作品简介

《白帽子讲Web安全》内容简介:在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《白帽子讲Web安全》将带你走进Web安全的世界,让你了解Web安全的方方面面。

黑客不再变得神秘,攻击技术原来我也可以会,小网站主自己也能找到正确的安全道路。大公司是怎么做安全的,为什么要选择这样的方案呢?你能在《白帽子讲Web安全》中找到答案。详细的剖析,让你不仅能“知其然”,更能“知其所以然”。

吴翰清,毕业于西安交通大学少年班,从2000年开始研究网络攻防技术。在大学期间创立了在中国安全圈内极具影响力的组织“幻影”。

作品目录

  • 前言
  • 序言
  • 第一篇 世界观安全
  • 第1章 我的安全世界观
  • 1.1 Web安全简史
  • 1.2 黑帽子,白帽子
  • 1.3 返璞归真,揭秘安全的本质
  • 1.4 破除迷信,没有银弹
  • 1.5 安全三要素
  • 1.6 如何实施安全评估
  • 1.7 白帽子兵法
  • 1.8 小结
  • 第二篇 客户端脚本安全
  • 第2章 浏览器安全
  • 2.1 同源策略
  • 2.2 浏览器沙箱
  • 2.3 恶意网址拦截
  • 2.4 高速发展的浏览器安全
  • 2.5 小结
  • 第3章 跨站脚本攻击(XSS)
  • 3.1 XSS简介
  • 3.2 XSS攻击进阶
  • 3.3 XSS的防御
  • 3.4 小结
  • 第4章 跨站点请求伪造(CSRF)
  • 4.1 CSRF简介
  • 4.2 CSRF进阶
  • 4.3 CSRF的防御
  • 4.4 小结
  • 第5章点击劫持(ClickJacking)
  • 5.1 什么是点击劫持
  • 5.2 Flash点击劫持
  • 5.3 图片覆盖攻击
  • 5.4 拖拽劫持与数据窃取
  • 5.6 防御ClickJacking
  • 5.7 小结
  • 第6章 HTML 5 安全
  • 6.1 HTML 5新标签
  • 6.2 其他安全问题
  • 6.3 小结
  • 第三篇 服务器端应用安全
  • 第7章 注入攻击
  • 7.1 SQL注入
  • 7.2 数据库攻击技巧
  • 7.3 正确地防御SQL注入
  • 7.4 其他注入攻击
  • 7.5 小结
  • 第8章 文件上传漏洞
  • 8.1 文件上传漏洞概述
  • 8.2 功能还是漏洞
  • 8.3 设计安全的文件上传功能
  • 8.4 小结
  • 第9章 认证与会话管理
  • 9.1 Who am I?
  • 9.2 密码的那些事儿
  • 9.3 多因素认证
  • 9.4 Session与认证
  • 9.5 Session Fixation攻击
  • 9.6 Session保持攻击
  • 9.7 单点登录(SSO)
  • 9.8 小结
  • 第10章 访问控制
  • 10.1 What Can I Do?
  • 10.2 垂直权限管理
  • 10.3 水平权限管理
  • 10.4 OAuth简介
  • 10.5 小结
  • 第11章 加密算法与随机数
  • 11.1 概述
  • 11.2 Stream Cipher Attack
  • 11.3 WEP破解
  • 11.4 ECB模式的缺陷
  • 11.5 Padding Oracle Attack
  • 11.6 密钥管理
  • 11.7 伪随机数问题
  • 11.8 小结
  • 第12章 Web框架安全
  • 12.1 MVC框架安全
  • 12.2 模板引擎与XSS防御
  • 12.3 Web框架与CSRF防御
  • 12.4 HTTP Headers管理
  • 12.5 数据持久层与SQL注入
  • 12.6 还能想到什么
  • 12.7 Web框架自身安全
  • 12.8 小结
  • 第13章 应用层拒绝服务攻击
  • 13.1 DDOS简介
  • 13.2 应用层DDOS
  • 13.3 验证码的那些事儿
  • 13.4 防御应用层DDOS
  • 13.5 资源耗尽攻击
  • 13.6 一个正则引发的血案:ReDOS
  • 13.7 小结
  • 第14章 PHP安全
  • 14.1 文件包含漏洞
  • 14.2 变量覆盖漏洞
  • 14.3 代码执行漏洞
  • 14.4 定制安全的PHP环境
  • 14.5 小结
  • 第15章 Web Server配置安全
  • 15.1 Apache安全
  • 15.2 Nginx安全
  • 15.3 jBoss远程命令执行
  • 15.4 Tomcat远程命令执行
  • 15.5 HTTP Parameter Pollution
  • 15.6 小结
  • 第四篇 互联网公司安全运营
  • 第16章 互联网业务安全
  • 16.1 产品需要什么样的安全
  • 16.2 业务逻辑安全
  • 16.3 账户是如何被盗的
  • 16.4 互联网的垃圾
  • 16.5 关于网络钓鱼
  • 16.6 用户隐私保护
  • 16.7 小结
  • 第17章 安全开发流程(SDL)
  • 17.1 SDL简介
  • 17.2 敏捷SDL
  • 17.3 SDL实战经验
  • 17.4 需求分析与设计阶段
  • 17.5 开发阶段
  • 17.6 测试阶段
  • 17.7 小结
  • 第18章 安全运营
  • 18.1 把安全运营起来
  • 18.2 漏洞修补流程
  • 18.3 安全监控
  • 18.4 入侵检测
  • 18.5 紧急响应流程
  • 18.6 小结
  • (附)谈谈互联网企业安全的发展方向
展开全部