白帽子讲 Web 安全

白帽子讲 Web 安全
安全从业标配红书中国原创技术书大奖阿里P10天才黑客名 (吴翰清) 著
◎ 阿里巴巴集团首席技术官原阿里云总裁王坚|无码科技创始人冯大辉|UCloud创始人季昕华|知道创宇创始人赵伟|乌云平台创始人方小顿|淘宝核心技术专家林昊 联合力荐
◎ 首度以白帽子视角梳理Web安全技术及完整攻防策略,针对网站如何应对漏洞|保障安全,指导开发更安全网站,详述大量工业化安全实战及其思考过程|优劣分析。
◎ 首度提出互联网安全与传统安全有别,给出更具针对性的解决方案,读者可有幸亲自聆听阿里安全技术体系从无到有的直接建设者亲述一线安防经验。
◎ 辖世界观|客户端脚本|服务端应用|互联网运营几大核心安全主题,独特性地深入剖析安全本质,提升结合实际情况快速解决问题的思考能力。
内容简介
互联网时代的数据安全与个人隐私受到挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《白帽子讲 Web 安全(纪念版)》将带你走进 Web 安全的世界,让你了解 Web 安全的方方面面。黑客不再神秘,攻击技术原来如此,小网站也能找到适合自己的安全道路。大公司如何做安全,为什么要选择这样的方案呢?在《白帽子讲 Web 安全(纪念版)》中都能找到答案。详细的剖析,让你不仅能“知其然”,更能“知其所以然”。
《白帽子讲 Web 安全(纪念版)》根据安全宝副总裁吴翰清之前在互联网公司若干年的实际工作经验而写成,在解决方案上具有极强的可操作性;深入分析诸多错误的方法及误区,对安全工作者有很好的参考价值;对安全开发流程与运营的介绍,同样具有深刻的行业指导意义。《纪念版》与前版内容相同,仅为纪念原作以多种语言在全球发行的特殊版本,请读者按需选用。
作者简介
吴翰清,国内著名安全组织 Ph4nt0m 的创始人,精通各种攻击与防御技术。2005 年加入阿里巴巴(中国)有限公司,2007 年成为阿里巴巴年轻的专家。先后完成阿里巴巴、淘宝、zhi 付宝的安全评估与安全体系建设工作。主导了阿里巴巴的安全开发流程建设工作,在应用安全领域内有丰富的经验。现任阿里巴巴安全架构师,负责全集团 WEB 安全工作以及云计算安全。
精彩书评
★安全是互联网公司的声明,也是每一位网民的基本需求,以为天天听到到生的白帽子和你分享如何呵护生命,满足基本需求,这是一本能味到硝烟味道的书。
——阿里巴巴集团首席架构师阿里云计算总裁王坚
★对于绝大多数的中小网站来说,Web 安全是技术上薄弱而又很难提高的一个环节,而这个环节上发生的问题曾让很多人寝食难安。感谢此书中分享的诸多宝贵经验,让我受益匪浅。同时,强烈建议每个技术团队的负责人都能阅读此书,定能让你受益。
——丁香园 CTO 冯大辉
★作为互联网的开发人员,在实现功能外也需要重点关注如何避免留 TXSS、CSRF 等漏洞,否则很容易出现用户账号泄密、跨权限操作等严重问题,本书讲解了通常网站是如何来应对这些漏洞以及保障安全的,从这些难能可贵的实战经验中可以学习到如何更好地编写一个安全的网站。
——淘宝资深技术专家林吴
★安全问题成了互联网的梦魇,这本书的出现终于能让我们睡个好觉。
——知道创宇创始人 CEO 赵伟(icbm)
★一直以来安全行业都不缺少所谓的技术和毫无思想的说明书式的文字,缺少的是对于安全本质的:析,关于如何更好地结合实际情况解决问题的思考,以及对这些思考的分享。吴翰清正在尝试做个事情,而且做到了。
——乌云漏洞平台创始人方小顿(剑心)
目录
第一篇 世界观安全
- 第 1 章 我的安全世界观
- 1 1 Web 安全简史
- 1 1 1 中国黑客简史
- 11 2 黑客技术的发展历程
- 11 3 Web 安全的兴起
- 12 黑帽子,白帽子
- 13 返璞归真,揭秘安全的本质
- 14 破除迷信,没有银弹
- 15 安全三要素
- 16 如何实施安全评估
- 16 1 资产等级划分
- 16 2 威胁分析
- 16 3 风险分析
- 16 4 设计安全方案
- 17 白帽子兵法
- 17 1 Secure By Default 原则
- 17 2 纵深防御原则
- 17 3 数据与代码分离原则
- 17 4 不可预测性原则
- 18 小结
- (附)谁来为漏洞买单?
第二篇 客户端脚本安全
- 第 2 章 浏览器安全
- 21 同源策略
- 22 浏览器沙箱
- 23 恶意网址拦截
- 24 高速发展的浏览器安全
- 25 小结
第 3 章 跨站脚本攻击(XSS)
- 31 XSS 简介
- 32 XSS 攻击进阶
- 32 1 初探 XSS Payload
- 32 2 强大的 XSS Payload
- 32 3 XSS 攻击平台
- 32 4 终极武器:XSS Worm
- 32 5 调试 JavaScript
- 32 6 XSS 构造技巧
- 32 7 变废为宝:Mission Impossible
- 32 8 容易被忽视的角落:Flash XSS
- 32 9 真的高枕无忧吗:JavaScript 开发框架
- 33 XSS 的防御
- 33 1 四两拨千斤:HttpOnly
- 33 2 输入检查
- 33 3 输出检查
- 33 4 正确地防御 XSS
- 33 5 处理富文本
- 33 6 防御 DOM Based XSS
- 33 7 换个角度看 XSS 的风险
- 34 小结
第 4 章 跨站点请求伪造(CSRF)
- 41 CSRF 简介
- 42 CSRF 进阶
- 42 1 浏览器的 Cookie 策略
- 42 2 P3P 头的副作用
- 42 3 GET? POST?
- 42 4 Flash CSRF
- 42 5 CSRF Worm
- 43 CSRF 的防御
- 43 1 验证码
- 43 2 Referer Check
- 43 3 Anti CSRF Token
- 44 小结
第 5 章 点击劫持(ClickJacking)
- 51 什么是点击劫持
- 52 Flash 点击劫持
- 53 图片覆盖攻击
- 54 拖拽劫持与数据窃取
- 55 ClickJacking 30:触屏劫持
- 56 防御 ClickJacking
- 561 frame busting
- 562 X-Frame-Options
- 57 小结