图书介绍
白帽子讲Web安全pdf电子书版本下载
- 吴翰清著 著
- 出版社: 北京:电子工业出版社
- ISBN:9787121160721
- 出版时间:2012
- 标注页数:432页
- 文件大小:171MB
- 文件页数:449页
- 主题词:计算机网络-安全技术
PDF下载
下载说明
白帽子讲Web安全PDF格式电子书版下载
下载的文件为RAR压缩包。需要使用解压软件进行解压得到PDF格式图书。建议使用BT下载工具Free Download Manager进行下载,简称FDM(免费,没有广告,支持多平台)。本站资源全部打包为BT种子。所以需要使用专业的BT下载软件进行下载。如 BitComet qBittorrent uTorrent等BT下载工具。迅雷目前由于本站不是热门资源。不推荐使用!后期资源热门了。安装了迅雷也可以迅雷进行下载!
(文件页数 要大于 标注页数,上中下等多册电子书除外)
注意:本站所有压缩包均有解压码: 点击下载压缩包解压工具
图书目录
第一篇 世界观安全 2
第1章 我的安全世界观 2
1.1 Web安全简史 2
1.1.1中国黑客简史 2
1.1.2黑客技术的发展历程 3
1.1.3 Web安全的兴起 5
1.2黑帽子,白帽子 6
1.3返璞归真,揭秘安全的本质 7
1.4破除迷信,没有银弹 9
1.5安全三要素 10
1.6如何实施安全评估 11
1.6.1资产等级划分 12
1.6.2威胁分析 13
1.6.3风险分析 14
1.6.4设计安全方案 15
1.7白帽子兵法 16
1.7.1 Secure By Default原则 16
1.7.2纵深防御原则 18
1.7.3数据与代码分离原则 19
1.7.4不可预测性原则 21
1.8小结 22
(附)谁来为漏洞买单? 23
第二篇 客户端脚本安全 26
第2章 浏览器安全 26
2.1同源策略 26
2.2浏览器沙箱 30
2.3恶意网址拦截 33
2.4高速发展的浏览器安全 36
2.5小结 39
第3章 跨站脚本攻击(XSS) 40
3.1 XSS简介 40
3.2 XSS攻击进阶 43
3.2.1初探XSS Payload 43
3.2.2强大的XSS Payload 46
3.2.3 XSS攻击平台 62
3.2.4终极武器:XSS Worm 64
3.2.5调试JavaScript 73
3.2.6 XSS构造技巧 76
3.2.7变废为宝:Mission Impossible 82
3.2.8容易被忽视的角落:Flash XSS 85
3.2.9真的高枕无忧吗:JavaScript开发框架 87
3.3 XSS的防御 89
3.3.1四两拨千斤:HttpOnly 89
3.3.2输入检查 93
3.3.3输出检查 95
3.3.4正确地防御XSS 99
3.3.5处理富文本 102
3.3.6防御DOM Based XSS 103
3.3.7换个角度看XSS的风险 107
3.4小结 107
第4章 跨站点请求伪造(CSRF) 109
4.1 CSRF简介 109
4.2 CSRF进阶 111
4.2.1浏览器的Cookie策略 111
4.2.2 P3P头的副作用 113
4.2.3 GET? POST? 116
4.2.4 Flash CSRF 118
4.2.5 CSRF Worm 119
4.3 CSRF的防御 120
4.3.1验证码 120
4.3.2 Referer Check 120
4.3.3 Anti CSRF Token 121
4.4小结 124
第5章 点击劫持(CIickJacking) 125
5.1什么是点击劫持 125
5.2 Flash点击劫持 127
5.3图片覆盖攻击 129
5.4拖拽劫持与数据窃取 131
5.5 ClickJacking 3.0:触屏劫持 134
5.6防御ClickJacking 136
5.6.1 frame busting 136
5.6.2 X-Frame-Options 137
5.7小结 138
第6章 HTML 5安全 139
6.1 HTML 5新标签 139
6.1.1新标签的XS S 139
6.1.2 iframe的sandbox 140
6.1.3 Link Types: noreferrer 141
6.1.4 Canvas的妙用 141
6.2其他安全问题 144
6.2.1 Cross-Origin Resource Sharing 144
6.2.2 postMessage——跨窗口传递消息 146
6.2.3 Web Storage 147
6.3小结 150
第三篇 服务器端应用安全 152
第7章 注入攻击 152
7.1 SQL注入 152
7.1.1盲注(Blind Injection) 153
7.1.2 Timing Attack 155
7.2数据库攻击技巧 157
7.2.1常见的攻击技巧 157
7.2.2命令执行 158
7.2.3攻击存储过程 164
7.2.4编码问题 165
7.2.5 SQL Column Truncation 167
7.3正确地防御SQL注入 170
7.3.1使用预编译语句 171
7.3.2使用存储过程 172
7.3.3检查数据类型 172
7.3.4使用安全函数 172
7.4其他注入攻击 173
7.4.1 XML注入 173
7.4.2代码注入 174
7.4.3 CRLF注入 176
7.5小结 179
第8章 文件上传漏洞 180
8.1文件上传漏洞概述 180
8.1.1从FCKEditor文件上传漏洞谈起 181
8.1.2绕过文件上传检查功能 182
8.2功能还是漏洞 183
8.2.1 Apache文件解析问题 184
8.2.2 IIS文件解析问题 185
8.2.3 PHP CGI路径解析问题 187
8.2.4利用上传文件钓鱼 189
8.3设计安全的文件上传功能 190
8.4小结 191
第9章 认证与会话管理 192
9.1 Who am I? 192
9.2密码的那些事儿 193
9.3多因素认证 195
9.4 Session与认证 196
9.5 Session Fixation攻击 198
9.6 Session保持攻击 199
9.7单点登录(SSO) 201
9.8小结 203
第10章 访问控制 205
10.1 What Can I Do? 205
10.2垂直权限管理 208
10.3水平权限管理 211
10.4 OAuth简介 213
10.5小结 219
第11章 加密算法与随机数 220
11.1概述 220
11.2 Stream Cipher Attack 222
11.2.1 Reused Key Attack 222
11.2.2 Bit-flipping Attack 228
11.2.3弱随机IV问题 230
11.3 WEP破解 232
11.4 ECB模式的缺陷 236
11.5 Padding Oracle Attack 239
11.6密钥管理 251
11.7伪随机数问题 253
11.7.1弱伪随机数的麻烦 253
11.7.2时间真的随机吗 256
11.7.3破解伪随机数算法的种子 257
11.7.4使用安全的随机数 265
11.8小结 265
(附)Understanding MD5 Length Extension Attack 267
第12章 Web框架安全 280
12.1 MVC框架安全 280
12.2模板引擎与XSS防御 282
12.3 Web框架与CSRF防御 285
12.4 HTTP Headers管理 287
12.5数据持久层与SQL注入 288
12.6还能想到什么 289
12.7 Web框架自身安全 289
12.7.1 Struts 2命令执行漏洞 290
12.7.2 Struts 2的问题补丁 291
12.7.3 Spring MVC命令执行漏洞 292
12.7.4 Django命令执行漏洞 293
12.8小结 294
第13章 应用层拒绝服务攻击 295
13.1 DDOS简介 295
13.2应用层DDOS 297
13.2.1 CC攻击 297
13.2.2限制请求频率 298
13.2.3道高一尺,魔高一丈 300
13.3验证码的那些事儿 301
13.4防御应用层DDOS 304
13.5资源耗尽攻击 306
13.5.1 Slowloris攻击 306
13.5.2 HTTP POST DOS 309
13.5.3 Server Limit DOS 310
13.6一个正则引发的血案:ReDOS 311
13.7小结 315
第14章 PHP安全 317
14.1文件包含漏洞 317
14.1.1本地文件包含 319
14.1.2远程文件包含 323
14.1.3本地文件包含的利用技巧 323
14.2变量覆盖漏洞 331
14.2.1全局变量覆盖 331
14.2.2 extract()变量覆盖 334
14.2.3遍历初始化变量 334
14.2.4 import_request_variables变量覆盖 335
14.2.5 parse_str()变量覆盖 335
14.3代码执行漏洞 336
14.3.1“危险函数”执行代码 336
14.3.2“文件写入”执行代码 343
14.3.3其他执行代码方式 344
14.4定制安全的PHP环境 348
14.5小结 352
第15章 Web Server配置安全 353
15.1 Apache安全 353
15.2 Nginx安全 354
15.3 jBoss远程命令执行 356
15.4 Tomcat远程命令执行 360
15.5 HTTP Parameter Pollution 363
15.6小结 364
第四篇 互联网公司安全运营 366
第16章 互联网业务安全 366
16.1产品需要什么样的安全 366
16.1.1互联网产品对安全的需求 367
16.1.2什么是好的安全方案 368
16.2业务逻辑安全 370
16.2.1永远改不掉的密码 370
16.2.2谁是大赢家 371
16.2.3瞒天过海 372
16.2.4关于密码取回流程 373
16.3账户是如何被盗的 374
16.3.1账户被盗的途径 374
16.3.2分析账户被盗的原因 376
16.4互联网的垃圾 377
16.4.1垃圾的危害 377
16.4.2垃圾处理 379
16.5关于网络钓鱼 380
16.5.1钓鱼网站简介 381
16.5.2邮件钓鱼 383
16.5.3钓鱼网站的防控 385
16.5.4网购流程钓鱼 388
16.6用户隐私保护 393
16.6.1互联网的用户隐私挑战 393
16.6.2如何保护用户隐私 394
16.6.3 Do-Not-Track 396
16.7小结 397
(附)麻烦的终结者 398
第17章 安全开发流程(SDL) 402
17.1 SDL简介 402
17.2敏捷SDL 406
17.3 SDL实战经验 407
17.4需求分析与设计阶段 409
17.5开发阶段 415
17.5.1提供安全的函数 415
17.5.2代码安全审计工具 417
17.6测试阶段 418
17.7小结 420
第18章 安全运营 422
18.1把安全运营起来 422
18.2漏洞修补流程 423
18.3安全监控 424
18.4入侵检测 425
18.5紧急响应流程 428
18.6小结 430
(附)谈谈互联网企业安全的发展方向 431