新書推薦:
《
超级制造
》
售價:HK$
143.9
《
明朝270年:明朝的外交博弈和权力游戏
》
售價:HK$
69.6
《
禅之道(畅销全球60余年的一代经典,揭示禅对现代人的解脱意义)
》
售價:HK$
82.8
《
改变历史的意大利豪门 : 传奇家族美第奇
》
售價:HK$
90.0
《
Procreate插画手绘从新手到高手
》
售價:HK$
105.6
《
山河不足重,重在遇知己
》
售價:HK$
54.0
《
独自走过悲喜
》
售價:HK$
81.6
《
永不停步:玛格丽特·阿特伍德传
》
售價:HK$
94.8
|
| 內容簡介: |
|
本书介绍了成为高效Web开发人员所需掌握的基本安全知识,并将教你为何你的网站容易受到攻击以及如何保护它们。每一章都分解了一个主要的安全漏洞,并探讨了一个真实的攻击,结合大量的代码,向你展示漏洞和修复方法。
|
| 目錄:
|
|
译者序前言关于作者关于技术审校致谢第1章 让我们了解黑客如何入侵一个网站 11.1 软件漏洞和暗网 11.2 黑客如何攻击网站 2第2章 互联网的工作原理 52.1 互联网协议套件 52.1.1 IP地址 62.1.2 域名系统 62.2 应用层协议 72.3 状态连接 112.4 加密 122.5 小结 12第3章 浏览器的工作原理 133.1 页面呈现 133.1.1 渲染管道:概述 143.1.2 文档对象模型 143.1.3 样式信息 153.2 JavaScript 163.3 渲染前后:浏览器执行的所有其他操作 183.4 小结 18第4章 Web服务器的工作方式 204.1 静态资源 204.1.1 URL解析 214.1.2 内容交付网络 224.1.3 内容管理系统 224.2 动态资源 244.2.1 模板 244.2.2 数据库 254.2.3 分布式缓存 274.2.4 Web编程语言 284.3 小结 32第5章 程序员的工作方式 335.1 阶段1:设计与分析 345.2 阶段2:编写代码 345.2.1 分布式版本控制与集中式版本控制 355.2.2 分支和合并代码 355.3 阶段3:发布前测试 365.3.1 覆盖范围和持续集成 375.3.2 测试环境 375.4 阶段4:发布过程 385.4.1 发布期间标准化部署的选项 395.4.2 编译过程 415.4.3 数据库迁移脚本 415.5 阶段5:发布后的测试和观察 425.5.1 渗透测试 425.5.2 监控、日志记录和错误报告 425.6 依赖管理 435.7 小结 44第6章 注入攻击 456.1 SQL注入 466.1.1 什么是SQL 466.1.2 SQL注入攻击剖析 476.1.3 缓解措施1:使用参数化语句 496.1.4 缓解措施2:使用对象关系映射 506.1.5 额外缓解:使用纵深防御 516.2 命令注入 526.2.1 命令注入攻击剖析 536.2.2 缓解措施:转义控制字符 546.3 远程代码执行 556.3.1 远程代码执行剖析 566.3.2 缓解措施:在反序列化期间禁用代码执行 566.4 文件上传漏洞 576.4.1 文件上传攻击剖析 576.4.2 缓解措施 596.5 小结 60第7章 跨站点脚本攻击 627.1 存储型跨站点脚本攻击 627.1.1 缓解措施1:转义HTML字符 647.1.2 缓解措施2:实施内容安全策略 667.2 反射型跨站点脚本攻击 677.3 基于DOM的跨站点脚本攻击 697.4 小结 71第8章 跨站点请求伪造攻击 728.1 CSRF攻击剖析 728.2 缓解措施1:遵循REST原则 738.3 缓解措施2:使用anti-CSRF cookie 748.4 缓解措施3:使用SameSite cookie属性 758.5 额外的缓解措施:敏感动作需要重新验证 768.6 小结 77第9章 破坏身份认证 789.1 实施身份认证 789.1.1 HTTP本地身份认证 799.1.2 非本地认证 809.1.3 暴力破解攻击 809.2 缓解措施1:使用第三方身份认证 819.3 缓解措施2:与单点登录集成 819.4 缓解措施3:保护自己的身份认证系统 829.4.1 需要用户名、电子邮件地址或两个都要 829.4.2 要求复杂密码 859.4.3 安全地存储密码 859.4.4 多因素身份认证 879.4.5 实现并保护注销功能 889.4.6 防止用户枚举 889.5 小结 89第10章 会话劫持 9110.1 会话的工作方式 9110.1.1 服务器端会话 9210.1.2 客户端会话 9310.2 攻击者如何劫持会话 9510.2.1 cookie窃取 9510.2.2 会话确定 9710.2.3 利用弱会话ID 9810.3 小结 99第11章 权限 10011.1 提权 10011.2 访问控制 10111.2.1 设计授权模型 10111.2.2 实施访问控制 10311.2.3 测试访问控制 10411.2.4 添加审计记录 10511.2.5 避免常见的疏忽 10511.3 目录遍历 10511.3.1 文件路径和相对文件路径 10611.3.2 目录遍历攻击剖析 10611.3.3 缓解措施1:信任你的Web服务器 10711.3.4 缓解措施2:使用托管服务 10811.3.5 缓解措施3:使用间接文件引用 10811.3.6 缓解措施4:净化文件引用 10811.4 小结 109第12章 信息泄露 11112.1 缓解措施1:禁用Telltale Server标头 11112.2 缓解措施2:使用干净的URL 11112.3 缓解措施3:使用通用cookie参数 11212.4 缓解措施4:禁用客户端错误报告 11212.5 缓解措施5:缩小或模糊处理JavaScript文件 11312.6 缓解措施6:清理客户端文件 11312.7 始终关注安全公告 11412.8 小结 114第13章 加密 11513.1 Internet协议中的加密 11513.1.1 加密算法、哈希和消息身份认证代码 11613.1.2 TLS握手 11813.2 启用HTTPS 12013.2.1 数字证书 12013.2.2 获取数字证书 12113.2.3 安装数字证书 12313.3 攻击HTTP(和HTTPS) 12613.3.1 无线路由器 12613.3.2 Wi-Fi热点 12713.3.3 互联网服务提供商 12713.3.4 政府机构 12713.4 小结 128第14章 第三方代码 12914.1 保护依赖项 12914.1.1 知道你正在运行什么代码 13014.1.2 能够快速部署新版本 13214.1.3 对安全问题保持警惕
|
| 內容試閱:
|
|
互联网是一个“疯狂”的地方。人们很容易有这样的印象—互联网是由网络专家精心设计的,并且一切都做得很好。实际上,互联网的发展是迅速而随意的,我们今天在互联网上所做的事情远远超出了互联网发明者的想象。正因如此,保护互联网安全是一项艰巨的任务。网站是一种独特的软件形式,它发布后立即为数百万用户所使用,其中包括活跃而积极的黑客社区。大公司通常会遇到安全问题,几乎每周都会公布新的数据泄露事件。面对这种情况,无助的Web开发人员应该如何保护自己呢?关于本书Web安全的一个大秘密是—Web漏洞的数量实际上很少(巧合的是,它们可以容纳在一本书中),并且这些漏洞每年变化不大。本书将告诉你需要了解的每一个关键威胁,并且分解保护网站所需要采取的实际步骤。这本书适合谁如果你是刚开始进行Web开发,那么这本书将是你的理想指南。无论你是刚刚从计算机科学专业毕业,还是自学成才的新手,我都建议你仔细阅读本书。本书中的所有内容都是必不可少的,并且通过最清晰的示例以最直接的方式进行了解释。现在就为即将面临的威胁做好充分的准备,这将会为你省去很多麻烦。如果你是一位有经验的程序员,本书对你来说也是有用的。通过学习安全知识,你始终可以从中受益,因此,尝试使用本书来填补你可能遇到的空白。把它当作一本参考书,并深入阅读你感兴趣的章节。没有人能掌握所有的知识,经验丰富的程序员更有责任以身作则,领导好团队,对于Web开发人员来讲,这意味着需要遵循最佳安全实践。你会注意到,本书并没有特定于某一种编程语言(尽管我会根据需要为主流语言提供各种安全建议)。无论你选择哪种编程语言,对Web安全的良好理解都将使你受益。许多程序员在他们的职业生涯中会使用多种语言,因此学习Web安全的原理比过于关注单个语言类库要更好。互联网简史在开始介绍本书的内容之前,回顾一下互联网如何发展到当前状态将非常有用。许多聪明的工程师为互联网的爆炸式增长做出了贡献,但是和大多数软件项目一样,在添加功能时,在安全方面的考虑往往不够。了解安全漏洞是如何产生的将为你提供修复它们所需的相关知识。万维网(World Wide Web)是蒂姆·伯纳斯-李(Tim Berners-Lee)在欧洲核子研究中心(CERN)工作时发明的。在欧洲核子研究中心进行的研究包括将亚原子颗粒粉碎在一起,希望它们会分裂成更小的亚原子颗粒,从而揭示宇宙的基本结构,但这种研究可能会在地球上造成黑洞。蒂姆·伯纳斯-李显然对实现宇宙终结不感兴趣,他在欧洲核子研究中心工作期间发明了我们今天所知的互联网—作为大学间共享研究结果的一种手段。他发明了第一个Web浏览器和第一个Web服务器,并发明了超文本标记语言(HTML)和超文本传输协议(HTTP)。世界上第一个网站于1993年上线。早期的网页只支持文本格式。第一款能够显示嵌入图像的浏览器是美国国家超级计算应用中心(National Center for Supercomputing Applications)开发的Mosaic。Mosaic的开发者最终加入了Netscape Communications公司,帮助开发了Netscape Navigator,这是第一款广泛使用的Web浏览器。在早期的Web中,大多数页面都是静态的,传输流量没有加密。那是一个简朴的时代!浏览器中的脚本快进到1995年,Netscape Communications公司的Brendan Eich花10天时间发明了JavaScript,这是第一种能够嵌入网页的语言。在开发过程中,该语言被称为Mocha,然后重命名为LiveScript,然后再次重命名为JavaScript,最终被正式命名为ECMAScript。没有人喜欢ECMAScript这个名字,尤其是Eich,他声称这听起来像是一种皮肤病。因此,除了最正式的设置外,程序员都继续将其称为JavaScript。JavaScript的原始版本结合了Java编程语言(因此名字中有Java)的笨拙命名约定、C语言的结构化编程语法、晦涩的基于原型的Self继承以及Eich自己设计的噩梦般的类型转换逻辑。不管是好是坏,JavaScript成了事实上的Web浏览器语言。突然间,网页实现了可交互,并且出现了一系列安全漏洞。黑客通过跨站点脚本(XSS)攻击找到了将JavaScript代码注入页面的方法,互联网变得更加危险。新的挑战者入场Netscape Navigator的第一个真正竞争对手是微软的Internet Explorer。Internet Explorer具有两个竞争优势—它是免费的,并且预先安装在微软的Windows系统上。Internet Explorer迅速成为世界上最受欢迎的浏览器,它的图标成为人们学习浏览网页的“互联网按钮”。微软试图“拥有”网络,导致它向浏览器引入了ActiveX等专有技术。不幸的是,这导致感染用户计算机的病毒(恶意程序)激增。Windows是计算机病毒的主要攻击目标(现在仍然是),而互联网被证明是一种有效的传播途径。Internet Explorer的主导地位在很多年内都没有受到挑战,直到Mozilla的Firefox发布,然后是Chrome,这是一款由新兴的搜索初创公司Google开发的浏览器。这些新的浏览器加速了互联网标准的发展和创新。然而到目前为止,黑客攻击已经成为一项有利可图的业务,安全漏洞一旦被发现就会迅速被利用
|
|
購物車/收銀台(
0
) | 在線留言板
| 付款方式
| 運費計算
| 聯絡我們
| 幫助中心 |
加入書簽
HOME
新書上架
