91精品国产综合久久四虎久久_国产成人午夜高潮毛片_99er视频精品免费观看_2020亚洲熟女在线观看_日本女优人体写真_国内黄色毛片_年轻的老师中文版在线_丰满女邻居做爰_久久久久久精品成人免费图片

 
Web應(yīng)用程序安全
Web應(yīng)用程序安全
Andrew Hoffman
盧浩, 陳新 譯
出版時(shí)間:2021年06月
頁(yè)數(shù):356
雖然有很多網(wǎng)絡(luò)和IT安全方面的資源,但是直到現(xiàn)在,依然缺乏詳細(xì)的現(xiàn)代Web應(yīng)用安全相關(guān)的知識(shí)。這本實(shí)用的指南提供了攻防兼?zhèn)涞陌踩^念,軟件工程師可以輕松學(xué)習(xí)和應(yīng)用。
Salesforce的高級(jí)安全工程師Andrew Hoffman介紹了Web應(yīng)用安全 的三大支柱:偵察、攻擊和防御。你將學(xué)習(xí)有效研究和分析現(xiàn)代Web應(yīng)用程序的方法,包括那些你無(wú)法直接訪問(wèn)的應(yīng)用程序。你還將學(xué)習(xí)如何使用最新的黑客技術(shù)來(lái)入侵Web應(yīng)用。最后,你將學(xué)到如何在自己的Web應(yīng)用程序開(kāi)發(fā)中采取緩解措施,以防止黑客攻擊。
● 探索困擾當(dāng)今Web應(yīng)用的常見(jiàn)漏洞。
● 學(xué)習(xí)攻擊者進(jìn)行漏洞利用攻擊所用的基本的黑客技術(shù)。
● 映射和記錄你無(wú)法直接訪問(wèn)的Web應(yīng)用。
● 開(kāi)發(fā)并部署可以繞過(guò)常規(guī)防御機(jī)制的、定制的漏洞利用程序。
● 制訂并部署緩解措施,保護(hù)你的應(yīng)用程序免受黑客攻擊。
● 將安全編碼的最佳實(shí)踐融入到你的開(kāi)發(fā)生命周期中。
● 獲取實(shí)用的技巧,幫助你提高Web應(yīng)用的整體安全性。
  1. 前言
  2. 第1章 軟件安全歷程
  3. 1.1 黑客的起源
  4. 1.2 Enigma密碼機(jī),約1930年
  5. 1.3 自動(dòng)Enigma密碼破解,約1940年
  6. 1.4 電話“Phreaking”,約1950年
  7. 1.5 防Phreaking技術(shù),約1960年
  8. 1.6 計(jì)算機(jī)黑客的起源,約1980年
  9. 1.7 互聯(lián)網(wǎng)的興起,約2000年
  10. 1.8 現(xiàn)時(shí)代的黑客,約2015年之后
  11. 1.9 小結(jié)
  12. 第一部分 偵察
  13. 第2章 Web應(yīng)用偵察簡(jiǎn)介
  14. 2.1 信息收集
  15. 2.2 Web應(yīng)用程序構(gòu)圖
  16. 2.3 小結(jié)
  17. 第3章 現(xiàn)代Web應(yīng)用程序的結(jié)構(gòu)
  18. 3.1 現(xiàn)代的與傳統(tǒng)的Web應(yīng)用程序
  19. 3.2 REST API
  20. 3.3 JS對(duì)象標(biāo)記
  21. 3.4 JavaScript
  22. 3.4.1 變量和作用域
  23. 3.4.2 函數(shù)
  24. 3.4.3 上下文
  25. 3.4.4 原型繼承
  26. 3.4.5 異步模型
  27. 3.4.6 瀏覽器DOM
  28. 3.5 SPA框架
  29. 3.6 認(rèn)證和授權(quán)系統(tǒng)
  30. 3.6.1 認(rèn)證
  31. 3.6.2 授權(quán)
  32. 3.7 Web服務(wù)器
  33. 3.8 服務(wù)器端數(shù)據(jù)庫(kù)
  34. 3.9 客戶端數(shù)據(jù)存儲(chǔ)
  35. 3.10 小結(jié)
  36. 第4章 尋找子域
  37. 4.1 單域多應(yīng)用程序
  38. 4.2 瀏覽器內(nèi)置的網(wǎng)絡(luò)分析工具
  39. 4.3 公開(kāi)信息利用
  40. 4.3.1 搜索引擎緩存
  41. 4.3.2 存檔信息利用
  42. 4.3.3 社交媒體快照
  43. 4.4 域傳送攻擊
  44. 4.5 暴力破解子域
  45. 4.6 字典攻擊
  46. 4.7 小結(jié)
  47. 第5章 API分析
  48. 5.1 端點(diǎn)探索
  49. 5.2 認(rèn)證機(jī)制
  50. 5.3 端點(diǎn)的模型
  51. 5.3.1 常見(jiàn)模型
  52. 5.3.2 特定于應(yīng)用的模型
  53. 5.4 小結(jié)
  54. 第6章 識(shí)別第三方依賴
  55. 6.1 探測(cè)客戶端框架
  56. 6.1.1 探測(cè)SPA框架
  57. 6.1.2 探測(cè)JavaScript庫(kù)
  58. 6.1.3 探測(cè)CSS庫(kù)
  59. 6.2 探測(cè)服務(wù)器端框架
  60. 6.2.1 標(biāo)頭探測(cè)
  61. 6.2.2 默認(rèn)錯(cuò)誤信息和404頁(yè)面
  62. 6.2.3 探測(cè)數(shù)據(jù)庫(kù)
  63. 6.3 小結(jié)
  64. 第7章 定位應(yīng)用架構(gòu)中的薄弱點(diǎn)
  65. 7.1 安全架構(gòu)與不安全架構(gòu)的標(biāo)志
  66. 7.2 多層安全機(jī)制
  67. 7.3 采納和重構(gòu)
  68. 7.4 小結(jié)
  69. 第8章 第一部分總結(jié)
  70. 第二部分 攻擊
  71. 第9章 Web應(yīng)用入侵簡(jiǎn)介
  72. 9.1 黑客的心態(tài)
  73. 9.2 運(yùn)用偵察
  74. 第10章 XSS攻擊
  75. 10.1 XSS的發(fā)現(xiàn)和利用
  76. 10.2 儲(chǔ)存型XSS
  77. 10.3 反射型XSS
  78. 10.4 DOM型XSS
  79. 10.5 突變型XSS
  80. 10.6 小結(jié)
  81. 第11章 CSRF攻擊
  82. 11.1 查詢參數(shù)篡改
  83. 11.2 替換GET的有效載荷
  84. 11.3 針對(duì)POST端點(diǎn)的CSRF
  85. 11.4 小結(jié)
  86. 第12章 XXE攻擊
  87. 12.1 直接型XXE
  88. 12.2 間接型XXE
  89. 12.3 小結(jié)
  90. 第13章 注入攻擊
  91. 13.1 SQL注入攻擊
  92. 13.2 代碼注入
  93. 13.3 命令注入
  94. 13.4 小結(jié)
  95. 第14章 DoS攻擊
  96. 14.1 ReDoS(Regex DoS)攻擊
  97. 14.2 邏輯DoS攻擊
  98. 14.3 DDoS(分布式DoS)攻擊
  99. 14.4 小結(jié)
  100. 第15章 第三方依賴漏洞利用
  101. 15.1 集成的方法
  102. 15.1.1 分支和復(fù)制
  103. 15.1.2 自托管的應(yīng)用程序集成
  104. 15.1.3 源代碼集成
  105. 15.2 軟件包管理器
  106. 15.2.1 JavaScript包管理器
  107. 15.2 2 Java包管理器
  108. 15.2.3 其他語(yǔ)言的包管理器
  109. 15.3 CVE(公共漏洞和披露)數(shù)據(jù)庫(kù)
  110. 15.4 小結(jié)
  111. 第16章 第二部分總結(jié)
  112. 第三部分 防御
  113. 第17章 現(xiàn)代Web應(yīng)用加固
  114. 17.1 防御性軟件架構(gòu)
  115. 17.2 全面的代碼審查
  116. 17.3 漏洞發(fā)現(xiàn)
  117. 17.4 漏洞分析
  118. 17.5 漏洞管理
  119. 17.6 回歸測(cè)試
  120. 17.7 緩解策略
  121. 17.8 應(yīng)用偵察和攻擊技術(shù)
  122. 第18章 安全的應(yīng)用架構(gòu)
  123. 18.1 分析功能需求
  124. 18.2 認(rèn)證和授權(quán)
  125. 18.2.1 SSL和TLS
  126. 18.2.2 安全的憑證
  127. 18.2.3 散列憑證信息
  128. 18.2.4 2FA認(rèn)證
  129. 18.3 PII和財(cái)務(wù)數(shù)據(jù)
  130. 18.4 搜索
  131. 18.5 小結(jié)
  132. 第19章 代碼安全審查
  133. 19.1 如何開(kāi)始代碼審查
  134. 19.2 原型漏洞與自定義邏輯漏洞
  135. 19.3 代碼安全審查起步
  136. 19.4 安全編碼的反面模式
  137. 19.4.1 黑名單
  138. 19.4.2 模板代碼
  139. 19.4.3 默認(rèn)信任反模式
  140. 19.4.4 客戶端/服務(wù)器分離
  141. 19.5 小結(jié)
  142. 第20章 漏洞發(fā)現(xiàn)
  143. 20.1 安全自動(dòng)化
  144. 20.1.1 靜態(tài)分析
  145. 20.1.2 動(dòng)態(tài)分析
  146. 20.1.3 漏洞回歸測(cè)試
  147. 20.2 責(zé)任披露計(jì)劃
  148. 20.3 漏洞賞金計(jì)劃
  149. 20.4 第三方滲透測(cè)試
  150. 20.5 小結(jié)
  151. 第21章 漏洞管理
  152. 21.1 漏洞重現(xiàn)
  153. 21.2 漏洞嚴(yán)重等級(jí)
  154. 21.3 通用漏洞評(píng)分系統(tǒng)
  155. 21.3.1 CVSS:基礎(chǔ)評(píng)分
  156. 21.3.2 CVSS:時(shí)間評(píng)分
  157. 21.3.3 CVSS:環(huán)境評(píng)分
  158. 21.4 高級(jí)漏洞評(píng)分
  159. 21.5 分揀、評(píng)分之后
  160. 21.6 小結(jié)
  161. 第22章 防御XSS攻擊
  162. 22.1 防御XSS編碼最佳實(shí)踐
  163. 22.2 凈化用戶輸入
  164. 22.2.1 DOM解析接收器
  165. 22.2.2 SVG接收器
  166. 22.2.3 Blob接收器
  167. 22.2.4 超鏈接凈化
  168. 22.2.5 HTML實(shí)體編碼
  169. 22.3 CSS
  170. 22.4 阻止XSS的CSP
  171. 22.4.1 腳本源
  172. 22.4.2 Unsafe Eval和Unsafe Inline選項(xiàng)
  173. 22.4.3 實(shí)現(xiàn)CSP
  174. 22.5 小結(jié)
  175. 第23章 防御CSRF攻擊
  176. 23.1 標(biāo)頭驗(yàn)證
  177. 23.2 CSRF令牌
  178. 23.3 防CRSF編碼最佳實(shí)踐
  179. 23.3.1 無(wú)狀態(tài)GET請(qǐng)求
  180. 23.3.2 應(yīng)用級(jí)CSRF緩解
  181. 23.4 小結(jié)
  182. 第24章 防御XXE攻擊
  183. 24.1 評(píng)估其他數(shù)據(jù)格式
  184. 24.2 高級(jí)XXE風(fēng)險(xiǎn)
  185. 24.3 小結(jié)
  186. 第25章 防御注入攻擊
  187. 25.1 緩解SQL注入攻擊
  188. 25.1.1 SQL注入檢測(cè)
  189. 25.1.2 預(yù)編譯語(yǔ)句
  190. 25.1.3 特定于數(shù)據(jù)庫(kù)的防御
  191. 25.2 通用注入防御
  192. 25.2.1 潛在的注入目標(biāo)
  193. 25.2.2 最小權(quán)限原則
  194. 25.2.3 命令白名單化
  195. 25.3 小結(jié)
  196. 第26章 防御DoS攻擊
  197. 26.1 防范Regex DoS攻擊
  198. 26.2 防范邏輯DoS攻擊
  199. 26.3 防范DDoS攻擊
  200. 26.4 緩解DDoS攻擊
  201. 26.5 小結(jié)
  202. 第27章 加固第三方依賴
  203. 27.1 評(píng)估依賴關(guān)系樹(shù)
  204. 27.1.1 依賴關(guān)系樹(shù)建模
  205. 27.1.2 依賴關(guān)系樹(shù)實(shí)例
  206. 27.1.3 自動(dòng)評(píng)估
  207. 27.2 安全集成技術(shù)
  208. 27.2.1 關(guān)注點(diǎn)分離
  209. 27.2.2 安全包管理
  210. 27.3 小結(jié)
  211. 第28章 第三部分小結(jié)
  212. 28.1 軟件安全的歷史
  213. 28.2 Web應(yīng)用偵察
  214. 28.3 攻擊
  215. 28.4 防御
  216. 第29章 總結(jié)
書(shū)名:Web應(yīng)用程序安全
作者:Andrew Hoffman
譯者:盧浩, 陳新 譯
國(guó)內(nèi)出版社:中國(guó)電力出版社
出版時(shí)間:2021年06月
頁(yè)數(shù):356
書(shū)號(hào):978-7-5198-5480-5
原版書(shū)書(shū)名:Web Application Security
原版書(shū)出版商:O'Reilly Media
Andrew Hoffman
 
Andrew Hoffman是Salesforce.com的高級(jí)安全工程師,負(fù)責(zé)多個(gè)JavaScript、Node.js和OSS團(tuán)隊(duì)的安全工作。他的專長(zhǎng)是DOM和JavaScript安全漏洞深入研究。他曾與各大瀏覽器廠商,包括TC39和WHATWG(Web Hypertext Application Technology Working Group,負(fù)責(zé)設(shè)計(jì)即將推出的 JavaScript和瀏覽器DOM版本的組織)合作過(guò)。
Andrew Hoffman是Ripple(瑞波,一家專注于為金融機(jī)構(gòu)提供解決方案的區(qū)塊鏈技術(shù)公司)公司的高級(jí)安全工程師,在軟件工程和Web應(yīng)用程序安全方面擁有獨(dú)特的技能。他曾為《財(cái)富》500強(qiáng)企業(yè)和初創(chuàng)公司提供咨詢,并曾與各大主流瀏覽器廠家合作。
 
 
購(gòu)買選項(xiàng)
定價(jià):88.00元
書(shū)號(hào):978-7-5198-5480-5
出版社:中國(guó)電力出版社