计算机 类型
可以朗读 语音朗读
130千字 字数
2022-08-01 发行日期
展开全部

主编推荐语

本书详细阐述了互联网和Web应用的工作原理,深度剖析了Web应用被攻击的常见方式。

内容简介

全书共18章。

第1章带领读者了解黑客如何入侵一个网站;第2~5章主要介绍互联网、浏览器的工作原理,以及Web服务器、程序员的工作方式;第6~18章深入研究需要防御的特定漏洞,其中第6~17章每一章都分解了一个主要的安全漏洞,探讨了一个真实的攻击,并结合大量代码展示了漏洞和修复方法,第18章总结了安全相关的要素。

目录

  • 版权信息
  • 作者简介
  • 译者简介
  • 译者序
  • 前言
  • 关于技术审校
  • 致谢
  • 第1章 让我们了解黑客如何入侵一个网站
  • 1.1 软件漏洞和暗网
  • 1.2 黑客如何攻击网站
  • 第2章 互联网的工作原理
  • 2.1 互联网协议套件
  • 2.1.1 IP地址
  • 2.1.2 域名系统
  • 2.2 应用层协议
  • 2.3 状态连接
  • 2.4 加密
  • 2.5 小结
  • 第3章 浏览器的工作原理
  • 3.1 页面呈现
  • 3.1.1 渲染管道:概述
  • 3.1.2 文档对象模型
  • 3.1.3 样式信息
  • 3.2 JavaScript
  • 3.3 渲染前后:浏览器执行的所有其他操作
  • 3.4 小结
  • 第4章 Web服务器的工作方式
  • 4.1 静态资源
  • 4.1.1 URL解析
  • 4.1.2 内容交付网络
  • 4.1.3 内容管理系统
  • 4.2 动态资源
  • 4.2.1 模板
  • 4.2.2 数据库
  • 4.2.3 分布式缓存
  • 4.2.4 Web编程语言
  • 4.3 小结
  • 第5章 程序员的工作方式
  • 5.1 阶段1:设计与分析
  • 5.2 阶段2:编写代码
  • 5.2.1 分布式版本控制与集中式版本控制
  • 5.2.2 分支和合并代码
  • 5.3 阶段3:发布前测试
  • 5.3.1 覆盖范围和持续集成
  • 5.3.2 测试环境
  • 5.4 阶段4:发布过程
  • 5.4.1 发布期间标准化部署的选项
  • 5.4.2 编译过程
  • 5.4.3 数据库迁移脚本
  • 5.5 阶段5:发布后的测试和观察
  • 5.5.1 渗透测试
  • 5.5.2 监控、日志记录和错误报告
  • 5.6 依赖管理
  • 5.7 小结
  • 第6章 注入攻击
  • 6.1 SQL注入
  • 6.1.1 什么是SQL
  • 6.1.2 SQL注入攻击剖析
  • 6.1.3 缓解措施1:使用参数化语句
  • 6.1.4 缓解措施2:使用对象关系映射
  • 6.1.5 额外缓解:使用纵深防御
  • 6.2 命令注入
  • 6.2.1 命令注入攻击剖析
  • 6.2.2 缓解措施:转义控制字符
  • 6.3 远程代码执行
  • 6.3.1 远程代码执行剖析
  • 6.3.2 缓解措施:在反序列化期间禁用代码执行
  • 6.4 文件上传漏洞
  • 6.4.1 文件上传攻击剖析
  • 6.4.2 缓解措施
  • 6.5 小结
  • 第7章 跨站点脚本攻击
  • 7.1 存储型跨站点脚本攻击
  • 7.1.1 缓解措施1:转义HTML字符
  • 7.1.2 缓解措施2:实施内容安全策略
  • 7.2 反射型跨站点脚本攻击
  • 7.3 基于DOM的跨站点脚本攻击
  • 7.4 小结
  • 第8章 跨站点请求伪造攻击
  • 8.1 CSRF攻击剖析
  • 8.2 缓解措施1:遵循REST原则
  • 8.3 缓解措施2:使用anti-CSRF cookie
  • 8.4 缓解措施3:使用SameSite cookie属性
  • 8.5 额外的缓解措施:敏感动作需要重新验证
  • 8.6 小结
  • 第9章 破坏身份认证
  • 9.1 实施身份认证
  • 9.1.1 HTTP本地身份认证
  • 9.1.2 非本地认证
  • 9.1.3 暴力破解攻击
  • 9.2 缓解措施1:使用第三方身份认证
  • 9.3 缓解措施2:与单点登录集成
  • 9.4 缓解措施3:保护自己的身份认证系统
  • 9.4.1 需要用户名、电子邮件地址或两个都要
  • 9.4.2 要求复杂密码
  • 9.4.3 安全地存储密码
  • 9.4.4 多因素身份认证
  • 9.4.5 实现并保护注销功能
  • 9.4.6 防止用户枚举
  • 9.5 小结
  • 第10章 会话劫持
  • 10.1 会话的工作方式
  • 10.1.1 服务器端会话
  • 10.1.2 客户端会话
  • 10.2 攻击者如何劫持会话
  • 10.2.1 cookie窃取
  • 10.2.2 会话确定
  • 10.2.3 利用弱会话ID
  • 10.3 小结
  • 第11章 权限
  • 11.1 提权
  • 11.2 访问控制
  • 11.2.1 设计授权模型
  • 11.2.2 实施访问控制
  • 11.2.3 测试访问控制
  • 11.2.4 添加审计记录
  • 11.2.5 避免常见的疏忽
  • 11.3 目录遍历
  • 11.3.1 文件路径和相对文件路径
  • 11.3.2 目录遍历攻击剖析
  • 11.3.3 缓解措施1:信任你的Web服务器
  • 11.3.4 缓解措施2:使用托管服务
  • 11.3.5 缓解措施3:使用间接文件引用
  • 11.3.6 缓解措施4:净化文件引用
  • 11.4 小结
  • 第12章 信息泄露
  • 12.1 缓解措施1:禁用Telltale Server标头
  • 12.2 缓解措施2:使用干净的URL
  • 12.3 缓解措施3:使用通用cookie参数
  • 12.4 缓解措施4:禁用客户端错误报告
  • 12.5 缓解措施5:缩小或模糊处理JavaScript文件
  • 12.6 缓解措施6:清理客户端文件
  • 12.7 始终关注安全公告
  • 12.8 小结
  • 第13章 加密
  • 13.1 Internet协议中的加密
  • 13.1.1 加密算法、哈希和消息身份认证代码
  • 13.1.2 TLS握手
  • 13.2 启用HTTPS
  • 13.2.1 数字证书
  • 13.2.2 获取数字证书
  • 13.2.3 安装数字证书
  • 13.3 攻击HTTP(和HTTPS)
  • 13.3.1 无线路由器
  • 13.3.2 Wi-Fi热点
  • 13.3.3 互联网服务提供商
  • 13.3.4 政府机构
  • 13.4 小结
  • 第14章 第三方代码
  • 14.1 保护依赖项
  • 14.1.1 知道你正在运行什么代码
  • 14.1.2 能够快速部署新版本
  • 14.1.3 对安全问题保持警惕
  • 14.1.4 知道什么时候升级
  • 14.2 保护配置
  • 14.2.1 禁用默认凭据
  • 14.2.2 禁用开放目录列表
  • 14.2.3 保护你的配置信息
  • 14.2.4 加固测试环境
  • 14.2.5 保护管理前端
  • 14.3 保护你使用的服务
  • 14.3.1 保护你的API密钥
  • 14.3.2 保护你的webhook
  • 14.3.3 第三方提供的安全内容
  • 14.4 服务作为攻击媒介
  • 14.4.1 警惕恶意广告
  • 14.4.2 避免恶意软件传递
  • 14.4.3 使用信誉良好的广告平台
  • 14.4.4 使用SafeFrame
  • 14.4.5 定制广告偏好设置
  • 14.4.6 审查并报告可疑广告
  • 14.5 小结
  • 第15章 XML攻击
  • 15.1 XML的使用
  • 15.2 验证XML
  • 15.3 XML炸弹
  • 15.4 XML外部实体攻击
  • 15.5 保护你的XML解析器
  • 15.5.1 Python
  • 15.5.2 Ruby
  • 15.5.3 Node.js
  • 15.5.4 Java
  • 15.5.5 .NET
  • 15.6 其他考虑
  • 15.7 小结
  • 第16章 不要成为帮凶
  • 16.1 电子邮件欺诈
  • 16.1.1 实施发件人策略框架
  • 16.1.2 域密钥标识邮件
  • 16.1.3 保护你的电子邮件:实用步骤
  • 16.2 伪装电子邮件中的恶意链接
  • 16.2.1 开放重定向
  • 16.2.2 防止开放重定向
  • 16.2.3 其他考虑
  • 16.3 点击劫持
  • 16.4 服务器端请求伪造
  • 16.5 僵尸网络
  • 16.6 小结
  • 第17章 拒绝服务攻击
  • 17.1 拒绝服务攻击类型
  • 17.1.1 互联网控制消息协议攻击
  • 17.1.2 传输控制协议攻击
  • 17.1.3 应用层攻击
  • 17.1.4 反射和放大攻击
  • 17.1.5 分布式拒绝服务攻击
  • 17.1.6 无意拒绝服务攻击
  • 17.2 拒绝服务攻击的缓解措施
  • 17.2.1 防火墙和入侵防御系统
  • 17.2.2 DDoS保护服务
  • 17.2.3 规模扩展
  • 17.3 小结
  • 第18章 总结
展开全部

评分及书评

评分不足
1个评分
  • 用户头像
    给这本书评了
    5.0

    互联网上有各种有价值的信息,保护互联网安全是一项艰巨的任务。Web 应用发布后立即为数百万用户所使用,这其中也包括大量具有不良意图的 “用户”。面对这种情况,Web 开发人员应该在开发过程中时刻注意安全方面的考量。本书内容浅显易懂,覆盖了在 Web 开发过程中需要注意的各种安全问题,分享了典型 Web 漏洞,给出了保护 Web 应用需要遵循的最佳实践;在内容安排上由浅入深,帮助读者系统地学习和理解 Web 开发安全知识。

      转发
      评论

    出版方

    机械工业出版社有限公司

    机械工业出版社是全国优秀出版社,自1952年成立以来,坚持为科技、为教育服务,以向行业、向学校提供优质、权威的精神产品为宗旨,以“服务社会和人民群众需求,传播社会主义先进文化”为己任,产业结构不断完善,已由传统的图书出版向着图书、期刊、电子出版物、音像制品、电子商务一体化延伸,现已发展为多领域、多学科的大型综合性出版社,涉及机械、电工电子、汽车、计算机、经济管理、建筑、ELT、科普以及教材、教辅等领域。