白帽子講web安全 內(nèi)容簡(jiǎn)介 :

        在互聯(lián)網(wǎng)時(shí)代，數(shù)據(jù)安全與個(gè)人隱私受到了前所未有的挑戰(zhàn)，各種新奇的攻擊技術(shù)層出不窮。如何才能更好地保護(hù)我們的數(shù)據(jù)？本書(shū)將帶你走進(jìn)web安全的世界，讓你了解web安全的方方面面。黑客不再變得神秘，攻擊技術(shù)原來(lái)我也可以會(huì)，小網(wǎng)站主自己也能找到正確的安全道路。大公司是怎么做安全的，為什么要選擇這樣的方案呢？你能在本書(shū)中找到答案。詳細(xì)的剖析，讓你不僅能“知其然”，更能“知其所以然”。
　　 《白帽子講web安全》是根據(jù)作者若干年實(shí)際工作中積累下來(lái)的豐富經(jīng)驗(yàn)而寫(xiě)成的，在解決方案上具有極強(qiáng)的可操作性，深入分析了各種錯(cuò)誤的解決方案與誤區(qū)，對(duì)安全工作者有很好的參考價(jià)值。安全開(kāi)發(fā)流程與運(yùn)營(yíng)的介紹，對(duì)同行業(yè)的工作具有指導(dǎo)意義。
 

編輯推薦   
      “安全是互聯(lián)網(wǎng)公司的生命，也是每一位網(wǎng)民的最基本需求。
　　 一位天天聽(tīng)到炮聲的白帽子和你分享如何呵護(hù)生命，滿(mǎn)足最基本需求。這是一本能聞到硝煙味道的書(shū)。”
　　 ——阿里巴巴集團(tuán)首席架構(gòu)師 阿里云總裁 王堅(jiān)

白帽子講web安全 作譯者:

吳翰清，畢業(yè)于西安交通大學(xué)少年班，從2000年開(kāi)始研究網(wǎng)絡(luò)攻防技術(shù)。在大學(xué)期間創(chuàng)立
了在中國(guó)安全圈內(nèi)極具影響力的組織“幻影”。

2005年加入********，負(fù)責(zé)網(wǎng)絡(luò)安全。工作期間，對(duì)********的安全開(kāi)發(fā)流程、應(yīng)用安全建設(shè)做出了杰出的貢獻(xiàn)，并多次獲得公司的表彰。曾先后幫助淘寶、支付寶建立了應(yīng)用安全體系，保障公司業(yè)務(wù)得以快速而安全地發(fā)展。

2009年起，加入********支計(jì)算有限公司，負(fù)責(zé)云計(jì)算安全、反網(wǎng)絡(luò)欺詐等工作，是********集團(tuán)最具價(jià)值的安全專(zhuān)家。長(zhǎng)期專(zhuān)注于安全技術(shù)的創(chuàng)新與實(shí)踐，多有建樹(shù)。同時(shí)還是owasp在中國(guó)的區(qū)域負(fù)責(zé)人之一，在互聯(lián)網(wǎng)安全領(lǐng)域有著極其豐富的經(jīng)驗(yàn)。平時(shí)樂(lè)于分享，個(gè)人博客的訪(fǎng)問(wèn)量迄今超過(guò)200萬(wàn)。多年來(lái)活躍在安全社區(qū)中，有著巨大的影響力。多次受邀在國(guó)內(nèi)、國(guó)際安全會(huì)議上演講，是中國(guó)安全行業(yè)的領(lǐng)軍人物之一。

白帽子講web安全 目錄：

第一篇 世界觀(guān)安全
第1章 我的安全世界觀(guān)        2
1.1 web安全簡(jiǎn)史        2
1.1.1 中國(guó)黑客簡(jiǎn)史        2
1.1.2 黑客技術(shù)的發(fā)展歷程        3
1.1.3 web安全的興起        5
1.2 黑帽子，白帽子        6
1.3 返璞歸真，揭秘安全的本質(zhì)        7
1.4 破除迷信，沒(méi)有銀彈        9
1.5 安全三要素        10
1.6 如何實(shí)施安全評(píng)估        11
1.6.1 資產(chǎn)等級(jí)劃分        12
1.6.2 威脅分析        13
1.6.3 風(fēng)險(xiǎn)分析        14
1.6.4 設(shè)計(jì)安全方案        15
1.7 白帽子兵法        16
1.7.1 secure by default原則        16
1.7.2 縱深防御原則        18
1.7.3 數(shù)據(jù)與代碼分離原則        19
.1.7.4 不可預(yù)測(cè)性原則        21
1.8 小結(jié)        22
（附）誰(shuí)來(lái)為漏洞買(mǎi)單？        23
第二篇 客戶(hù)端腳本安全
第2章 瀏覽器安全        26
2.1 同源策略        26
2.2 瀏覽器沙箱        30
2.3 惡意網(wǎng)址攔截        33
2.4 高速發(fā)展的瀏覽器安全        36
2.5 小結(jié)        39
第3章 跨站腳本攻擊（xss）        40
3.1 xss簡(jiǎn)介        40
3.2 xss攻擊進(jìn)階        43
3.2.1 初探xss payload        43
3.2.2 強(qiáng)大的xss payload        46
3.2.3 xss 攻擊平臺(tái)        62
3.2.4 終極武器：xss worm        64
3.2.5 調(diào)試javascript        73
3.2.6 xss構(gòu)造技巧        76
3.2.7 變廢為寶：mission impossible        82
3.2.8 容易被忽視的角落：flash xss        85
3.2.9 真的高枕無(wú)憂(yōu)嗎：javascript開(kāi)發(fā)框架        87
3.3 xss的防御        89
3.3.1 四兩撥千斤：httponly        89
3.3.2 輸入檢查        93
3.3.3 輸出檢查        95
3.3.4 正確地防御xss        99
3.3.5 處理富文本        102
3.3.6 防御dom based xss        103
3.3.7 換個(gè)角度看xss的風(fēng)險(xiǎn)        107
3.4 小結(jié)        107
第4章 跨站點(diǎn)請(qǐng)求偽造（csrf）        109
4.1 csrf簡(jiǎn)介        109
4.2 csrf進(jìn)階        111
4.2.1 瀏覽器的cookie策略        111
4.2.2 p3p頭的副作用        113
4.2.3 get? post?        116
4.2.4 flash csrf        118
4.2.5 csrf worm        119
4.3 csrf的防御        120
4.3.1 驗(yàn)證碼        120
4.3.2 referer check        120
4.3.3 anti csrf token        121
4.4 小結(jié)        124
第5章 點(diǎn)擊劫持（clickjacking）        125
5.1 什么是點(diǎn)擊劫持        125
5.2 flash點(diǎn)擊劫持        127
5.3 圖片覆蓋攻擊        129
5.4 拖拽劫持與數(shù)據(jù)竊取        131
5.5 clickjacking 3.0：觸屏劫持        134
5.6 防御clickjacking        136
5.6.1 frame busting        136
5.6.2 x-frame-options        137
5.7 小結(jié)        138
第6章 html 5 安全        139
6.1 html 5新標(biāo)簽        139
6.1.1 新標(biāo)簽的xss        139
6.1.2 iframe的sandbox        140
6.1.3 link types: noreferrer        141
6.1.4 canvas的妙用        141
6.2 其他安全問(wèn)題        144
6.2.1 cross-origin resource sharing        144
6.2.2 postmessage——跨窗口傳遞消息        146
6.2.3 web storage        147
6.3 小結(jié)        150
第三篇 服務(wù)器端應(yīng)用安全
第7章 注入攻擊        152
7.1 sql注入        152
7.1.1 盲注（blind injection）        153
7.1.2 timing attack        155
7.2 數(shù)據(jù)庫(kù)攻擊技巧        157
7.2.1 常見(jiàn)的攻擊技巧        157
7.2.2 命令執(zhí)行        158
7.2.3 攻擊存儲(chǔ)過(guò)程        164
7.2.4 編碼問(wèn)題        165
7.2.5 sql column truncation        167
7.3 正確地防御sql注入        170
7.3.1 使用預(yù)編譯語(yǔ)句        171
7.3.2 使用存儲(chǔ)過(guò)程        172
7.3.3 檢查數(shù)據(jù)類(lèi)型        172
7.3.4 使用安全函數(shù)        172
7.4 其他注入攻擊        173
7.4.1 xml注入        173
7.4.2 代碼注入        174
7.4.3 crlf注入        176
7.5 小結(jié)        179
第8章 文件上傳漏洞        180
8.1 文件上傳漏洞概述        180
8.1.1 從fckeditor文件上傳漏洞談起        181
8.1.2 繞過(guò)文件上傳檢查功能        182
8.2 功能還是漏洞        183
8.2.1 apache文件解析問(wèn)題        184
8.2.2 iis文件解析問(wèn)題        185
8.2.3 php cgi路徑解析問(wèn)題        187
8.2.4 利用上傳文件釣魚(yú)        189
8.3 設(shè)計(jì)安全的文件上傳功能        190
8.4 小結(jié)        191
第9章 認(rèn)證與會(huì)話(huà)管理        192
9.1 who am i?        192
9.2 密碼的那些事兒        193
9.3 多因素認(rèn)證        195
9.4 session與認(rèn)證        196
9.5 session fixation攻擊        198
9.6 session保持攻擊        199
9.7 單點(diǎn)登錄（sso）        201
9.8 小結(jié)        203
第10章 訪(fǎng)問(wèn)控制        205
10.1 what can i do?        205
10.2 垂直權(quán)限管理        208
10.3 水平權(quán)限管理        211
10.4 oauth簡(jiǎn)介        213
10.5 小結(jié)        219
第11章 加密算法與隨機(jī)數(shù)        220
11.1 概述        220
11.2 stream cipher attack        222
11.2.1 reused key attack        222
11.2.2 bit-flipping attack        228
11.2.3 弱隨機(jī)iv問(wèn)題        230
11.3 wep破解        232
11.4 ecb模式的缺陷        236
11.5 padding oracle attack        239
11.6 密鑰管理        251
11.7 偽隨機(jī)數(shù)問(wèn)題        253
11.7.1 弱偽隨機(jī)數(shù)的麻煩        253
11.7.2 時(shí)間真的隨機(jī)嗎        256
11.7.3 破解偽隨機(jī)數(shù)算法的種子        257
11.7.4 使用安全的隨機(jī)數(shù)        265
11.8 小結(jié)        265
（附）understanding md5 length extension attack        267
第12章 web框架安全        280
12.1 mvc框架安全        280
12.2 模板引擎與xss防御        282
12.3 web框架與csrf防御        285
12.4 http headers管理        287
12.5 數(shù)據(jù)持久層與sql注入        288
12.6 還能想到什么        289
12.7 web框架自身安全        289
12.7.1 struts 2命令執(zhí)行漏洞        290
12.7.2 struts 2的問(wèn)題補(bǔ)丁        291
12.7.3 spring mvc命令執(zhí)行漏洞        292
12.7.4 django命令執(zhí)行漏洞        293
12.8 小結(jié)        294
第13章 應(yīng)用層拒絕服務(wù)攻擊        295
13.1 ddos簡(jiǎn)介        295
13.2 應(yīng)用層ddos        297
13.2.1 cc攻擊        297
13.2.2 限制請(qǐng)求頻率        298
13.2.3 道高一尺，魔高一丈        300
13.3 驗(yàn)證碼的那些事兒        301
13.4 防御應(yīng)用層ddos        304
13.5 資源耗盡攻擊        306
13.5.1 slowloris攻擊        306
13.5.2 http post dos        309
13.5.3 server limit dos        310
13.6 一個(gè)正則引發(fā)的血案：redos        311
13.7 小結(jié)        315
第14章 php安全        317
14.1 文件包含漏洞        317
14.1.1 本地文件包含        319
14.1.2 遠(yuǎn)程文件包含        323
14.1.3 本地文件包含的利用技巧        323
14.2 變量覆蓋漏洞        331
14.2.1 全局變量覆蓋        331
14.2.2 extract()變量覆蓋        334
14.2.3 遍歷初始化變量        334
14.2.4 import_request_variables變量覆蓋        335
14.2.5 parse_str()變量覆蓋        335
14.3 代碼執(zhí)行漏洞        336
14.3.1 “危險(xiǎn)函數(shù)”執(zhí)行代碼        336
14.3.2 “文件寫(xiě)入”執(zhí)行代碼        343
14.3.3 其他執(zhí)行代碼方式        344
14.4 定制安全的php環(huán)境        348
14.5 小結(jié)        352
第15章 web server配置安全        353
15.1 apache安全        353
15.2 nginx安全        354
15.3 jboss遠(yuǎn)程命令執(zhí)行        356
15.4 tomcat遠(yuǎn)程命令執(zhí)行        360
15.5 http parameter pollution        363
15.6 小結(jié)        364
第四篇 互聯(lián)網(wǎng)公司安全運(yùn)營(yíng)
第16章 互聯(lián)網(wǎng)業(yè)務(wù)安全        366
16.1 產(chǎn)品需要什么樣的安全        366
16.1.1 互聯(lián)網(wǎng)產(chǎn)品對(duì)安全的需求        367
16.1.2 什么是好的安全方案        368
16.2 業(yè)務(wù)邏輯安全        370
16.2.1 永遠(yuǎn)改不掉的密碼        370
16.2.2 誰(shuí)是大贏家        371
16.2.3 瞞天過(guò)海        372
16.2.4 關(guān)于密碼取回流程        373
16.3 賬戶(hù)是如何被盜的        374
16.3.1 賬戶(hù)被盜的途徑        374
16.3.2 分析賬戶(hù)被盜的原因        376
16.4 互聯(lián)網(wǎng)的垃圾        377
16.4.1 垃圾的危害        377
16.4.2 垃圾處理        379
16.5 關(guān)于網(wǎng)絡(luò)釣魚(yú)        380
16.5.1 釣魚(yú)網(wǎng)站簡(jiǎn)介        381
16.5.2 郵件釣魚(yú)        383
16.5.3 釣魚(yú)網(wǎng)站的防控        385
16.5.4 網(wǎng)購(gòu)流程釣魚(yú)        388
16.6 用戶(hù)隱私保護(hù)        393
16.6.1 互聯(lián)網(wǎng)的用戶(hù)隱私挑戰(zhàn)        393
16.6.2 如何保護(hù)用戶(hù)隱私        394
16.6.3 do-not-track        396
16.7 小結(jié)        397
（附）麻煩的終結(jié)者        398
第17章 安全開(kāi)發(fā)流程（sdl）        402
17.1 sdl簡(jiǎn)介        402
17.2 敏捷sdl        406
17.3 sdl實(shí)戰(zhàn)經(jīng)驗(yàn)        407
17.4 需求分析與設(shè)計(jì)階段        409
17.5 開(kāi)發(fā)階段        415
17.5.1 提供安全的函數(shù)        415
17.5.2 代碼安全審計(jì)工具        417
17.6 測(cè)試階段        418
17.7 小結(jié)        420
第18章 安全運(yùn)營(yíng)        422
18.1 把安全運(yùn)營(yíng)起來(lái)        422
18.2 漏洞修補(bǔ)流程        423
18.3 安全監(jiān)控        424
18.4 入侵檢測(cè)        425
18.5 緊急響應(yīng)流程        428
18.6 小結(jié)        430
（附）談?wù)劵ヂ?lián)網(wǎng)企業(yè)安全的發(fā)展方向        431