知識星球來自:程式員書庫(ID:OpenSourceTop)
Web是網際網路的核心,是未來雲端計算和移動網際網路的最佳載體,因此Web安全也是網際網路公司安全業務中最重要的組成部分。
隨之網際網路的發展,如今Web應用已經融入了我們的日常生活的各個方面,在目前的Web應用中,大多數應用不都是靜態的網頁瀏覽,而是涉及到伺服器的動態處理。如果後臺開發的安全意識不強,就會導致Web應用安全問題層出不窮。
下麵,我們先來看看目前幾種常見的Web漏洞:
1、XSS跨站指令碼攻擊
XSS跨站指令碼攻擊,通常指駭客透過”HTML註入”篡改了網頁,插入了惡意的指令碼,從而在使用者瀏覽網頁時,控制使用者瀏覽器的一種攻擊。XSS根據效果的不同還分為:反射型XSS、儲存型XSS、DOM Based XSS
2、CSRF跨站偽造請求攻擊
CSRF的全名是Cross Site Request Forgery,翻譯成中文就是跨站點請求偽造。也就是利用使用者已登入的身份,以使用者的名義傳送惡意請求,完成非法操作。
3、點選劫持
點選劫持(Click Jacking)是一種視覺欺騙手段,攻擊者使用一個透明不可見的iframe,改寫到網站上,誘使使用者進行操作,點選攻擊者想要使用者點選的位置。
4、SQL註入
SQL註入(SQL Injection),是最常見影響非常廣泛的漏洞。攻擊者把SQL命令插入到web表單的輸入域或者頁面請求的查詢字串,執行惡意的SQL命令,從而入侵資料庫來執行未授意的任意查詢。
5、檔案上傳攻擊
檔案上傳漏洞是指使用者上傳了一個可執行的指令碼檔案,並透過此指令碼檔案獲得了執行伺服器端命令的能力。這種攻擊方式是最直接有效的。
6、5Session Fixation攻擊
什麼是Session Fixation呢?舉個例子,如果A將汽車買個了B,但是A並沒有把所有的車鑰匙都交給B,自己私藏了一把。這時候如果B沒有給車換鎖的話,A仍然可能用私藏的鑰匙使用汽車。這個沒有換“鎖”而導致的安全問題,就是Session Fixation問題。
以上就是如今最常見的幾大web漏洞,那麼,大公司是怎麼做安全的呢?要選擇怎樣的方案,為什麼要選擇這個方案呢?這些疑問你都可以在《白帽子Web安全》這本書找到答案。
《白帽子Web安全》
本書特點
● 豆瓣評分8.2
● 內容詳實,深入淺出,為讀者講述新層面上的技術知識
● 大量舉例,增加實用性,在動手中思考理解
● 作者是阿裡巴巴安全架構師
本書是學習Web安全知識必備的書籍,根據安全寶副總裁吳翰清之前在網際網路公司若干年的實際工作經驗而寫成,在解決方案上具有極強的可操作性;深入分析諸多錯誤的方法及誤區,對安全工作者有很好的參考價值;對安全開發流程與運營的介紹,同樣具有深刻的行業指導意義。
閱讀路線
第一篇:在此篇中先回顧了安全的歷史,然後闡述了作者對安全的看法與態度,並提出了一些思考問題的方式以及做事的方法。理解了本篇,就能明白全書中所涉及的解決方案在抉擇時的取捨。
第二篇:客戶端指令碼安全就當前比較流行的客戶端指令碼攻擊進行了深入闡述。當網站的安全做到一定程度後,駭客可能難以再找到類似註入攻擊、指令碼執行等高風險的漏洞,從而可能將註意力轉移到客戶端指令碼攻擊上。
第三篇:伺服器端應用安全,講解了註入攻擊、檔案上傳漏洞、訪問控制、加密演演算法與隨機數
第四篇:講解了安全開發流程和安全運營,兩者能夠幫助企業以最小的成本提高產品的安全性,施好安全開發流程,對企業安全的發展來說,可以起到事半功倍的效果。
目錄詳情如下:
部分內容圖:
作者簡介
吳翰清,國內知名安全組織Ph4nt0m的創始人,精通各種攻擊與防禦技術。2005年加入阿裡巴巴(中國)有限公司,現任阿裡巴巴安全架構師,先後完成阿裡巴巴、淘寶、支付寶的安全評估與安全體系建設工作。主導了阿裡巴巴的安全開發流程建設工作,在應用安全領域內有豐富的經驗。負責全集團WEB安全工作以及雲端計算安全。
讀者評價:
@大-豆-奶:此講述關於網路安全相關書籍,對於向我這樣想瞭解駭客到底如何利用網站漏洞對站點進行攻擊,有很多豐富的實體。很適合網際網路的開發者,按照不同的漏洞型別進行了分類。
@good bai:書中一一剖析各種漏斗原理及攻防之道,既有原理分析,也有實踐指導,是一本該行業從業者或是對WEB安全技術有興趣者值得讀讀的書,
@nlimplid:雖然是說web安全,但卻是從攻擊手段來說的。防守永遠比攻擊困難的多,攻擊者只要找到一個漏洞就能攻擊,而防守卻需要全面,滴水不漏。就我看的前兩部分來看,書寫的還是很不錯的。詳細介紹了web方面的以前攻擊手段,所謂攻擊,就是從你在web上留下的“痕跡”:無論是“點選”還是cookie。使用者能做的就是儘量少留“痕跡了”。
@匿名:有一半內容對普通開發者有營養,有一半內容對公司層面有營養,內容質量挺好。總體質量甩了 《web前端駭客技術揭秘》那本書幾條街 !至於全球多語言發行,我覺得有點過了!
@匿名:急需補充網路開發的安全知識,安全問題都是大事,這本書的內容還是很認可的
●輸入m獲取到文章目錄
