【包邮】 Web之困:现代Web应用安全指南 【正版九新】
九品消毒塑封
¥ 18.1 2.6折 ¥ 69 九五品
仅1件
作者(美)扎勒维斯基|译者:朱筱丹
出版社机械工业
ISBN9787111439462
出版时间2013-10
装帧平装
开本16开
定价69元
货号9787111439462
上书时间2024-11-14
商品详情
- 品相描述:九五品
- 商品描述
-
前言
仅在15年前,互联网还是简单而无足轻重的:这套古怪的机制不过是让一群学生,还有一伙不太合群、住在地下室里的科学怪人,能访问彼此的个人主页而已,这些主页的内容可能是科学、他们的宠物或诗歌什么的。但到了今天,互联网已成为创建各种复杂交互应用的平台(这些应用包括从邮件客户端、图片编辑器到电脑游戏),它还是一种遍布全球、无数普通用户都能访问的大众媒体,同时它俨然已是重要的商业手段,以致1999~2001年第一次互联网泡沫破灭时,它正是导致经济倒退的主要原因。
即使以我们所处的信息化时代标准来衡量,互联网从默默无闻到无处不在,其发展速度也算异常惊人但这种惊人的跃升速度也带来许多难以预计的问题。互联网在设计上的缺陷和实现上的漏洞与它的发展状况完全不相称,但我们并没有机会停下脚步回顾之前的错误。这些缺陷很快就导致今时今日许多严重又普遍的数据安全问题:人们发现,当年那个用在简单花哨个人主页上的互联网机制设计标准,已完全不适用于当下每年处理庞大信用卡交易的在线商店。
如果我们回顾过去10年,心里难免会略有失落:几乎每个如今值得说道的在线应用,都因为贪图方便而凑合着用从早期互联网搬过来的技术,导致后期付出了沉重代价。以站点xssed.com为例,它仅仅收集了无数Web安全问题中很特定的一种,但在3年的运营时间里,已累计收集超过5万次攻击事件,真见鬼!然而,浏览器开发商还是颇为无动于衷,安全社区也未能就这些广泛存在的问题提出什么有见地的建议。与此相对的是安全专家正孜孜不倦地建造一套复杂而炫目的漏洞分类学,并对这种混乱景象的根本原因既习以为常又隐隐担忧绝望。
导致上述问题的部分原因,是由于这些所谓的专家长久以来对Web安全的整个混乱状态视而不见,对Web安全缺乏真正的了解。他们很利落地给网站漏洞贴上各种标签,比如“责任混淆”(confuseddeputy)问题的各种体现,或者干脆用一些30年前商业期刊上惯常的抓眼球字眼。再说了,他们干嘛要费心去关注网络安全呢?一个关于宠物的无聊个人主页上被加入了一段莫名其妙的注释代码哪能和传统的针对操作系统的漏洞攻击相提并论呢?
回顾过往,我确信我们中的大多数人都有过打落牙齿和血吞的感觉。不仅因为互联网的重要性已远超当初人们的预期,而且我们为了满足自己的心理舒适感,把一些重要的互联网基础特性置于不顾。结果导致即使设计最精良、经过最全面审核的网站应用,也往往比同样功能的非网站应用产生更多的问题。
我们过去搞砸了,现在到悔恨弥补的时候了。出于这个考虑,本书期望能在亟需解决的标准化问题上取得一点进展,除此以外,这也许还是第一本系统而全面地剖析当下Web应用安全问题的书籍。为达到这一目标,本书深入描述了我们日常面对的各种安全挑战的独特性,这里的“我们”包括安全专家、网站开发工程师和用户。
本书的章节安排以探讨浏览器的各主要特性和由此衍生出来的各种安全相关问题为主线。因为比起随便采用某种漏洞分类学来罗列问题(这是许多信息安全书籍通常采用的形式),希望这种方式能提供更丰富的信息和更直观的效果。我还希望,这样的安排能使本书更容易阅读。
为使读者便捷地获取答案,我会在每章的最后尽量附上一份“安全工程速查表”。这些速查表为网站应用设计中各种常见问题提供了一些合理的解决方向。此外,在本书的最后一章罗列了最常见的网站漏洞形式及其实现方式。
鸣谢
本书中的许多内容都源自Google Browser SecurityHandbook项目,这是我从2008年开始维护整理的一个技术性维基站点,该站点以CreativeCommons授权模式发布。你可以通过浏览以下网址 /获取相关的源码。我很幸运,因为这个项目不但获得公司的支持,而且能和一群出色的同事一起工作,使得Browser SecurityHandbook 的内容能更有用、更准确。在此,我要特别感谢Filipe Almeida、Drew Hintz、MariuSchilder和Parisa Tabriz 的鼎力相助。
能站在巨人的肩膀上,对此我深感自豪。因为本书从安全社区成员对浏览器安全的广泛研究上获益良多,特别感谢Adam Barth、CollinJackson、Chris Evans、Jesse Ruderman、Billy Rios和Eduardo VelaNava,他们极大地提高了我们对这个领域的理解,为这个领域作出了巨大贡献。
无限感激各位大牛们,继续牛下去吧!
【作者简介】
导语摘要
《Web之困(现代Web应用安全指南)》是一本很特别的书。在翻开本书之前,每位读者可能都曾阅读过一些Web安全相关的书籍。但本书的目标和写法,与常规的Web安全书籍大相径庭。本书开篇回顾了Web的发展历程和安全风险的演化;第一部分解剖了现代浏览器的工作原理;第二部分从浏览器的设计角度深入分析了各种现代Web浏览器所引入的重点安全机制;第三部分对浏览器安全机制的未来趋势进行了展望,包括新的浏览器特性与安全展望、其他值得注意的浏览器、常见的Web安全漏洞等。本书由扎勒维斯基著。
商品简介《Web之困:现代Web应用安全指南》在Web安全领域有“圣经”的美誉,在世界范围内被安全工作者和Web从业人员广为称道,由来自GoogleChrome浏览器团队的世界*黑客、国际一流安全专家撰写,是目前唯一深度探索现代Web浏览器安全技术的专著。本书从浏览器设计的角度切入,以探讨浏览器的各主要特性和由此衍生出来的各种安全相关问题为主线,深入剖析了现代Web浏览器的技术原理、安全机制和设计上的安全缺陷,为Web安全工作者和开发工程师们应对各种基于浏览器的安全隐患提供了应对措施。
《Web之困:现代Web应用安全指南》开篇回顾了Web的发展历程和安全风险的演化;第一部分解剖了现代浏览器的工作原理,包括URL、HTTP协议、HTML语言、CSS、文档格式、浏览器插件等内容;第二部分从浏览器的设计角度深入分析了各种现代Web浏览器(Firefox、Chrome、IE等)所引入的重点安全机制,例如同源策略、源的继承、窗口和框架的交互、安全边界、内容识别、应对恶意脚本、外围的网站特权等,并分析了这些机制存在的安全缺陷,同时为Web应用开发者提供了如何避免攻击和隐私泄露的应对措施;第三部分对浏览器安全机制的未来趋势进行了展望,包括新的浏览器特性与安全展望、其他值得注意的浏览器、常见的Web安全漏洞等。
作者简介
国际一流信息安全技术专家,被誉为IT安全领域最有影响力的11位黑客之一。曾发现过数以百计的网络安全漏洞,并发表了多篇具有重大影响的研究论文。对现代Web浏览器有非常深入的研究,目前就职于Google,基于其在Web安全方面的丰富经验帮助Google增强包括Chrome浏览器在内的一系列产品的安全性。此外,他还是一位开源软件贡献者,是著名开源软件p0f、skipfish、ratproxy等的开发者。
目录
译者序
前言
第1章 Web应用安全
1.1 信息安全速览
1.1.1 正统之道的尴尬
1.1.2 进入风险管理
1.1.3 分类学的启发
1.1.4 实际的解决之道
1.2 Web的简明历史
1.2.1 史前时期的故事:1945~1994年
1.2.2 第一次浏览器大战:1995~1999年
1.2.3 平淡期:2000~2003年
1.2.4 Web 2.0和第二次浏览器大战:2004年之后
1.3 风险的演化
1.3.1 用户作为安全风险的一个环节
1.3.2 难以隔离的Web运行环境
1.3.3 缺乏统一的格局
1.3.4 跨浏览器交互:失败的协同
1.3.5 客户端和服务器端界限的日益模糊
第一部分 对Web的解剖分析
第2章 一切从URL开始
2.1 URL的结构
2.1.1 协议名称
2.1.2 层级URL的标记符号
2.1.3 访问资源的身份验证
2.1.4 服务器地址
2.1.5 服务器端口
2.1.6 层级的文件路径
2.1.7 查询字符串
2.1.8 片段ID
2.1.9 把所有的东西整合起来
2.2 保留字符和百分号编码
2.3 常见的 URL协议及功能
2.3.1 浏览器本身支持、与获取文档相关的协议
2.3.2 由第三方应用和插件支持的协议
2.3.3 未封装的伪协议
2.3.4 封装过的伪协议
2.3.5 关于协议检测部分的结语
2.4 相对URL的解析
2.5 安全工程速查表
第3章 HTTP协议
3.1 HTTP 基本语法
3.1.1 支持HTTP/0.9的恶果
3.1.2 换行处理带来的各种混乱
3.1.3 经过代理的HTTP请求
3.1.4 对重复或有冲突的头域的解析
3.1.5 以分号作分隔符的头域值
3.1.6 头域里的字符集和编码策略
3.1.7 Referer头域的表现
3.2 HTTP 请求类型
3.2.1 GET
3.2.2 POST
3.2.3 HEAD
3.2.4 OPTIONS
3.2.5 PUT
3.2.6 DELETE
3.2.7 TRACE
3.2.8 CONNECT
3.2.9 其他 HTTP 方法
3.3 服务器响应代码
3.4 持续会话
3.5 分段数据传输
3.6 缓存机制
3.7 HTTP Cookie 语义
3.8 HTTP 认证
3.9 协议级别的加密和客户端证书
3.9.1 扩展验证型证书
3.9.2 出错处理的规则
3.10 安全工程速查表
第4章 HTML语言
4.1 HTML文档背后的基本概念
4.1.1 文档解析模式
4.1.2 语义之争
4.2 理解HTML解析器的行为
4.2.1 多重标签之间的交互
4.2.2 显式和隐式的条件判断
4.2.3 HTML解析的生存建议
4.3 HTML实体编码
4.4 HTTP/HTML 交互语义
4.5 超链接和内容包含
4.5.1 单纯的链接
4.5.2 表单和表单触发的请求
4.5.3 框架
4.5.4 特定类型的内容包含
4.5.5 关于跨站请求伪造
4.6 安全工程速查表
第5章 层叠样式表
5.1 CSS基本语法
5.1.1 属性定义
5.1.2 @ 指令和XBL绑定
5.1.3 与HTML的交互
5.2 重新同步的风险
5.3 字符编码
5.4 安全工程速查表
第6章 浏览器端脚本
6.1 JavaScript的基本特点
6.1.1 脚本处理模型
6.1.2 执行顺序的控制
6.1.3 代码和对象检视功能
6.1.4 修改运行环境
6.1.5 JavaScript 对象表示法(JSON)和其他数据序列化
6.1.6 E4X和其他语法扩展
6.2 标准对象层级
6.2.1 文档对象模型
6.2.2 对其他文档的访问
6.3 脚本字符编码
6.4 代码包含模式和嵌入风险
6.5 活死人:Visual Basic
6.6 安全工程速查表
第7章 非HTML类型文档
7.1 纯文本文件
7.2 位图图片
7.3 音频与视频
7.4 各种XML文件
7.4.1 常规XML视图效果
7.4.2 可缩放向量图片
7.4.3 数学标记语言
7.4.4 XML用户界面语言
7.4.5 无线标记语言
7.4.6 RSS 和 Atom订阅源
7.5 关于不可显示的文件类型
7.6 安全工程速查表
第8章 浏览器插件产生的内容
8.1 对插件的调用
8.2 文档显示帮助程序
8.3 插件的各种应用框架
8.3.1 Adobe Flash
8.3.2 Microsoft Silverlight
8.3.3 Sun Java
8.3.4 XML Browser Applications
8.4 ActiveX Controls
8.5 其他插件的情况
8.6 安全工程速查表
第二部分 浏览器安全特性
第9章 内容隔离逻辑
9.1 DOM的同源策略
9.1.1 document.domain
9.1.2 postMessage(...)
9.1.3 与浏览器身份验证的交互
9.2 XMLHttpRequest的同源策略
9.3 Web Storage 的同源策略
9.4 Cookies 的安全策略
9.4.1 Cookie对同源策略的影响
9.4.2 域名限制带来的问题
9.4.3 localhost带来的非一般风险
9.4.4 Cookie与“合法”DNS劫持
9.5 插件的安全规则
9.5.1 Adobe Flash
9.5.2 Microsoft Silverlight
9.5.3 Java
9.6 如何处理格式含糊或意想不到的源信息
9.6.1 IP 地址
9.6.2 主机名里有额外的点号
9.6.3 不完整的主机名
9.6.4 本地文件
9.6.5 伪URL
9.6.6 浏览器扩展和用户界面
9.7 源的其他应用
9.8 安全工程速查表
第10章 源的继承
10.1 about:blank页面的源继承
10.2 data: URL的继承
10.3 javascript:和vbscript: URL对源的继承
10.4 关于受限伪URL的一些补充
10.5 安全工程速查表
第11章 同源策略之外的世界
11.1 窗口和框架的交互
11.1.1 改变现有页面的地址
11.1.2 不请自来的框架
11.2 跨域内容包含
11.3 与隐私相关的副作用
11.4 其他的同源漏洞和应用
11.5 安全工程速查表
第12章 其他的安全边界
12.1 跳转到敏感协议
12.2 访问内部网络
12.3 禁用的端口
12.4 对第三方Cookie的限制
12.5 安全工程速查表
第13章 内容识别机制
13.1 文档类型检测的逻辑
13.1.1 格式错误的MIME Type写法
13.1.2 特殊的 Content-Type 值
13.1.3 无法识别的Content Type类型
13.1.4 防御性使用Content-Disposition
13.1.5 子资源的内容设置
13.1.6 文件下载和其他非HTTP内容
13.2 字符集处理
13.2.1 字节顺序标记
13.2.2 字符集继承和覆盖
13.2.3 通过HTML代码设置子资源字符集
13.2.4 非HTTP 文件的编码检测
13.3 安全工程速查表
第14章 应对恶意脚本
14.1 拒绝服务攻击
14.1.1 执行时间和内存使用的限制
14.1.2 连接限制
14.1.3 过滤弹出窗口
14.1.4 对话框的使用限制
14.2 窗口定位和外观问题
14.3 用户界面的时差攻击
14.4 安全工程速查表
第15章 外围的网站特权
15.1 浏览器和托管插件的站点权限
15.2 表单密码管理
15.3 IE浏览器的区域模型
15.4 安全工程速查表
第三部分 浏览器安全机制的未来趋势
第16章 新的浏览器安全特性与未来展望
16.1 安全模型扩展框架
16.1.1 跨域请求
16.1.2 XDomainRequest
16.1.3 Origin 请求头的其他应用
16.2 安全模型限制框架
16.2.1 内容安全策略
16.2.2 沙盒框架
16.2.3 严格传输安全
16.2.4 隐私浏览模式
16.3 其他的一些进展
16.3.1 浏览器内置的 HTML净化器
16.3.2 XSS 过滤
16.4 安全工程速查表
第17章 其他值得注意的浏览器机制
17.1 URL级别和协议级别的提议
17.2 内容相关的特性
17.3 I O接口
第18章 常见的Web安全漏洞
18.1 与Web应用相关的漏洞
18.2 Web应用设计时应谨记的问题
18.3 服务器端的常见问题
后记
注释
内容摘要
《Web之困(现代Web应用安全指南)》在Web安全领域有“圣经”的美誉,在世界范围内被安全工作者和Web从业人员广为称道,由来自GoogleChrome浏览器团队的世界顶级黑客、国际一流安全专家撰写,是目前唯一深度探索现代Web浏览器安全技术的专著。
本书从浏览器设计的角度切入,以探讨浏览器的各主要特性和由此衍生出来的各种安全相关问题为主线,深入剖析了现代Web浏览器的技术原理、安全机制和设计上的安全缺陷,为Web安全工作者和开发工程师们应对各种基于浏览器的安全隐患提供了应对措施。
《Web之困(现代Web应用安全指南)》开篇回顾了Web的发展历程和安全风险的演化;第一部分解剖了现代浏览器的工作原理,包括URL、HTTP协议、
HTML语言、CSS、文档格式、浏览器插件等内容;第二部分从浏览器的设计角度深入分析了各种现代Web浏览器(Firefox、Chrome、IE等)所引入的重点安全机制,例如同源策略、源的继承、窗口和框架的交互、安全边界、内容识别、应对恶意脚本、外围的网站特权等,并分析了这些机制存在的安全缺陷,同时为Web应用开发者提供了如何避免攻击和隐私泄露的应对措施;第三部分对浏览器安全机制的未来趋势进行了展望,包括新的浏览器特性与安全展望、其他值得注意的浏览器、常见的Web安全漏洞等。本书由扎勒维斯基著。
主编推荐点击查看:
《Web之困:现代Web应用安全指南》Web安全领域圣经级著作,**深度探索现代Web浏览器安全技术的专著,由来自GoogleChrome浏览器团队的世界**黑客、国际一流安全专家撰写。
从浏览器设计角度深入剖析现代浏览器的技术原理、安全机制和设计上的安全缺陷,为Web安全工作者应对基于浏览器的各种安全隐患提供应对措施。
【前言】
相关推荐
— 没有更多了 —
以下为对购买帮助不大的评价