5.2.4觸屏劫持技術(shù)實(shí)現(xiàn)103 5.3界面操作劫持實(shí)例106 5.3.1點(diǎn)擊劫持實(shí)例106 5.3.2拖放劫持實(shí)例111 5.3.3觸屏劫持實(shí)例119 5.4有何危害121 第6章漏洞挖掘123 6.1普通XSS漏洞自動(dòng)化挖掘思路124 6.1.1URL上的玄機(jī)125 6.1.2HTML中的玄機(jī)127 6.1.3請(qǐng)求中的玄機(jī)134 6.1.4關(guān)于存儲(chǔ)型XSS挖掘135 6.2神奇的DOM渲染135 6.2.1HTML與JavaScript自解碼機(jī)制136 6.2.2具備HtmlEncode功能的標(biāo)簽140 6.2.3URL編碼差異142 6.2.4DOM修正式渲染145 6.2.5一種DOMfuzzing技巧146 6.3DOMXSS挖掘150 6.3.1靜態(tài)方法150 6.3.2動(dòng)態(tài)方法151 6.4FlashXSS挖掘153 6.4.1XSF挖掘思路153 6.4.2GoogleFlashXSS挖掘156 6.5字符集缺陷導(dǎo)致的XSS159 6.5.1寬字節(jié)編碼帶來(lái)的安全問(wèn)題160 6.5.2UTF—7問(wèn)題161 6.5.3瀏覽器處理字符集編碼BUG帶來(lái)的安全問(wèn)題165 6.6繞過(guò)瀏覽器XSSFilter165 6.6.1響應(yīng)頭CRLF注入繞過(guò)165 6.6.2針對(duì)同域的白名單166 6.6.3場(chǎng)景依賴(lài)性高的繞過(guò)167 6.7混淆的代碼169 6.7.1瀏覽器的進(jìn)制常識(shí)169 6.7.2瀏覽器的編碼常識(shí)175 6.7.3HTML中的代碼注入技巧177 6.7.4CSS中的代碼注入技巧190 6.7.5JavaScript中的代碼注入技巧196 6.7.6突破URL過(guò)濾201 6.7.7更多經(jīng)典的混淆CheckList202 6.8其他案例分享——GmailCookieXSS204 第7章漏洞利用206 7.1滲透前的準(zhǔn)備206 7.2偷取隱私數(shù)據(jù)208 7.2.1XSS探針：xssprobe208 7.2.2Referer惹的禍214 7.2.3瀏覽器記住的明文密碼216 7.2.4鍵盤(pán)記錄器219 7.2.5偷取黑客隱私的一個(gè)小技巧222 7.3內(nèi)網(wǎng)滲透技術(shù)223 7.3.1獲取內(nèi)網(wǎng)IP223 7.3.2獲取內(nèi)網(wǎng)IP端口224 7.3.3獲取內(nèi)網(wǎng)主機(jī)存活狀態(tài)225 7.3.4開(kāi)啟路由器的遠(yuǎn)程訪(fǎng)問(wèn)能力226 7.3.5內(nèi)網(wǎng)脆弱的Web應(yīng)用控制227 7.4基于CSRF的攻擊技術(shù)228 7.4.1基于CSRF的XSS攻擊229 7.5瀏覽器劫持技術(shù)230 7.6一些跨域操作技術(shù)232 7.6.1IEres：協(xié)議跨域232 7.6.2CSSStringInjection跨域233 7.6.3瀏覽器特權(quán)區(qū)域風(fēng)險(xiǎn)235 7.6.4瀏覽器擴(kuò)展風(fēng)險(xiǎn)237 7.6.5跨子域：document.domain技巧240 7.6.6更多經(jīng)典的跨域索引245 7.7XSSProxy技術(shù)246 7.7.1瀏覽器＜script＞請(qǐng)求247 7.7.2瀏覽器跨域AJAX請(qǐng)求248 7.7.3服務(wù)端WebSocket推送指令249 7.7.4postMessage方式推送指令251 7.8真實(shí)案例剖析254 7.8.1高級(jí)釣魚(yú)攻擊之百度空間登錄DIV層釣魚(yú)254 7.8.2高級(jí)釣魚(yú)攻擊之Gmail正常服務(wù)釣魚(yú)261 7.8.3人人網(wǎng)跨子域盜取MSN號(hào)265 7.8.4跨站獲取更高權(quán)限267 7.8.5大規(guī)模XSS攻擊思想275 7.9關(guān)于XSS利用框架276 第8章HTML5安全277 8.1新標(biāo)簽和新屬性繞過(guò)黑名單策略278 8.1.1跨站中的黑名單策略278 8.1.2新元素突破黑名單策略280 8.2HistoryAPI中的新方法282 8.2.1pushState（）和replaceState（）282 8.2.2短地址+History新方法=完美隱藏URL惡意代碼283 8.2.3偽造歷史記錄284 8.3HTML5下的僵尸網(wǎng)絡(luò)285 8.3.1WebWorker的使用286 8.3.2CORS向任意網(wǎng)站發(fā)送跨域請(qǐng)求287 8.3.3一個(gè)HTML5僵尸網(wǎng)絡(luò)實(shí)例287 8.4地理定位暴露你的位置290 8.4.1隱私保護(hù)機(jī)制290 8.4.2通過(guò)XSS盜取地理位置292 第9章Web蠕蟲(chóng)293 9.1Web蠕蟲(chóng)思想294 9.2XSS蠕蟲(chóng)295 9.2.1原理+一個(gè)故事295 9.2.2危害性297 9.2.3SNS社區(qū)XSS蠕蟲(chóng)300 9.2.4簡(jiǎn)約且原生態(tài)的蠕蟲(chóng)304 9.2.5蠕蟲(chóng)需要追求原生態(tài)305 9.3CSRF蠕蟲(chóng)307 9.3.1關(guān)于原理和危害性307 9.3.2譯言CSRF蠕蟲(chóng)308 9.3.3飯否CSRF蠕蟲(chóng)——邪惡的Flash游戲314 9.3.4CSRF蠕蟲(chóng)存在的可能性分析320 9.4ClickJacking蠕蟲(chóng)324 9.4.1ClickJacking蠕蟲(chóng)的由來(lái)325 9.4.2ClickJacking蠕蟲(chóng)技術(shù)原理分析325 9.4.3Facebook的LikeJacking蠕蟲(chóng)327 9.4.4GoogleReader的ShareJacking蠕蟲(chóng)327 9.4.5ClickJacking蠕蟲(chóng)爆發(fā)的可能性335 第10章關(guān)于防御336 10.1瀏覽器廠(chǎng)商的防御336 10.1.1HTTP響應(yīng)的X—頭部337 10.1.2遲到的CSP策略338 10.2Web廠(chǎng)商的防御341 10.2.1域分離341 10.2.2安全傳輸342 10.2.3安全的Cookie343 10.2.4優(yōu)秀的驗(yàn)證碼343 10.2.5謹(jǐn)慎第三方內(nèi)容344 10.2.6XSS防御方案345 10.2.7CSRF防御方案348 10.2.8界面操作劫持防御353 10.3用戶(hù)的防御357 10.4邪惡的SNS社區(qū)359

章節(jié)摘錄

版權(quán)頁(yè)：   插圖： 

媒體關(guān)注與評(píng)論

《Web前端黑客技術(shù)揭秘》是每名Web前端工程師都必備的安全參考書(shū)。鐘晨鳴先生與徐少培先生是我多年的好友，他們?cè)赪eb安全領(lǐng)域有著很深的造詣。這本書(shū)是他們多年經(jīng)驗(yàn)的總結(jié)，深入剖析了Web前端安全的方方面面，很多獨(dú)特的見(jiàn)解發(fā)人深省。對(duì)于安全從業(yè)者和對(duì)互聯(lián)網(wǎng)安全關(guān)心的讀者，這本書(shū)是不容錯(cuò)過(guò)的上上之選?！獏呛睬濉栋酌弊又vWeb安全》作者，安全寶聯(lián)合產(chǎn)品副總裁，前阿里巴巴集團(tuán)高級(jí)安全專(zhuān)家通過(guò)Web前端應(yīng)用對(duì)Web用戶(hù)個(gè)人敏感信息進(jìn)行攻擊已經(jīng)成為當(dāng)前主流的攻擊手段之一。本書(shū)作者是國(guó)內(nèi)Web前端安全研究的資深專(zhuān)家，本書(shū)也是國(guó)內(nèi)迄今為止在這一領(lǐng)域內(nèi)最為全面和深刻的專(zhuān)著。作者用生動(dòng)詼諧的語(yǔ)言為我們?nèi)媾傥隽水?dāng)前Web前端黑客的各種技術(shù)，對(duì)專(zhuān)業(yè)的安全工作者、瀏覽器開(kāi)發(fā)人員、Web開(kāi)發(fā)人員具有很好的參考價(jià)值，對(duì)提升廣大Web用戶(hù)自身的安全防范意識(shí)和知識(shí)也有很好的借鑒意義，推薦大家閱讀?！ζ楸本┨烊谛殴靖笨偛谩禬eb前端黑客技術(shù)揭秘》是每名Web前端工程師都必備的安全參考書(shū)。鐘晨鳴先生與徐少培先生是我多年的好友，他們?cè)赪eb安全領(lǐng)域有著很深的造詣。這本書(shū)是他們多年經(jīng)驗(yàn)的總結(jié)，深入剖析了Web前端安全的方方面面，很多獨(dú)特的見(jiàn)解發(fā)人深省。對(duì)于安全從業(yè)者和對(duì)互聯(lián)網(wǎng)安全關(guān)心的讀者，這本書(shū)是不容錯(cuò)過(guò)的上上之選。——吳翰清《白帽子講Web安全》作者，安全寶聯(lián)合產(chǎn)品副總裁，前阿里巴巴集團(tuán)高級(jí)安全專(zhuān)家通過(guò)Web前端應(yīng)用對(duì)Web用戶(hù)個(gè)人敏感信息進(jìn)行攻擊已經(jīng)成為當(dāng)前主流的攻擊手段之一。本書(shū)作者是國(guó)內(nèi)Web前端安全研究的資深專(zhuān)家，本書(shū)也是國(guó)內(nèi)迄今為止在這一領(lǐng)域內(nèi)最為全面和深刻的專(zhuān)著。作者用生動(dòng)詼諧的語(yǔ)言為我們?nèi)媾傥隽水?dāng)前Web前端黑客的各種技術(shù)，對(duì)專(zhuān)業(yè)的安全工作者、瀏覽器開(kāi)發(fā)人員、Web開(kāi)發(fā)人員具有很好的參考價(jià)值，對(duì)提升廣大Web用戶(hù)自身的安全防范意識(shí)和知識(shí)也有很好的借鑒意義，推薦大家閱讀?！ζ楸本┨烊谛殴靖笨偛脮r(shí)至今日，我已經(jīng)擁有過(guò)萬(wàn)的信息安全學(xué)員，但每逢學(xué)員讓我推薦實(shí)戰(zhàn)技術(shù)參考書(shū)時(shí)，都為推薦好書(shū)發(fā)愁，而這本書(shū)的誕生帶來(lái)了攻防實(shí)戰(zhàn)技術(shù)耀眼的光芒。本書(shū)既講解了先進(jìn)的XSS精粹，又展示了“借刀殺人、殺人不見(jiàn)血”的CSRF威力，通過(guò)研讀該書(shū)，滲透測(cè)試與應(yīng)急響應(yīng)工程師將能收獲詳盡的理論知識(shí)和最新實(shí)踐指南；風(fēng)險(xiǎn)評(píng)估與安全審計(jì)工程師閱讀后將能透徹了解到Web2.0的新威脅，他們將不得不擴(kuò)展評(píng)估和審計(jì)的技術(shù)標(biāo)準(zhǔn)；IT運(yùn)維安全工程師們閱讀后，將會(huì)意識(shí)到新的噩夢(mèng)已經(jīng)到來(lái)，為避免更多網(wǎng)站成為攻擊目標(biāo)，唯一做的就是積極學(xué)習(xí)、與時(shí)俱進(jìn)！——張勝生CISSP/CISP/CISA/攻防技術(shù)資深講師，網(wǎng)絡(luò)犯罪重現(xiàn)與偵查云端平臺(tái)總設(shè)計(jì)師隨著Web2.0的發(fā)展，Web前端攻擊已逐漸成為主流攻擊方式之一，但目前業(yè)界對(duì)Web前端安全方面的研究成果并沒(méi)有系統(tǒng)的輸出。今日有幸能優(yōu)先拜讀《Web前端黑客技術(shù)揭秘》一書(shū)，才發(fā)現(xiàn)原來(lái)已經(jīng)有人在進(jìn)行這方面的工作了。通讀下來(lái)發(fā)現(xiàn)該書(shū)是兩位作者對(duì)Web安全技術(shù)多年的系統(tǒng)研究和技術(shù)沉淀，涵蓋了Web前端安全的方方面面，是一本能提升業(yè)界整體Web安全水平的得力之作。力薦！此外，兩位作者鐘晨鳴先生與徐少培先生都憑借深厚的Web安全技術(shù)功底多次幫助騰訊提升產(chǎn)品的安全質(zhì)量，在此一并表示感謝?！猯ake2騰訊安全應(yīng)急響應(yīng)中心經(jīng)理鐘晨鳴先生和徐少培先生是我多年來(lái)的摯友，很高興終于看到這本書(shū)的面世，在我所熟悉的Web領(lǐng)域里，本書(shū)絕對(duì)是國(guó)內(nèi)Web安全書(shū)籍中的首選，書(shū)中許多經(jīng)典的case和思路，都是二位多年寶貴經(jīng)驗(yàn)的總結(jié)，對(duì)于喜愛(ài)Web安全的同學(xué)和相關(guān)從業(yè)人員來(lái)說(shuō)，細(xì)細(xì)研讀該書(shū)一定能使讀者對(duì)Web安全領(lǐng)域達(dá)到一個(gè)更深層的認(rèn)識(shí)?！_詩(shī)堯《黑客攻防實(shí)戰(zhàn)》系列圖書(shū)作者，新浪微博應(yīng)用安全技術(shù)專(zhuān)家、微博安全中心負(fù)責(zé)人，前百度高級(jí)工程師

編輯推薦

《安全技術(shù)大系:Web前端黑客技術(shù)揭秘》共10章，每章的關(guān)聯(lián)性不強(qiáng)，大家可以根據(jù)自己的喜好跳躍性地閱讀，不過(guò)我們建議從頭到尾地閱讀，因?yàn)槊空碌男畔⒘慷急容^大，我們沒(méi)法完全照顧初學(xué)者，很多更基礎(chǔ)的知識(shí)點(diǎn)需要自己去彌補(bǔ)。第1章介紹wleb安全的幾個(gè)關(guān)鍵點(diǎn)。這些關(guān)鍵點(diǎn)是我們研究前端安全的意識(shí)點(diǎn)，缺乏這些關(guān)鍵意識(shí)，就很難真正弄懂前端安全，本章的內(nèi)容值得細(xì)細(xì)閱讀。第2章介紹前端基礎(chǔ)。實(shí)際上，其中的很多內(nèi)容并非真正的基礎(chǔ)，《安全技術(shù)大系:Web前端黑客技術(shù)揭秘》不會(huì)像傳統(tǒng)的教材那樣回顧那些語(yǔ)言的語(yǔ)法、用法等以此來(lái)理解做前端安全都需要具備哪些基本技能，我們覺(jué)得基礎(chǔ)是關(guān)鍵，所以本章內(nèi)容會(huì)比較多。

名人推薦

《安全技術(shù)大系:Web前端黑客技術(shù)揭秘》是每名Web前端工程師都必備的安全參考書(shū)。鐘展鳴先生與徐少培先生是我多年的好友，他們?cè)赪eb安全領(lǐng)域有著很深的造詣。這本書(shū)是他們多年經(jīng)驗(yàn)的總結(jié)，深入剖析7Web前端安全的方方面面，很多獨(dú)特的見(jiàn)解發(fā)人深省。對(duì)于安全從業(yè)者和關(guān)心互聯(lián)網(wǎng)安全的讀者來(lái)說(shuō)，這本書(shū)是不容錯(cuò)過(guò)的上上之選。 ——吳翰清 《自帽子講Web安全》作者，安全寶聯(lián)合產(chǎn)品副總裁，前阿里巴巴集團(tuán)高級(jí)安全專(zhuān)家 通過(guò)Web前端應(yīng)用對(duì)Web用戶(hù)個(gè)人敏感信息進(jìn)行攻擊已經(jīng)成為當(dāng)前主流的攻擊手段之一。本書(shū)作者是國(guó)內(nèi)Web前端安全研究的資深專(zhuān)家，本書(shū)也是該領(lǐng)域內(nèi)容介紹較全面和詳細(xì)的專(zhuān)著。作者用生動(dòng)詼諧的語(yǔ)言全面剖析了當(dāng)前Web前端黑客的各種技術(shù)，對(duì)專(zhuān)業(yè)的安全工作者、瀏覽器開(kāi)發(fā)人員、Web開(kāi)發(fā)人員具有很好的參考價(jià)值；對(duì)提升廣大Web用戶(hù)自身的安全防范意識(shí)也有很好的借鑒意義，推薦大家閱讀。 ——姚崎 北京天融信公司副總裁 時(shí)至今日，我已經(jīng)擁有過(guò)萬(wàn)名的信息安全學(xué)員，但每逢學(xué)員讓我推薦實(shí)戰(zhàn)技術(shù)的參考書(shū)時(shí)，都為推薦好書(shū)而發(fā)愁，而這本書(shū)的誕生帶來(lái)了攻防實(shí)戰(zhàn)技術(shù)耀眼的光芒。本書(shū)既講解了先進(jìn)的XSS精粹，又展示了“借刀殺人、殺人不見(jiàn)血”的CSRF威力。通過(guò)研讀該書(shū)，滲透測(cè)試與應(yīng)急響應(yīng)工程師將能收獲詳盡的理論知識(shí)和最新的實(shí)踐指南；風(fēng)險(xiǎn)評(píng)估與安全審計(jì)工程師將能透徹了解Web 2.0的新威脅，這樣他們將不得不擴(kuò)展評(píng)估和審計(jì)的技術(shù)標(biāo)準(zhǔn)；IT運(yùn)維安全工程師將會(huì)意識(shí)到新的噩夢(mèng)已經(jīng)到來(lái)，為避免更多的網(wǎng)站成為攻擊目標(biāo)，他們唯一要做的就是積極學(xué)習(xí)、與時(shí)俱進(jìn)！ ——張勝生 CISSP／CISP／CISA／攻防技術(shù)資深講師，網(wǎng)絡(luò)犯罪重現(xiàn)與偵查云端平臺(tái)總設(shè)計(jì)師 隨著Web 2.0的發(fā)展，Web前端攻擊已逐漸成為主流的攻擊方式之一，但目前業(yè)界對(duì)Web前端安全方面的研究成果并沒(méi)有系統(tǒng)地輸出。今日有幸能優(yōu)先拜讀《安全技術(shù)大系:Web前端黑客技術(shù)揭秘》一書(shū)，才發(fā)現(xiàn)原來(lái)已經(jīng)有人在進(jìn)行這方面的工作了。通讀下來(lái)，發(fā)現(xiàn)該書(shū)是兩位作者對(duì)Web安全技術(shù)多年的系統(tǒng)研究和技術(shù)沉淀，該書(shū)內(nèi)容涵蓋了Web前端安全的方方面面，是一本能提升業(yè)界整體Web安全水平的得力之作。在此力薦！此外，兩位作者都憑借深厚的Web安全技術(shù)功底多次幫助過(guò)騰訊提升產(chǎn)品的安全質(zhì)量，在此對(duì)他們表示感謝。 ——lake2 騰訊安全應(yīng)急響應(yīng)中心經(jīng)理 鐘展鳴先生和徐少培先生是我多年來(lái)的摯友，很高興終于看到這本書(shū)的面世。在我所熟悉的Web領(lǐng)域里，本書(shū)可以算是國(guó)內(nèi)Web安全書(shū)籍中的首選，書(shū)中許多經(jīng)典的案例和思路都是二位多年寶貴經(jīng)驗(yàn)的總結(jié)。對(duì)于喜愛(ài)Web安全的朋友和相關(guān)從業(yè)人員來(lái)說(shuō)，細(xì)細(xì)研讀該書(shū)后，對(duì)Web安全領(lǐng)域?qū)?huì)有一個(gè)更深的認(rèn)識(shí)。 ——羅詩(shī)堯 《黑客攻防實(shí)戰(zhàn)》系列圖書(shū)作者，新浪微博應(yīng)用安全技術(shù)專(zhuān)家、微博安全中心負(fù)責(zé)人，前百度高級(jí)工程師

圖書(shū)封面

圖書(shū)標(biāo)簽Tags

無(wú)

評(píng)論、評(píng)分、閱讀與下載

---

    Web前端黑客技術(shù)揭秘 PDF格式下載

---