歡迎光臨
每天分享高質量文章

學習Web安全,人手必備的這本國產書

來自:程式員書庫(ID:OpenSourceTop)


Web是互聯網的核心,是未來雲計算和移動互聯網的最佳載體,因此Web安全也是互聯網公司安全業務中最重要的組成部分。

隨之互聯網的發展,如今Web應用已經融入了我們的日常生活的各個方面,在目前的Web應用中,大多數應用不都是靜態的網頁瀏覽,而是涉及到服務器的動態處理。如果後臺開發的安全意識不強,就會導致Web應用安全問題層出不窮。

下麵,我們先來看看目前幾種常見的Web漏洞:

1、XSS跨站腳本攻擊

XSS跨站腳本攻擊,通常指黑客通過”HTML註入”篡改了網頁,插入了惡意的腳本,從而在用戶瀏覽網頁時,控制用戶瀏覽器的一種攻擊。XSS根據效果的不同還分為:反射型XSS、儲存型XSS、DOM Based XSS

2、CSRF跨站偽造請求攻擊

CSRF的全名是Cross Site Request Forgery,翻譯成中文就是跨站點請求偽造。也就是利用用戶已登錄的身份,以用戶的名義發送惡意請求,完成非法操作。

3、點擊劫持

點擊劫持(Click Jacking)是一種視覺欺騙手段,攻擊者使用一個透明不可見的iframe,改寫到網站上,誘使用戶進行操作,點擊攻擊者想要用戶點擊的位置。

4、SQL註入

SQL註入(SQL Injection),是最常見影響非常廣泛的漏洞。攻擊者把SQL命令插入到web表單的輸入域或者頁面請求的查詢字串,執行惡意的SQL命令,從而入侵資料庫來執行未授意的任意查詢。

5、檔案上傳攻擊

檔案上傳漏洞是指用戶上傳了一個可執行的腳本檔案,並通過此腳本檔案獲得了執行服務器端命令的能力。這種攻擊方式是最直接有效的。

6、5Session Fixation攻擊

什麼是Session Fixation呢?舉個例子,如果A將汽車買個了B,但是A並沒有把所有的車鑰匙都交給B,自己私藏了一把。這時候如果B沒有給車換鎖的話,A仍然可能用私藏的鑰匙使用汽車。這個沒有換“鎖”而導致的安全問題,就是Session Fixation問題。

以上就是如今最常見的幾大web漏洞,那麼,大公司是怎麼做安全的呢?要選擇怎樣的方案,為什麼要選擇這個方案呢?這些疑問你都可以在《白帽子Web安全》這本書找到答案。

《白帽子Web安全》

本書特點

● 豆瓣評分8.2

● 內容詳實,深入淺出,為讀者講述新層面上的技術知識

● 大量舉例,增加實用性,在動手中思考理解

● 作者是阿裡巴巴安全架構師

本書是學習Web安全知識必備的書籍,根據安全寶副總裁吳翰清之前在互聯網公司若干年的實際工作經驗而寫成,在解決方案上具有極強的可操作性;深入分析諸多錯誤的方法及誤區,對安全工作者有很好的參考價值;對安全開發流程與運營的介紹,同樣具有深刻的行業指導意義。

閱讀路線

第一篇:在此篇中先回顧了安全的歷史,然後闡述了作者對安全的看法與態度,並提出了一些思考問題的方式以及做事的方法。理解了本篇,就能明白全書中所涉及的解決方案在抉擇時的取捨。

第二篇:客戶端腳本安全就當前比較流行的客戶端腳本攻擊進行了深入闡述。當網站的安全做到一定程度後,黑客可能難以再找到類似註入攻擊、腳本執行等高風險的漏洞,從而可能將註意力轉移到客戶端腳本攻擊上。

第三篇:服務器端應用安全,講解了註入攻擊、檔案上傳漏洞、訪問控制、加密演算法與隨機數

第四篇:講解了安全開發流程和安全運營,兩者能夠幫助企業以最小的成本提高產品的安全性,施好安全開發流程,對企業安全的發展來說,可以起到事半功倍的效果。

目錄詳情如下:

部分內容圖:

作者簡介

吳翰清,國內知名安全組織Ph4nt0m的創始人,精通各種攻擊與防禦技術。2005年加入阿裡巴巴(中國)有限公司,現任阿裡巴巴安全架構師,先後完成阿裡巴巴、淘寶、支付寶的安全評估與安全體系建設工作。主導了阿裡巴巴的安全開發流程建設工作,在應用安全領域內有豐富的經驗。負責全集團WEB安全工作以及雲計算安全。

讀者評價:

@大-豆-奶:此講述關於網絡安全相關書籍,對於向我這樣想瞭解黑客到底如何利用網站漏洞對站點進行攻擊,有很多豐富的實體。很適合互聯網的開發者,按照不同的漏洞型別進行了分類。

@good bai:書中一一剖析各種漏斗原理及攻防之道,既有原理分析,也有實踐指導,是一本該行業從業者或是對WEB安全技術有興趣者值得讀讀的書,

@nlimplid:雖然是說web安全,但卻是從攻擊手段來說的。防守永遠比攻擊困難的多,攻擊者只要找到一個漏洞就能攻擊,而防守卻需要全面,滴水不漏。就我看的前兩部分來看,書寫的還是很不錯的。詳細介紹了web方面的以前攻擊手段,所謂攻擊,就是從你在web上留下的“痕跡”:無論是“點擊”還是cookie。用戶能做的就是儘量少留“痕跡了”。

@匿名:有一半內容對普通開發者有營養,有一半內容對公司層面有營養,內容質量挺好。總體質量甩了 《web前端黑客技術揭秘》那本書幾條街 !至於全球多語言發行,我覺得有點過了!

@匿名:急需補充網絡開發的安全知識,安全問題都是大事,這本書的內容還是很認可的


●編號618,輸入編號直達本文

●輸入m獲取到文章目錄

赞(0)

分享創造快樂