• 墨守之道 Web服务安全架构与实践
21年品牌 40万+商家 超1.5亿件商品

墨守之道 Web服务安全架构与实践

全新正版 假一赔十 可开发票

63.93 7.1折 89.9 全新

库存2件

北京东城
认证卖家担保交易快速发货售后保障

作者盛洋,李华峰

出版社人民邮电出版社

ISBN9787115561589

出版时间2021-06

装帧平装

开本16开

定价89.9元

货号1202351461

上书时间2024-12-08

轻阅书店

三年老店
已实名 已认证 进店 收藏店铺

   商品详情   

品相描述:全新
商品描述
作者简介
盛洋,新浪网不错安全与开发工程师,长期从事企业信息系统开发与嵌入式系统开发。在进入互联网信息安全领域之后,他将企业级信息安全工程方法与对嵌入式系统高性能的要求融入互联网安全信息系统的开发实践中,深度参与了互联网企业云服务防护实践和安全信息系统的构建。他还是《安全客》季刊的作者,FreeBuf安全智库指导专家顾问及“年度作者”。他也是一名活跃的技术博主,运营公众号“糖果的实验室”。

目录
章初探门径——Web应用程序基础理论1

1.1Web应用程序是怎样炼成的1

1.2程序员是如何开发Web应用程序的6

1.2.1Web程序的分层结构7

1.2.2各司其职的程序员8

1.3研究Web应用程序的“利器”11

1.3.1黑盒测试类工具11

1.3.2白盒测试类工具13

1.4小结14

第2章登堂入室——Web服务器与负载均衡15

2.1罗马不是一天建成的15

2.2众人拾柴火焰高——集群技术17

2.2.1集群技术的核心——负载均衡算法18

2.2.2实现负载均衡的设备19

2.2.3集群的高可用性21

2.2.4负载均衡设备的部署22

2.2.5集群扩展实例23

2.3用LVS实现负载均衡25

2.3.1DR模式26

2.3.2TUN模式26

2.3.3NAT模式27

2.3.4FULLNAT模式28

2.4保证负载均衡设备的高可用性28

2.5基于OpenResty的负载均衡方案32

2.6使用TOA溯源真实IP33

2.7小结34

第3章祸起萧墙——HTTPS和CDN的安全问题35

3.1服务器与浏览器沟通的桥梁——HTTP35

3.1.1HTTP的工作原理36

3.1.2HTTP的缺陷37

3.2以安全为目标的HTTPS38

3.2.1HTTPS的工作原理38

3.2.2针对HTTPS的攻击39

3.2.3HSTS的工作原理40

3.2.4针对HSTS的攻击41

3.3CDN相关的概念43

3.3.1HTTP范围请求45

3.3.2DDoS攻击47

3.3.3放大攻击47

3.4RangeAmp攻击48

3.4.1小字节范围(SBR)攻击49

3.4.2重叠字节范围(OBR)攻击50

3.5小结52

第4章四战之地——Web服务的安全因素53

4.1Web服务所面临的威胁53

4.2Web服务安全的外部环境因素54

4.2.1操作系统的漏洞55

4.2.2服务器应用程序的漏洞66

4.2.3Docker的缺陷69

4.3Web服务安全的内部代码因素71

4.3.1常见的Web程序漏洞71

4.3.2Web漏洞测试程序(以PHPDVWA为例)73

4.3.3命令注入(ShellInjection)的成因与分析76

4.3.4文件包含漏洞的分析与利用82

4.3.5上传漏洞的分析与利用88

4.3.6跨站请求伪造漏洞的分析与利用92

4.3.7XSS的分析与利用96

4.4Web服务安全检测工具(静态代码审计和动态检测)100

4.4.1信息搜集工具100

4.4.2漏洞扫描工具102

4.4.3Web安全扫描工具103

4.4.4代码审计工具104

4.5小结105

第5章道高一尺——如何保护Web服务106

5.1WAF基础知识107

5.1.1WAF简介107

5.1.2反向代理机制108

5.1.3DDoS防护与WAF的区别110

5.1.4反爬虫防护与WAF的区别110

5.1.5WAF的工作原理110

5.2Lua语言基础115

5.2.1Lua保留字115

5.2.2变量与数据结构115

5.2.3控制结构116

5.2.4函数声明与调用117

5.2.5正则表达式121

5.3WAF的规则编写122

5.3.1XSS攻击拦截正则122

5.3.2SQL注入拦截正则123

5.4不错拦截过滤规则124

5.5WAF的日志分析技术126

5.5.1C模块日志扩展模块126

5.5.2Lua的UDP日志发送129

5.5.3Kafka日志收集130

5.5.4在Conf中配置Syslog日志输出130

5.5.5基于log_by_lua阶段实现日志转发131

5.6网关型WAF系统132

5.6.1安装OpenResty133

5.6.2安装Lapis133

5.6.3创建LuaWeb应用133

5.6.4Lor框架135

5.6.5Orange网关136

5.6.6在云环境中部署Orange140

5.6.7ApacheAPISIX网关144

5.7流量镜像与请求调度147

5.7.1流量镜像与蜜罐系统的联系147

5.7.2配置逻辑148

5.7.3动态切换上游(蜜罐)149

5.8动态跟踪技术151

5.8.1保证网关的安全性151

5.8.2动态跟踪技术152

5.9小结153

第6章魔高一丈——WAF可以让我们高枕无忧吗154

6.1入侵者如何检测WAF154

6.1.1网站有无WAF保护的区别154

6.1.2检测目标网站是否使用WAF155

6.1.3检测目标网站使用的WAF产品158

6.2入侵者如何绕过云WAF161

6.3常见的WAF绕过方法163

6.3.1利用WAF的检查范围164

6.3.2WAF与操作系统的解析差异165

6.3.3利用WAF与服务器应用程序的解析差异170

6.3.4编解码技术的差异172

6.3.5其他常用方法175

6.4小结176

第7章有迹可循——Web日志审计177

7.1Web服务的日志聚合178

7.1.1KafkaCat安装178

7.1.2Nginx和OpenResty日志配置179

7.1.3用KafkaCat发送日志180

7.2Kafka数据队列服务安装180

7.2.1Kafka安装与配置180

7.2.2Zookeeper安装与配置184

7.2.3创建索引并测试186

7.3NxLog187

7.3.1NxLog安装187

7.3.2NxLog配置187

7.4Graylog189

7.5日志自动化取证分析198

7.6小结204

第8章太公钓鱼,愿者上钩——蜜罐技术205

8.1蜜罐技术简介205

8.2蜜罐的部署208

8.2.1Python环境安装208

8.2.2安装PIP208

8.2.3安装VirtualEnv208

8.2.4创建Python虚拟环境208

8.2.5安装OpenCanary209

8.2.6蜜罐系统配置管理209

8.2.7蜜罐服务分析209

8.2.8启动蜜罐系统214

8.3常见的蜜罐服务215

8.3.1HTTP216

8.3.2FTP217

8.3.3SSH218

8.3.4Telnet218

8.3.5MySQL219

8.3.6Git219

8.3.7NTP220

8.3.8Redis220

8.3.9TCP221

8.3.10VNC221

8.3.11RDP222

8.3.12SIP223

8.3.13SNMP223

8.3.14Nmap224

8.3.15SYN探测225

8.3.16FIN225

8.3.17XmasTree226

8.3.18Null227

8.3.19MSSQL228

8.3.20HTTPProxy228

8.4虚拟蜜罐技术与扩展229

8.5蜜罐运维管理234

8.6蜜罐流量监听技术与实现236

8.6.1基于C与Pcap实现的流量分析工具236

8.6.2创建蜜罐监听237

8.6.3编写Makefile239

8.6.4核心API解析239

8.6.5数据源插件243

8.6.6过滤插件245

8.6.7日志输出插件246

8.7用交换机端口聚合技术实现蜜罐部署247

8.7.1交换机端口聚合与蜜罐VLAN划分247

8.7.2单物理网卡与多IP蜜罐实例监听248

8.7.3案例1:捕获内网服务发起的扫描行为248

8.7.4案例2:勒索病毒软件监控249

8.7.5收集攻击payload数据249

8.7.6日志中心与威胁报警250

8.7.7蜜罐系统的监控与运维251

8.8小结252

第9章众擎易举——大数据时代的Web安全253

9.1正常URL与恶意URL254

9.2传统的恶意URL检测方法256

9.3当URL检测遇上机器学习257

9.4深度学习框架258

9.5URL的向量表示259

9.6基于LSTM的恶意URL识别模型261

9.7URL识别模型与WAF的结合264

9.7.1自动威胁日志采集265

9.7.2Sklearn大数据环境267

9.7.3大数据建模实践269

9.8小结271

0章步步为营——网络安全解决方案272

10.1通过命令注入漏洞进行渗透273

10.1.1攻防系统结构273

10.1.2DVWA的反弹Shell操作275

10.1.3日志与数据中心276

10.2基于DSL的拦截检查防御278

10.2.1DSL与小语言OpenRestyEdgeLang278

10.2.2基于OpenRestyEdgeLang的拦截检查280

10.3基于语义分析库的威胁攻击分析282

10.3.1语义分析原理282

10.3.2libInjection语义分析库283

10.3.3开源语义分析库的局限283

10.4基于神经网络的威胁建模手段284

10.4.1规则泛化284

10.4.2数据神经网络284

10.5跟踪Shell反弹执行进程285

10.5.1System动态跟踪技术285

10.5.2OpenRestyYLang语言287

10.5.3火焰图与动态跟踪289

10.5.4OpenRestyYSQL语言290

10.6小结292

内容摘要
近年来,信息技术的广泛应用极大地促进了社会进步,也方便了人们的工作和生活,随之而来的网络安全问题日益突显。如何构建安全可靠的网络环境,如何与时俱进地把新技术纳入网络安全防护的实践当中,成为网络安全工作者的重要课题。

本书聚焦于Web服务常用的安全技术,以案例形式展示Web服务所面临的威胁,并给出了丰富多样的解决方案。本书由浅入深地介绍了Web安全的相关主题,包括Web应用程序基础理论、Web服务器与负载均衡、HTTPS和CDN的安全问题、Web服务的安全因素、如何保护Web服务、WAF原理与实践、Web日志审计、蜜罐技术、大数据时代的Web安全、网络安全解决方案等内容。

本书适合网络安全领域的研发人员、运维人员、高校师生、培训机构等群体阅读参考。

主编推荐
1. 独特视角解析网络攻防之道
本书借鉴了墨家思想,从多个方面解读Web安全的攻防原理,不仅涉及Web服务与安全的基础理论,也讲解了很多时下热门的安全技术,例如复杂均衡、WAF、日志审计、蜜罐等。
2. 实用案例探秘企业级安全之道
本书案例丰富,适合读者边学边进行实践参考,能够为安全领域的研发人员、运维人员、高校师生、培训机构提供更全面的技术指导和学习素材。
3. 原理解析深入浅出,经典案例有源码配套
本书由资深的安全从业者和高校老师编写,融合了产业界和学界对网络信息安全的深度思考和实践,书中的典型案例还有配套的源码文件提供,方便读者使用。

媒体评论
网络架构、大数据分析、负载均衡、DNS、消息队列、缓存等是信息安全系统所涉及的主要技术,信息安全系统的建设离不开这些基础技术平台的支持。本书在向读者展示网络安全攻击与防御技术的同时,介绍了实际工作中与信息安全系统相关联的各种服务技术以及工作机制。其他的安全类图书往往更关注攻击与漏洞利用的实践操作,本书在此基础上,还介绍了利用多种服务技术构建信息安全系统。读者可通过书中的技术实践素材,帮助自己完成信息安全系统的构建。
——新浪云平台架构部总经理  邱春武

近年来,信息安全、金融安全已经上升到国家安全的高度。内外部环境的变化使金融机构的安全状况面临严峻挑战。相关政策的发布推动着金融信息安全的发展,也对金融机构的安全防护提出了更高的要求。另外,云计算、大数据、人工智能、5G等新技术既带来了新的安全场景,又赋予信息安全更多的工具和能力。金融领域相关的技术从业者对安全问题的警惕性与关注度也日益提升。本书以其特有的组织方式,向读者介绍了各种实用技术在安全场景中的应用,并阐述了背后的工作原理,呼应了金融信息安全的实际需求。在这个时代,很庆幸有那么一群人默默奉献,把安全当成事业。希望这本安全技术图书能为金融信息化的建设添砖加瓦。
——腾讯金融云不错架构师及金融数字化转型实践者  顾骏杰

近年来,信息技术的应用愈加广泛和深入,这也使网络安全问题日益突出。基于特征匹配和模式比较的入侵检测始终是一个相对被动的防守策略,AI技术的引入在某种程度上能将入侵检测从被动转换为主动。本书结合作者丰富的一线实践经验,深入浅出地展示了一个基于LSTM的入侵检测案例,也给我们打开了一扇通往AI与网络安全的大门。相信在不久的将来,安全从业者不仅需要了解和掌握AI技术来应对现有的威胁,还要迎接整合了AI技术的智能化攻击的挑战。
?——阿里巴巴不错技术专家  陶金(瑜青)
OpenCanary是一款开源蜜罐系统,基于Python实现,其模块化、多协议、可分布式等众多优点使其易于二次开发和部署。它巧妙地运用Linux操作系统机制,帮助多家企业发现内网WannaCry蠕虫。本书结合作者多年的安全攻防经验,以OpenCanary的落地实践为蓝本,帮你揭开蜜罐技术的神秘面纱。
——美团安全专家  Pirogue

API通信是企业与外部服务、微服务之间暴露的优选攻击面,而构建API网关是建立零信任体系拥有性价比的切入点。书中提到的OpenResty网关系统,本身附带了很多功能,基于OpenResty技术构建的零信任处理系统,在技术与性能上有其特色的优势,可以提供较为完善的访问控制、认证与授权、记录审核、安全威胁防护、加密和数据安全等基础设施安力。本书介绍了一些很好的网关产品,这些产品可作为安全从业人员参与零信任建设的“他山之石”。
——应用安全专家  李瑞

互联网蓬勃发展至今,很多伟大的开源项目起着基石性的作用,OpenResty正是这些幕后英雄之一。它的高性能、高可扩展性和动态性,无不击中CDN领域的痛点,现在几乎所有的商业CDN公司都会用它来做网关接入层,解决千奇百怪的用户需求。作为一名在CDN行业工作近十年的程序员,很好幸运地见证了OpenResty在CDN领域从很初的一门“小众技术”迅速大放异彩的过程。我本人对OpenResty一直抱着感激的态度,它将我从无尽的业务需求和Bug中解脱出来,腾出精力去写出更高质量的代码。在其他领域,OpenResty也有大量的应用和很好的表现。本书详细介绍了OpenResty在安全领域的应用,相信大家读后都会有所收获。
——电信云CDN领域专家  方鹏

—  没有更多了  —

以下为对购买帮助不大的评价

此功能需要访问孔网APP才能使用
暂时不用
打开孔网APP