• Web漏洞防护 李建熠 人民邮电出版社
  • Web漏洞防护 李建熠 人民邮电出版社
21年品牌 40万+商家 超1.5亿件商品

Web漏洞防护 李建熠 人民邮电出版社

正版二手书,发货前杀菌消毒,保证符合品相,不缺页,圆通发货(圆通不到走邮政),下单后24小时内发货。

12.98 1.6折 79 九品

仅1件

天津宝坻
认证卖家担保交易快速发货售后保障

作者李建熠

出版社人民邮电出版社

ISBN9787115510167

出版时间2019-05

装帧平装

开本16开

定价79元

货号1145267246022115335

上书时间2024-11-16

启灵正版书店

已实名 已认证 进店 收藏店铺

   商品详情   

品相描述:九品
商品描述
作者简介

李建熠,毕业于北京邮电大学,安全从业者及爱好者,曾任职于美团点评,参与过美团点评安全从0到1的构建。



目录
第 1 章 使用工具介绍 1 

1.1 WebGoat 1 

1.2 ESAPI 5 

1.3 Apache Shiro 8 

1.3.1 Apache Shiro 的特征 8 

1.3.2 Apache Shiro 的核心概念 9 

1.3.3 与Spring 集成 12 

1.4 Spring Security 15 

1.5 OWASP Top 10 17 

第 2 章 SQL 注入防护 19 

2.1 SQL 注入介绍 19 

2.2 SQL 注入分类 20 

2.2.1 按参数类型分类 20 

2.2.2 按注入位置分类 20 

2.2.3 按结果反馈分类 20 

2.2.4 其他类型 21 

2.3 实例讲解 21 

2.3.1 字符型注入 22 

2.3.2 数字型注入 22 

2.3.3 联合查询注入及堆查询注入 23 

2.3.4 盲注入 24 

2.4 检测SQL 注入 25 

2.5 防护方案 26 

2.5.1 漏洞实例 27 

2.5.2 预编译与参数绑定 28 

2.5.3 白名单验证 29 

2.5.4 输入编码 30 

2.5.5 MyBatis 安全使用 32 

2.6 小结. 33 

第 3 章 其他注入防护 34 

3.1 命令注入防护 34 

3.2 XML 注入防护 34 

3.3 XPATH 注入防护 38 

3.4 LDAP 注入防护 39 

3.5 JPA 注入防护 40 

3.6 小结 43 

第4 章 认证防护 44 

4.1 认证缺陷 44 

4.2 认证防护 44 

4.2.1 用户名及密码设置 45 

4.2.2 忘记密码 46 

4.2.3 凭证存储 47 

4.2.4 密码失窃 48 

4.2.5 其他安全防护 49 

4.3 会话管理安全 50 

4.3.1 会话ID 的属性 51 

4.3.2 会话管理的实现 52 

4.3.3 Cookie 53 

4.3.4 会话ID 的注意事项 54 

4.3.5 会话过期 55 

4.3.6 会话管理及其他客户端防御 57 

4.3.7 会话攻击检测 58 

4.3.8 会话管理的WAF 保护 59 

4.4 防护工具 59 

4.4.1 Argon2 密码散列 59 

4.4.2 Apache Shiro 认证 63 

4.4.3 Apache Shiro 会话管理 65 

4.5 小结 68 

第 5 章 数据泄露防护 69 

5.1 传输层安全防护 69 

5.1.1 SSL/TLS 注意事项 70 

5.1.2 其他注意事项 75 

5.1.3 传输层安全检测工具 75 

5.2 数据加密存储 77 

5.2.1 密码学简史 78 

5.2.2 加密模式及填充模式 83 

5.2.3 杂凑函数及数据完整性保护 88 

5.2.4 加解密使用规范 90 

5.3 安全数据共享 104 

5.3.1 数据仓库的构建 104 

5.3.2 数据仓库的保护 105 

5.3.3 数据仓库的管理 106 

5.4 小结 106 

第6 章 XXE 防护 107 

6.1 XML 介绍 107 

6.2 XXE 攻击方式及实例介绍 109 

6.2.1 内部XXE 实例 110 

6.2.2 外部XXE 实例 111 

6.3 检测XXE 112 

6.4 XXE 防护 113 

6.4.1 DOM 113 

6.4.2 SAX 116 

6.4.3 其他 117 

6.5 小结 117 

第7 章 访问控制防护 118 

7.1 访问控制的分类 118 

7.2 常见问题 119 

7.2.1 不安全对象的直接引用 119 

7.2.2 功能级访问控制缺失 120 

7.2.3 跨域资源共享的错误配置 121 

7.3 工具防护 123 

7.3.1 Apache Shiro 访问控制 123 

7.3.2 ESAPI 随机化对象引用 126 

7.3.3 Spring Security CORS 配置 127 

7.4 小结 128 

第8 章 安全配置 129 

第 9 章 XSS 防护 131 

9.1 XSS 分类 131 

9.1.1 反射型XSS 132 

9.1.2 DOM 型XSS 134 

9.1.3 存储型XSS 136 

9.1.4 其他分类 137 

9.2 检测XSS 138 

9.3 XSS 防护方法 139 

9.3.1 反射型XSS 和存储型XSS 的防护 140 

9.3.2 DOM 型XSS 防护 143 

9.4 防护工具 144 

9.4.1 OWASP Java Encoder 144 

9.4.2 OWASP Java HTML Sanitizer 149 

9.4.3 AnjularJS SCE 158 

9.4.4 ESAPI4JS 160 

9.4.5 jQuery Encoder 164 

9.5 小结 167 

第 10 章 反序列化漏洞防护 168 

10.1 Java 的序列化与反序列化 168 

10.1.1 序列化 168 

10.1.2 反序列化 169 

10.1.3 自定义序列化与反序列化 170 

10.1.4 Java 反序列化漏洞 171 

10.1.5 其他反序列化漏洞 175 

10.2 检测反序列化漏洞 178 

10.3 反序列化漏洞的防护 179 

10.4 防护工具 180 

10.4.1 自定义工具 180 

10.4.2 SerialKiller 181 

10.4.3 contra-rO0 183 

10.5 小结 185 

第 11 章 组件缺陷的检测 186 

11.1 潜在缺陷 186 

11.2 检测缺陷组件 186 

11.2.1 Retire.js 187 

11.2.2 OWASP Dependency Check 190 

11.2.3 Sonatype AHC 193 

11.3 小结 196 

第 12 章 跨站点请求伪造防护 197 

12.1 CSRF 分类 197 

12.1.1 GET 型CSRF 197 

12.1.2 POST 型CSRF 198 

12.1.3 CSRF 实例 198 

12.1.4 CSRF 结合XSS 200 

12.2 检测CSRF 202 

12.3 CSRF 防护 202 

12.3.1 不完全的防护方式 203 

12.3.2 正确的防护方式 204 

12.4 防护工具 209 

12.4.1 自定义防护工具 210 

12.4.2 Spring Security 防护CSRF 215 

12.4.3 前后端分离 216 

12.5 小结 217 

第 13 章 输入验证 218 

13.1 输入验证的方式 218 

13.2 ESAPI 输入验证 218 

第 14 章 HTTP 安全响应头 222 

14.1 安全响应头介绍 222 

14.1.1 HSTS 222 

14.1.2 HPKP 223 

14.1.3 X-Frame-Options 223 

14.1.4 X-XSS-Protection 224 

14.1.5 X-Content-Type-Options 224 

14.1.6 Content-Security-Policy 224 

14.1.7 Referrer-Policy 226 

14.1.8 Expect-CT 226 

14.1.9 X-Permitted-Cross-Domain-Policies 226 

14.1.10 Cache-Control 228 

14.2 HTTP 安全头检测 228 

14.2.1 命令行检测工具 228 

14.2.2 在线检测工具 229 

14.2.3 插件检测工具 230 

14.3 安全响应头设置建议 231 

14.3.1 知名网站实例 231 

14.3.2 设置建议 233 

14.4 配置安全响应头 233 

14.4.1 Spring Security 统一配置 233 

14.4.2 http_hardening 配置安全响应头 237 

14.4.3 服务器配置文件配置安全响应头 238 

14.5 小结 238 

第 15 章 WAF 防护 239 

15.1 ModSecurity 239 

15.1.1 编译与导入 240 

15.1.2 配置ModSecurity 241 

15.1.3 ModSecurity 测试 244 

15.2 规则解析 245 

15.2.1 指令 246 

15.2.2 处理阶段 247 

15.2.3 变量 247 

15.2.4 转换函数 249 

15.2.5 行为 250 

15.2.6 操作符 253 

15.3 OWASP ModSecurity CRS 255 

15.3.1 CRS 导入 255 

15.3.2 CRS 规则文件 257 

15.4 防护测试 259 

15.4.1 DVWA 环境搭建 259 

15.4.2 SQL 注入测试 261 

15.4.3 命令注入测试 264 

15.4.4 XSS 测试 267 

15.4.5 文件包含测试 272 

15.4.6 文件上传测试 274 

15.5 小结 277 

参考文献 278

内容摘要

本书以OWASP Top 10 2017 中涉及的漏洞为基础,系统阐述了常见的Web 漏洞的防护方式。书中首先介绍了漏洞演示平台及一些常用的安全防护工具,然后对OWASP Top 10 2017 中涉及的漏洞防护方式及防护工具进行了说明,接着介绍了如何通过HTTP 响应头提升Web 客户端自身对漏洞的防护能力,最后讨论了在无法更改应用程序源码的情况下,如何对应用进行外层的WAF 防护。



主编推荐

从原理到对策,针对不同场景进行多角度漏洞分析
以OWASP TOP 10 2017中涉及的漏洞为基础,阐述了常见Web漏洞的防护方式
包含大量工具介绍及对比,满足快速修复漏洞的需求



媒体评论
本书总结了作者在工作中的实践经验,并完整地介绍了常见的Web安全防护方案。对于想寻找靠谱解决方案的同学来说,这是一本很好的参考书。
——陈伟,美团金融安全负责人

我们正处于知识爆炸的时代,已有知识的汇集往往是创新的基石。我希望每一位对Web安全领域有兴趣的读者都能够从本书中收获知识传递的红利,在充满挑战的互联网安全世界中实践探索、成就自我。
——张文,国鼎网络空间安全技术有限公司CTO

信息安全事件大多与开发人员编码时造成的软件漏洞有关,其中Web漏洞更是由于Web应用的普及而广泛存在。我很高兴看到这样一本详细描述Web漏洞原理及防护方法的书,书中既有安全问题的描述,也有解决思路,更有一些思考。我相信不管你是信息安全专业人士还是开发人员,都会从中受益。
——李晖,北京邮电大学副教授

   相关推荐   

—  没有更多了  —

以下为对购买帮助不大的评价

此功能需要访问孔网APP才能使用
暂时不用
打开孔网APP