91精品国产综合久久四虎久久_国产成人午夜高潮毛片_99er视频精品免费观看_2020亚洲熟女在线观看_日本女优人体写真_国内黄色毛片_年轻的老师中文版在线_丰满女邻居做爰_久久久久久精品成人免费图片

 
Web應(yīng)用程序安全(第二版)
Web應(yīng)用程序安全(第二版)
Andrew Hoffman
盧浩, 陳新, 張林鋒 譯
出版時(shí)間:2025年07月
頁(yè)數(shù):465
“全面而且實(shí)用的Web應(yīng)用程序安全資料?!?br /> ——Chetan Karande
OWASP項(xiàng)目負(fù)責(zé)人
“Hoffman的這本書內(nèi)容全面、條理清晰,內(nèi)容既包含如何攻擊Web應(yīng)用程序,也闡述了如何對(duì)其進(jìn)行防御。該書的技術(shù)含量很高,不僅能讓軟件開(kāi)發(fā)人員受益匪淺,同時(shí),這些概念對(duì)非專業(yè)讀者來(lái)說(shuō)也非常容易理解?!?br /> ——Caroline Wong
Cobalt首席戰(zhàn)略官
在廣受好評(píng)的本書第一版中,作者定義了Web應(yīng)用程序安全的三大支柱:偵察、進(jìn)攻和防御。在更新后的第二版中,探討了數(shù)十個(gè)相關(guān)主題,包括最新的攻擊類型及其緩解措施,以及威脅建模、安全軟件開(kāi)發(fā)生命周期(SSDL/SDLC)和零信任架構(gòu)等。
第二版中還增加了針對(duì)其他Web應(yīng)用程序技術(shù),例如GraphQL、基于云的部署和內(nèi)容分發(fā)網(wǎng)絡(luò)(CDN)的漏洞利用方法及相應(yīng)的緩解措施。在這一版攻擊和緩解相關(guān)的章節(jié)中,包含了更多高級(jí)技術(shù),有經(jīng)驗(yàn)的讀者將收獲更多。
本書第二版同樣由三大支柱構(gòu)成,包含以下三方面的內(nèi)容:
● 支柱1:偵查,學(xué)習(xí)如何遠(yuǎn)程收集Web應(yīng)用程序的信息,包括獲取安全敏感配置數(shù)據(jù)的方法等。
● 支柱2:進(jìn)攻,探究使用已被全球頂尖黑客證明有效、用以攻擊Web應(yīng)用程序的多種漏洞利用方法。
● 支柱3:防御,在上述技能的基礎(chǔ)上,針對(duì)支柱2中描述的每種攻擊方法構(gòu)建有效、持久的緩解措施,以及如何安全地開(kāi)發(fā)和部署Web應(yīng)用程序。
  1. 前言
  2. 第1章 軟件安全發(fā)展歷程
  3. 1.1 黑客的起源
  4. 1.2 Enigma密碼機(jī),約1930年
  5. 1.3 Enigma密碼破解,約1940年
  6. 1.4 電話Phreaking,約1950年
  7. 1.5 防Phreaking,約1960年
  8. 1.6 計(jì)算機(jī)黑客,起源于約1980年
  9. 1.7 萬(wàn)維網(wǎng)興起,約2000年
  10. 1.8 當(dāng)代黑客,約2015年之后
  11. 1.9 小結(jié)
  12. 第一部分 偵查
  13. 第2章 Web應(yīng)用程序偵查簡(jiǎn)介
  14. 2.1 信息收集
  15. 2.2 繪制Web應(yīng)用程序圖
  16. 2.3 小結(jié)
  17. 第3章 現(xiàn)代Web應(yīng)用程序結(jié)構(gòu)
  18. 3.1 Web應(yīng)用程序的發(fā)展
  19. 3.2 REST API
  20. 3.3 JSON
  21. 3.4 JavaScript
  22. 3.4.1 變量和作用域
  23. 3.4.2 函數(shù)
  24. 3.4.3 上下文
  25. 3.4.4 原型繼承
  26. 3.4.5 異步模型
  27. 3.4.6 瀏覽器DOM
  28. 3.5 SPA框架
  29. 3.6 認(rèn)證和授權(quán)系統(tǒng)
  30. 3.6.1 認(rèn)證
  31. 3.6.2 授權(quán)
  32. 3.7 Web服務(wù)器
  33. 3.8 服務(wù)器端數(shù)據(jù)庫(kù)
  34. 3.9 客戶端數(shù)據(jù)存儲(chǔ)
  35. 3.10 GraphQL
  36. 3.11 版本控制系統(tǒng)
  37. 3.12 CDN/Cache
  38. 3.13 小結(jié)
  39. 第4章 尋找子域
  40. 4.1 單域多個(gè)應(yīng)用程序
  41. 4.2 瀏覽器內(nèi)置的網(wǎng)絡(luò)分析工具
  42. 4.3 利用公共信息
  43. 4.3.1 搜索引擎緩存
  44. 4.3.2 利用存檔信息
  45. 4.3.3 社交媒體快照
  46. 4.4 DNS區(qū)域傳送攻擊
  47. 4.5 暴力破解子域
  48. 4.6 字典攻擊
  49. 4.7 小結(jié)
  50. 第5章 API分析
  51. 5.1 端點(diǎn)探索
  52. 5.2 認(rèn)證機(jī)制
  53. 5.3 端點(diǎn)結(jié)構(gòu)
  54. 5.3.1 常用結(jié)構(gòu)
  55. 5.3.2 特殊結(jié)構(gòu)
  56. 5.4 小結(jié)
  57. 第6章 識(shí)別第三方依賴
  58. 6.1 探測(cè)客戶端框架
  59. 6.1.1 探測(cè)SPA框架
  60. 6.1.2 探測(cè)JavaScript庫(kù)
  61. 6.1.3 探測(cè)CSS庫(kù)
  62. 6.2 探測(cè)服務(wù)器端框架
  63. 6.2.1 標(biāo)頭探測(cè)
  64. 6.2.2 默認(rèn)錯(cuò)誤信息及404頁(yè)面
  65. 6.2.3 數(shù)據(jù)庫(kù)探測(cè)
  66. 6.3 小結(jié)
  67. 第7章 應(yīng)用程序架構(gòu)安全
  68. 7.1 架構(gòu)安全判別
  69. 7.2 多層安全保障
  70. 7.3 復(fù)用與重構(gòu)
  71. 7.4 小結(jié)
  72. 第8章 第一部分總結(jié)
  73. 第二部分 攻擊
  74. 第9章 Web應(yīng)用程序攻擊入門
  75. 9.1 黑客思維
  76. 9.2 運(yùn)用偵查
  77. 第10章 XSS攻擊
  78. 10.1 尋找和利用XSS
  79. 10.2 存儲(chǔ)型XSS
  80. 10.3 反射型XSS
  81. 10.4 DOM型XSS
  82. 10.5 突變型XSS
  83. 10.6 繞過(guò)XSS過(guò)濾器
  84. 10.6.1 自閉合HTML標(biāo)簽
  85. 10.6.2 協(xié)議相關(guān)URL
  86. 10.6.3 畸形標(biāo)簽
  87. 10.6.4 編碼轉(zhuǎn)義
  88. 10.6.5 通用攻擊載荷
  89. 10.7 XSS接收器和源
  90. 10.8 小結(jié)
  91. 第11章 CSRF攻擊
  92. 11.1 查詢參數(shù)篡改
  93. 11.2 替換GET載荷
  94. 11.3 針對(duì)POST端點(diǎn)的CSRF
  95. 11.4 繞過(guò)CSRF防御
  96. 11.4.1 標(biāo)頭驗(yàn)證
  97. 11.4.2 令牌池
  98. 11.4.3 弱令牌
  99. 11.4.4 數(shù)據(jù)類型
  100. 11.4.5 繞過(guò)正則表達(dá)式過(guò)濾
  101. 11.4.6 iframe載荷
  102. 11.4.7 AJAX載荷
  103. 11.4.8 零交互表單
  104. 11.5 小結(jié)
  105. 第12章 XEE攻擊
  106. 12.1 XXE基本概念
  107. 12.2 直接型XXE
  108. 12.3 間接型XXE
  109. 12.4 帶外數(shù)據(jù)滲漏
  110. 12.5 賬戶接管流程
  111. 12.5.1 獲取系統(tǒng)用戶信息
  112. 12.5.2 獲取密碼散列值
  113. 12.5.3 破解密碼散列值
  114. 12.5.4 SSH遠(yuǎn)程登錄
  115. 12.6 小結(jié)
  116. 第13章 注入攻擊
  117. 13.1 SQL注入
  118. 13.2 代碼注入
  119. 13.3 命令注入
  120. 13.4 注入式數(shù)據(jù)滲漏
  121. 13.4.1 數(shù)據(jù)滲漏的基本概念
  122. 13.4.2 帶內(nèi)數(shù)據(jù)滲漏
  123. 13.4.3 帶外數(shù)據(jù)滲漏
  124. 13.4.4 推理式數(shù)據(jù)滲漏
  125. 13.5 繞過(guò)常見(jiàn)防御
  126. 13.6 小結(jié)
  127. 第14章 DoS攻擊
  128. 14.1 Regex DoS攻擊
  129. 14.2 邏輯DoS攻擊
  130. 14.3 DDoS攻擊
  131. 14.4 高級(jí)DoS攻擊
  132. 14.4.1 YoYo攻擊
  133. 14.4.2 壓縮攻擊
  134. 14.4.3 基于代理的DoS
  135. 14.5 小結(jié)
  136. 第15章 攻擊數(shù)據(jù)和對(duì)象
  137. 15.1 大規(guī)模賦值攻擊
  138. 15.2 不安全的直接對(duì)象引用
  139. 15.3 序列化攻擊
  140. 15.3.1 Web序列化
  141. 15.3.2 攻擊弱序列化
  142. 15.4 小結(jié)
  143. 第16章 客戶端攻擊
  144. 16.1 瀏覽器攻擊
  145. 16.1.1 客戶端定向攻擊
  146. 16.1.2 特定客戶端攻擊
  147. 16.2 客戶端攻擊的優(yōu)勢(shì)
  148. 16.3 原型污染攻擊
  149. 16.3.1 理解原型污染
  150. 16.3.2 原型污染攻擊
  151. 16.3.3 原型污染應(yīng)用
  152. 16.4 點(diǎn)擊劫持攻擊
  153. 16.4.1 攝像頭及麥克風(fēng)攻擊
  154. 16.4.2 實(shí)施點(diǎn)擊劫持攻擊
  155. 16.5 標(biāo)簽劫持和反向標(biāo)簽劫持
  156. 16.5.1 傳統(tǒng)標(biāo)簽劫持
  157. 16.5.2 反向標(biāo)簽劫持
  158. 16.6 小結(jié)
  159. 第17章 第三方依賴漏洞利用
  160. 17.1 集成的方法
  161. 17.1.1 分支與復(fù)刻
  162. 17.1.2 自托管應(yīng)用程序集成
  163. 17.1.3 源代碼集成
  164. 17.2 軟件包管理器
  165. 17.2.1 JavaScript包管理器
  166. 17.2.2 Java包管理器
  167. 17.2.3 其他包管理器
  168. 17.3 CVE數(shù)據(jù)庫(kù)
  169. 17.4 小結(jié)
  170. 第18章 業(yè)務(wù)邏輯漏洞利用
  171. 18.1 數(shù)學(xué)漏洞
  172. 18.2 編程副作用
  173. 18.3 準(zhǔn)現(xiàn)金攻擊
  174. 18.4 受影響的標(biāo)準(zhǔn)規(guī)范
  175. 18.5 業(yè)務(wù)邏輯漏洞利用
  176. 18.6 小結(jié)
  177. 第19章 第二部分總結(jié)
  178. 第三部分 防御
  179. 第20章 Web應(yīng)用程序防護(hù)
  180. 20.1 防御性軟件架構(gòu)
  181. 20.2 全面代碼審查
  182. 20.3 尋找漏洞
  183. 20.4 漏洞分析
  184. 20.5 漏洞管理
  185. 20.6 回歸測(cè)試
  186. 20.7 緩解策略
  187. 20.8 應(yīng)用偵查和攻擊技術(shù)
  188. 20.9 小結(jié)
  189. 第21章 安全的應(yīng)用程序架構(gòu)
  190. 21.1 分析功能需求
  191. 21.2 認(rèn)證和授權(quán)
  192. 21.2.1 SSL和TLS
  193. 21.2.2 密碼安全
  194. 21.2.3 散列密碼
  195. 21.2.4 多因子認(rèn)證
  196. 21.3 個(gè)人信息和財(cái)務(wù)數(shù)據(jù)
  197. 21.4 搜索引擎
  198. 21.5 零信任架構(gòu)
  199. 21.5.1 零信任的由來(lái)
  200. 21.5.2 隱性信任與顯性信任
  201. 21.5.3 認(rèn)證和授權(quán)
  202. 21.6 小結(jié)
  203. 第22章 安全的應(yīng)用程序配置
  204. 22.1 內(nèi)容安全策略(CSP)
  205. 22.1.1 實(shí)施CSP
  206. 22.1.2 CSP結(jié)構(gòu)
  207. 22.1.3 主要指令
  208. 22.1.4 CSP源和源列表
  209. 22.1.5 嚴(yán)格的CSP
  210. 22.1.6 安全的CSP策略示例
  211. 22.2 跨域資源共享(CORS)
  212. 22.2.1 CORS請(qǐng)求類型
  213. 22.2.2 簡(jiǎn)單跨域請(qǐng)求
  214. 22.2.3 預(yù)檢跨域請(qǐng)求
  215. 22.2.4 實(shí)施CORS
  216. 22.3 標(biāo)頭
  217. 22.3.1 嚴(yán)格傳輸安全
  218. 22.3.2 跨域開(kāi)放策略(COOP)
  219. 22.3.3 跨域資源策略(CORP)
  220. 22.3.4 安全相關(guān)的標(biāo)頭
  221. 22.3.5 早期的安全標(biāo)頭
  222. 22.4 cookie
  223. 22.4.1 cookie安全
  224. 22.4.2 測(cè)試cookie
  225. 22.5 框架和沙盒
  226. 22.5.1 傳統(tǒng)iframe
  227. 22.5.2 Web Worker
  228. 22.5.3 子資源完整性
  229. 22.5.4 陰影區(qū)
  230. 22.6 小結(jié)
  231. 第23章 安全的用戶體驗(yàn)
  232. 23.1 信息泄露和枚舉
  233. 23.1.1 信息泄露
  234. 23.1.2 枚舉
  235. 23.2 安全用戶體驗(yàn)最佳實(shí)踐
  236. 23.3 小結(jié)
  237. 第24章 應(yīng)用程序威脅建模
  238. 24.1 設(shè)計(jì)有效的威脅模型
  239. 24.2 威脅建模示例
  240. 24.2.1 邏輯設(shè)計(jì)
  241. 24.2.2 技術(shù)設(shè)計(jì)
  242. 24.2.3 威脅識(shí)別(威脅行為者)
  243. 24.2.4 威脅識(shí)別(攻擊向量)
  244. 24.2.5 確定緩解措施
  245. 24.2.6 差異識(shí)別
  246. 24.3 小結(jié)
  247. 第25章 代碼安全審查
  248. 25.1 如何開(kāi)始代碼審查
  249. 25.2 原型漏洞與業(yè)務(wù)邏輯漏洞
  250. 25.3 從何處開(kāi)始審查
  251. 25.4 安全編碼反模式
  252. 25.4.1 黑名單
  253. 25.4.2 樣板代碼
  254. 25.4.3 默認(rèn)信任
  255. 25.4.4 客戶端/服務(wù)器分離
  256. 25.5 小結(jié)
  257. 第26章 漏洞發(fā)現(xiàn)
  258. 26.1 安全自動(dòng)化
  259. 26.1.1 靜態(tài)分析
  260. 26.1.2 動(dòng)態(tài)分析
  261. 26.1.3 漏洞回歸測(cè)試
  262. 26.2 責(zé)任披露計(jì)劃
  263. 26.3 漏洞賞金計(jì)劃
  264. 26.4 第三方滲透測(cè)試
  265. 26.5 小結(jié)
  266. 第27章 漏洞管理
  267. 27.1 漏洞復(fù)現(xiàn)
  268. 27.2 漏洞嚴(yán)重性等級(jí)
  269. 27.3 通用漏洞評(píng)分系統(tǒng)
  270. 27.3.1 CVSS:基礎(chǔ)評(píng)分
  271. 27.3.2 CVSS:時(shí)間評(píng)分
  272. 27.3.3 CVSS:環(huán)境評(píng)分
  273. 27.4 高級(jí)漏洞評(píng)分
  274. 27.5 漏洞修復(fù)
  275. 27.6 小結(jié)
  276. 第28章 防范XSS攻擊
  277. 28.1 防范XSS編碼最佳實(shí)踐
  278. 28.2 用戶輸入檢查
  279. 28.2.1 DOMParser接收器
  280. 28.2.2 SVG接收器
  281. 28.2.3 blob接收器
  282. 28.2.4 超鏈接檢查
  283. 28.2.5 HTML實(shí)體編碼
  284. 28.3 CSS XSS
  285. 28.4 防范XSS的CSP
  286. 28.4.1 腳本來(lái)源
  287. 28.4.2 不安全的eval和inline
  288. 28.4.3 實(shí)施CSP
  289. 28.5 小結(jié)
  290. 第29章 防范CSRF攻擊
  291. 29.1 標(biāo)頭驗(yàn)證
  292. 29.2 CSRF令牌
  293. 29.3 防范CRSF編碼最佳實(shí)踐
  294. 29.3.1 無(wú)狀態(tài)GET請(qǐng)求
  295. 29.3.2 應(yīng)用程序級(jí)CSRF緩解
  296. 29.4 小結(jié)
  297. 第30章 防范XXE攻擊
  298. 30.1 評(píng)估其他數(shù)據(jù)格式
  299. 30.2 高級(jí)XXE風(fēng)險(xiǎn)
  300. 30.3 小結(jié)
  301. 第31章 防范注入攻擊
  302. 31.1 緩解SQL注入攻擊
  303. 31.1.1 SQL注入檢測(cè)
  304. 31.1.2 預(yù)編譯語(yǔ)句
  305. 31.1.3 特定數(shù)據(jù)庫(kù)防護(hù)
  306. 31.2 通用注入防御
  307. 31.2.1 潛在注入目標(biāo)
  308. 31.2.2 最小權(quán)限原則
  309. 31.2.3 命令白名單
  310. 31.3 小結(jié)
  311. 第32章 防范DoS攻擊
  312. 32.1 防范Regex DoS
  313. 32.2 防范邏輯DoS
  314. 32.3 防范DDoS
  315. 32.4 小結(jié)
  316. 第33章 保護(hù)數(shù)據(jù)和對(duì)象
  317. 33.1 防范大規(guī)模賦值
  318. 33.1.1 驗(yàn)證和白名單
  319. 33.1.2 數(shù)據(jù)傳輸對(duì)象
  320. 33.2 防范IDOR
  321. 33.3 防范序列化攻擊
  322. 33.4 小結(jié)
  323. 第34章 防范客戶端攻擊
  324. 34.1 防范原型污染
  325. 34.1.1 鍵過(guò)濾
  326. 34.1.2 原型凍結(jié)
  327. 34.1.3 空原型
  328. 34.2 防范點(diǎn)擊劫持
  329. 34.2.1 框架祖先
  330. 34.2.2 防框架嵌入
  331. 34.3 防范標(biāo)簽劫持
  332. 34.3.1 跨域開(kāi)放策略
  333. 34.3.2 鏈接攔截器
  334. 34.4 隔離策略
  335. 34.5 小結(jié)
  336. 第35章 保護(hù)第三方依賴
  337. 35.1 評(píng)估依賴關(guān)系樹(shù)
  338. 35.1.1 依賴關(guān)系樹(shù)建模
  339. 35.1.2 依賴關(guān)系樹(shù)示例
  340. 35.1.3 自動(dòng)評(píng)估
  341. 35.2 安全的集成技術(shù)
  342. 35.2.1 分離關(guān)注點(diǎn)
  343. 35.2.2 安全的包管理
  344. 35.3 小結(jié)
  345. 第36章 防范業(yè)務(wù)邏輯漏洞
  346. 36.1 架構(gòu)級(jí)緩解措施
  347. 36.2 統(tǒng)計(jì)建模
  348. 36.2.1 輸入建模
  349. 36.2.2 操作建模
  350. 36.2.3 模型開(kāi)發(fā)
  351. 36.2.4 模型分析
  352. 36.3 小結(jié)
  353. 第37章 第三部分總結(jié)
  354. 結(jié)論
書名:Web應(yīng)用程序安全(第二版)
作者:Andrew Hoffman
譯者:盧浩, 陳新, 張林鋒 譯
國(guó)內(nèi)出版社:中國(guó)電力出版社
出版時(shí)間:2025年07月
頁(yè)數(shù):465
書號(hào):978-7-5198-9962-2
原版書書名:Web Application Security, 2nd Edition
原版書出版商:O'Reilly Media
Andrew Hoffman
 
Andrew Hoffman是Salesforce.com的高級(jí)安全工程師,負(fù)責(zé)多個(gè)JavaScript、Node.js和OSS團(tuán)隊(duì)的安全工作。他的專長(zhǎng)是DOM和JavaScript安全漏洞深入研究。他曾與各大瀏覽器廠商,包括TC39和WHATWG(Web Hypertext Application Technology Working Group,負(fù)責(zé)設(shè)計(jì)即將推出的 JavaScript和瀏覽器DOM版本的組織)合作過(guò)。
Andrew Hoffman是Ripple(瑞波,一家專注于為金融機(jī)構(gòu)提供解決方案的區(qū)塊鏈技術(shù)公司)公司的高級(jí)安全工程師,在軟件工程和Web應(yīng)用程序安全方面擁有獨(dú)特的技能。他曾為《財(cái)富》500強(qiáng)企業(yè)和初創(chuàng)公司提供咨詢,并曾與各大主流瀏覽器廠家合作。
 
 
本書封面上的動(dòng)物是一只愛(ài)斯基摩犬,也稱為因紐特犬、加拿大愛(ài)斯基摩犬,或因紐特愛(ài)斯基摩犬,與格陵蘭犬有著相同的基因。無(wú)論是什么品種,所有的犬類都有一個(gè)相同的物種名稱——家犬。愛(ài)斯基摩犬是北美最古老的犬種之一,據(jù)說(shuō)最早出現(xiàn)在一萬(wàn)多年以前,它們由灰狼進(jìn)化而來(lái)。
為了適應(yīng)北極地區(qū)的生活環(huán)境,愛(ài)斯基摩犬有著非常厚的雙層皮毛,外層是防水層。愛(ài)斯基摩犬有著直立的耳朵和卷曲的尾巴,其外形與另一種耐寒工作犬——眾所周知的哈士奇相似。愛(ài)斯基摩犬奔跑的速度趕不上哈士奇,但它們有強(qiáng)壯的脖子、寬闊的肩膀、矯健的步伐,和令人欽羨的耐力,是拉雪橇和狩獵的理想選擇。愛(ài)斯基摩犬的體重介于20~90磅之間,身高大約24~29英寸,它們的平均壽命為12~14歲,以高蛋白食物為生,通常以海豹、海象和馴鹿為食。
愛(ài)斯基摩犬的數(shù)量非常少,但近些年的保護(hù)工作使得該物種的生存狀況得到了改善。
購(gòu)買選項(xiàng)
定價(jià):128.00元
書號(hào):978-7-5198-9962-2
出版社:中國(guó)電力出版社