• Web应用程序安全
21年品牌 40万+商家 超1.5亿件商品

Web应用程序安全

全新正版 极速发货

7.46 0.8折 88 全新

库存16件

广东广州
认证卖家担保交易快速发货售后保障

作者(美)安德鲁·霍夫曼

出版社中国电力出版社

ISBN9787519854805

出版时间2021-06

装帧平装

开本16开

定价88元

货号1202419736

上书时间2024-11-21

书香美美

已实名 已认证 进店 收藏店铺

   商品详情   

品相描述:全新
商品描述
目录
前言1

章软件安全历程21

1.1黑客的起源21

1.2Enigma密码机,约1930年22

1.3自动Enigma密码破解,约1940年26

1.4电话“Phreaking”,约1950年29

1.5防Phreaking技术,约1960年31

1.6计算机黑客的起源,约1980年32

1.7互联网的兴起,约2000年34

1.8现时代的黑客,约2015年之后36

1.9小结40

部分侦察

第2章Web应用侦察简介43

2.1信息收集43

2.2Web应用程序构图46

2.3小结48

第3章现代Web应用程序的结构49

3.1现代的与传统的Web应用程序49

3.2REST API52

3.3JS对象标记55

3.4JavaScript.57

3.4.1变量和作用域58

3.4.2函数61

3.4.3上下文62

3.4.4原型继承.63

3.4.5异步模型.66

3.4.6浏览器DOM69

3.5SPA框架71

3.6认证和授权系统72

3.6.1认证73

3.6.2授权74

3.7Web服务器74

3.8服务器端数据库76

3.9客户端数据存储77

3.10小结78

第4章寻找子域79

4.1单域多应用程序79

4.2浏览器内置的网络分析工具80

4.3公开信息利用83

4.3.1搜索引擎缓存84

4.3.2存档信息利用86

4.3.3社交媒体快照88

4.4域传送攻击92

4.5暴力破解子域94

4.6字典攻击101

4.7小结103

第5章API分析105

5.1端点探索105

5.2认证机制109

5.3端点的模型111

5.3.1常见模型111

5.3.2特定于应用的模型112

5.4小结114

第6章识别第三方依赖115

6.1探测客户端框架115

6.1.1探测SPA框架116

6.1.2探测JavaScript库118

6.1.3探测CSS库120

6.2探测服务器端框架121

6.2.1标头探测121

6.2.2默认错误信息和404页面122

6.2.3探测数据库125

6.3小结127

第7章定位应用架构中的薄弱点128

7.1安全架构与不安全架构的标志129

7.2多层安全机制134

7.3采纳和重构135

7.4小结137

第8章部分总结139

第二部分攻击

第9章Web应用入侵简介143

9.1黑客的心态143

9.2运用侦察145

0章XSS攻击147

10.1XSS的发现和利用148

10.2储存型XSS152

10.3反射型XSS154

10.4DOM型XSS157

10.5突变型XSS160

10.6小结162

1章CSRF攻击163

11.1查询参数篡改164

11.2替换GET的有效载荷169

11.3针对POST端点的CSRF170

11.4小结172

2章XXE攻击173

12.1直接型XXE174

12.2间接型XXE177

12.3小结179

3章注入攻击181

13.1SQL注入攻击181

13.2代码注入186

13.3命令注入191

13.4小结195

4章DoS攻击196

14.1ReDoS(Regex DoS)攻击197

14.2逻辑DoS攻击200

14.3DDoS(分布式DoS)攻击204

14.4小结205

5章第三方依赖漏洞利用206

15.1集成的方法208

15.1.1分支和复制209

15.1.2自托管的应用程序集成210

15.1.3源代码集成211

15.2软件包管理器212

15.2.1JavaScript包管理器212

15.22Java包管理器214

15.2.3其他语言的包管理器215

15.3CVE(公共漏洞和披露)数据库216

15.4小结217

6章第二部分总结219

第三部分防御

7章现代Web应用加固223

17.1防御性软件架构224

17.2全面的代码审查225

17.3漏洞发现225

17.4漏洞分析226

17.5漏洞管理227

17.6回归测试228

17.7缓解策略228

17.8应用侦察和攻击技术229

8章安全的应用架构230

18.1分析功能需求231

18.2认证和授权232

18.2.1SSL和TLS232

18.2.2安全的凭证234

18.2.3散列凭证信息235

18.2.42FA认证238

18.3PII和财务数据239

18.4搜索240

18.5小结240

9章代码安全审查243

19.1如何开始代码审查244

19.2原型漏洞与自定义逻辑漏洞245

19.3代码安全审查起步247

19.4安全编码的反面模式249

19.4.1黑名单250

19.4.2模板代码251

19.4.3默认信任反模式252

19.4.4客户端/服务器分离252

19.5小结253

第20章漏洞发现255

20.1安全自动化255

20.1.1静态分析256

20.1.2动态分析258

20.1.3漏洞回归测试259

20.2责任披露计划262

20.3漏洞赏金计划263

20.4第三方渗透测试264

20.5小结265

第21章漏洞管理266

21.1漏洞重现266

21.2漏洞严重等级267

21.3通用漏洞评分系统268

21.3.1CVSS:基础评分269

21.3.2CVSS:时间评分271

21.3.3CVSS:环境评分272

21.4不错漏洞评分273

21.5分拣、评分之后274

21.6小结275

第22章防御XSS攻击276

22.1防御XSS编码最佳实践276

22.2净化用户输入279

22.2.1DOM解析接收器280

22.2.2SVG接收器281

22.2.3Blob接收器281

22.2.4超链接净化282

22.2.5HTML实体编码283

22.3CSS284

22.4阻止XSS的CSP285

22.4.1脚本源285

22.4.2Unsafe Eval和Unsafe Inline选项287

22.4.3实现CSP288

22.5小结288

第23章防御CSRF攻击290

23.1标头验证290

23.2CSRF令牌292

23.3防CRSF编码最佳实践294

23.3.1无状态GET请求294

23.3.2应用级CSRF缓解296

23.4小结297

第24章防御XXE攻击299

24.1评估其他数据格式300

24.2不错XXE风险301

24.3小结302

第25章防御注入攻击303

25.1缓解SQL注入攻击303

25.1.1SQL注入检测304

25.1.2预编译语句306

25.1.3特定于数据库的防御308

25.2通用注入防御308

25.2.1潜在的注入目标309

25.2.2最小权限原则310

25.2.3命令白名单化311

25.3小结312

第26章防御DoS攻击314

26.1防范RegexDoS攻击315

26.2防范逻辑DoS攻击315

26.3防范DDoS攻击316

26.4缓解DDoS攻击317

26.5小结318

第27章加固第三方依赖320

27.1评估依赖关系树320

27.1.1依赖关系树建模321

27.1.2依赖关系树实例322

27.1.3自动评估322

27.2安全集成技术323

27.2.1关注点分离323

27.2.2安全包管理324

27.3小结325

第28章第三部分小结327

28.1软件安全的历史327

28.2Web应用侦察329

28.3攻击331

28.4防御332

第29章总结336

作者介绍339

封面介绍339

内容摘要
虽然有很多网络和IT安全方面的资源,但是直到现在,依然缺乏详细的现代web应用程序安全相关的知识。这本实用的指南提供了攻防兼备的安全观念,软件工程师可以轻松学习和应用。Salesforce的不错安全工程师AndrewHoffman介绍了Web应用安全的三大支柱:侦察、攻击和防御。你将学习有效研究和分析现代Web应用程序的方法,包括那些你无法直接访问的应用程序。你还将学习如何使用近期新的黑客技术来入侵Web应用。很后,你将学到如何在自己的Web应用程序开发中采取缓解措施,以防止黑客攻击。探索困扰当今Web应用程序的常见漏洞。学习攻击者进行漏洞利用攻击所用的基本的黑客技术。构图和记录你无法直接访问的Web应用程序。开发并部署可以绕过常规防御机制的、定制的漏洞利用程序。制订并部署缓解措施,保护你的应用程序免受黑客攻击。将安全编码的很好实践融入到你的开发生命周期中。获取实用的技巧,帮助你提高Web应用程序的整体安全性。

   相关推荐   

—  没有更多了  —

以下为对购买帮助不大的评价

此功能需要访问孔网APP才能使用
暂时不用
打开孔网APP