本书由国际知名网络安全专家亲笔撰写,全面讲解如何预防常见的网络攻击,包括HTML注入及跨站脚本攻击、跨站请求伪造攻击、SQL注入攻击及数据存储操纵、攻破身份认证模式、利用设计缺陷、利用平台弱点、攻击浏览器和隐私等,
全书共8章:第1章介绍HTML5的新增特性及使用和滥用HTML5的安全考虑;第2章展示了如何只通过浏览器和最基本的HTML知识就可以利用Web中最常见的漏洞;第3章详细讲解CSRF(跨站请求伪造)攻击的实现机制及应对策略;第4章介绍如何执行SQL注入攻击,并探究了类似攻击的实现机制,提供一些阻止这些攻击的对策;第5章介绍Web站点保护密码失败的常见方式以及阻止这些攻击所能采取的步骤;第6章主要探讨网站底层设计中会导致漏洞的错误;第7章不仅介绍了应用程序代码可能引发的错误,还介绍了除此之外不应当忽略的其他安全性问题;第8章将探讨更多浏览器面临的来自恶意设计的网页或者已经感染了恶意内容网页的风险。
译者序
前言
第1章 HTML5 1
1.1 新的文档对象模型 2
1.2 跨域资源共享 3
1.3 Websocket 6
1.3.1 传输数据 9
1.3.2 数据帧 10
1.3.3 安全性考虑 12
1.4 Web存储 13
1.5 Web Worker 15
1.6 杂七杂八 18
1.6.1 History API 18
1.6.2 API草案 18
1.7 小结 18
第2章 HTML注入及跨站脚本攻击 20
2.1 理解HTML注入 21
2.1.1 确定注入点 26
2.1.2 确定反射类型 33
2.1.3 确定注入呈现位置的上下文 36
2.1.4 攻击汇总 40
2.1.5 利用字符集 42
2.1.6 利用失效模式 49
2.1.7 绕过弱的排除列表 52
2.1.8 利用浏览器的怪异模式 53
2.1.9 不寻常的攻击载体 55
2.1.10 XSS的影响 58
2.2 部署应对措施 59
2.2.1 确定静态字符集 60
2.2.2 规范化字符集及编码 61
2.2.3 对输出进行编码 62
2.2.4 当心排除列表和正则表达式 63
2.2.5 重用代码,不要重新实现代码 64
2.2.6 JavaScript沙盒 65
2.2.7 浏览器内置XSS防御 67
2.3 小结 69
第3章 跨站请求伪造 70
3.1 理解跨站请求伪造 71
3.1.1 CSRF实现机制 73
3.1.2 借助强制浏览的请求伪造 76
3.1.3 无需密码攻击已认证动作 79
3.1.4 危险关系:CSRF和HTML注入 79
3.1.5 当心错综复杂的Web 80
3.1.6 相关主题:点击劫持 81
3.2 部署应对措施 82
3.2.1 朝着正确方向努力 83
3.2.2 保卫Web浏览器 91
3.2.3 脆弱性和似真性 92
3.3 小结 92
第4章 SQL注入攻击及数据存储操纵 94
4.1 理解SQL注入 96
4.1.1 攻击路线:数学和语法 99
4.1.2 攻击SQL语句 99
4.1.3 剖析数据库 107
4.1.4 其他攻击向量 110
4.1.5 真实世界中的SQL注入攻击 111
4.1.6 HTML5的Web存储API 112
4.1.7 不使用SQL的SQL注入攻击 113
4.2 部署应对措施 114
4.2.1 验证输入 115
4.2.2 对语句进行保护 115
4.2.3 保护信息 121
4.2.4 给数据库打最新的补丁 123
4.3 小结 123
第5章 攻破身份认证模式 125
5.1 理解身份认证攻击 126
5.1.1 重放会话令牌 126
5.1.2 暴力破解 129
5.1.3 网络嗅探 130
5.1.4 重置密码 132
5.1.5 跨站脚本攻击 133
5.1.6 SQL注入 133
5.1.7 诈骗和易受骗性 134
5.2 部署应对措施 135
5.2.1 保护会话cookie 135
5.2.2 使用安全认证方案 137
5.2.3 借助用户的力量 144
5.2.4 骚扰用户 145
5.2.5 请求限制 146
5.2.6 日志与三角测量 147
5.2.7 击败钓鱼攻击 147
5.2.8 保护密码 148
5.3 小结 148
第6章 利用设计缺陷 150
6.1 理解逻辑攻击和设计攻击 153
6.1.1 利用工作流 153
6.1.2 漏洞利用的策略及做法 154
6.1.3 归纳法 158
6.1.4 拒绝服务 160
6.1.5 不安全的设计模式 161
6.1.6 加密中的实现错误 165
6.1.7 信息泄露 177
6.2 部署应对措施 178
6.2.1 记录需求 178
6.2.2 创建强健的测试用例 178
6.2.3 把策略映射到控制 180
6.2.4 防御性编程 180
6.2.5 验证客户端 181
6.2.6 加密指南 181
6.3 小结 182
第7章 利用平台弱点 183
7.1 攻击是如何实现的 184
7.1.1 识别模式、数据结构以及开发者癖好 184
7.1.2 以操作系统为攻击目标 197
7.1.3 攻击服务器 202
7.1.4 拒绝服务 202
7.2 部署应对措施 206
7.2.1 限制文件访问 207
7.2.2 使用对象引用 207
7.2.3 将不安全函数列入到黑名单 208
7.2.4 强制授权 208
7.2.5 限制网络连接 208
7.3 小结 209
第8章 攻击浏览器和隐私 210
8.1 理解恶意软件和浏览器攻击 211
8.1.1 恶意软件 211
8.1.2 插入到浏览器插件中 215
8.1.3 DNS和域 217
8.1.4 HTML5 217
8.1.5 隐私 219
8.2 部署应对措施 227
8.2.1 安全地配置SSL/TLS 227
8.2.2 更加安全地浏览网页 228
8.2.3 隔离浏览器 229
8.2.4 Tor 229
8.2.5 DNSSEC 230
8.3 小结 230
《地理信息技术与地理教学的整合》内容简介:本书总结了地理信息技术应用于地理教学的研究成果,从理论上探讨了地理信息技术的教学
《20世纪物理学(第3卷)》内容简介:20世纪是物理学的世纪,物理学在20世纪取得了突破性的进展,改变了世界以及世界和人们对世界的
UI设计入门一本就够 本书特色 本书紧扣用户界面设计趋势,主要讲解了什么是UI设计,UI设计的原则与理念,UI的文字、图片和图标设计,网页UI设计,移动端UI设...
网络大事记篇-中国互联网20年 本书特色 20 年,中国互联网从无到有,从小到大,从大到强,放在中国历史长河上看,堪称是开天辟地的时代传奇。互联网作为人类文明的...
算量就这么简单-剪力墙实例软件算量 本书特色 用软件算量*怕的是什么 不知道软件算得对不对,这是很多人不敢使用软件的真正原因。阎俊爱主编的这本《算量就这么简单-...
《Photoshop CS5实战从入门到精通(超值版)》内容简介:《Photoshop CS5实战从入门到精通(超值版)》通过精选案例引导读者深入学
《设计调查》是国内第一本关于设计调查的专业著作。《设计调查》作者经过七年研究和教学试用,建立了设计调查的系统方法。主要涉
《FinOps云成本优化》内容简介:随着云计算的迅猛发展,越来越多的业务迁移至云端,众多企业在审计成本的过程中发现,用来支撑业务
《Servlet与JSP核心编程》(第2版)叙述详尽,条理清晰。对于初学者来说是一本不可多得的入门书籍,经验丰富的Servelet和JSP开发人
WiththehelpoftheInternetandaccompanyingtools,creatingandpublishingonlinemapshasb...
《客户关系管理》内容简介:本书根据学生的思维方式和有关客户关系管理的最新理论及实践,结合客户关系管理既是理念又是软件的情况
《解密·强直性脊柱炎》内容简介:本书从疾病的认识、诊断、治疗以及预防与康复等四个方面,对强直性脊柱炎这一困惑医患双方的医学
《现代物流管理(第三版)》内容简介:本书是高职高专规划教材《现代物流管理》的第三版,内容包括:现代物流与物流管理,企业物流
《思维导图:提升你的职场核心竞争力》内容简介:思维导图法就是一种生活的心法及技法,运用思维导图法,就像金庸小说里的张无忌学
《物联网与供应链》内容简介:本著作以物联网技术与供应链管理的融合应用为核心,通过剖析智慧供应链演进过程及物联网影响供应链系
《C++编程思考》第2版与第1版相比,在章节安排上有以下改变。增加了两章:“对象的创建与使用”和“C++中的C”,前者与“对象导言
《网站分析实战:如何以数据驱动决策,提升网站价值》由王彦平、吴盛峰著。目前,越来越多的网站开始重视数据,并期望从中发现新的
《态度》内容简介:《态度》是作家韩少功的一部杂文集,收录了韩少功近年来创作的思想文化随笔、演讲录共十五篇。两篇分别关于捷克
《房地产大转型的“互联网+”路径》中国正在快速步入移动互联网时代,线下向线上的人口大迁移浪潮深刻改变着人们生活的方方面面,
Python在Unix和Linux系统管理中的应用 本书特色 《Python在Unix和Linux系统管理中的应用(影印版)》为开明出版社出版发行。Python...