《web之困:現代web應用安全指南》在web安全領域有「聖經」的美譽,在世界範圍內被安全工作者和web從業人員廣為稱道,由來自google chrome瀏覽器團隊的世界頂級黑客、國際一流安全專家撰寫,是目前唯一深度探索現代web瀏覽器安全技術的專著。本書從瀏覽器設計的角度切入,以**瀏覽器的各主要特性和由此衍生出來的各種安全相關問題為主線,深入剖析了現代web瀏覽器的技術原理、安全機制和設計上的安全缺陷,為web安全工作者和開發工程師們應對各種基於瀏覽器的安全隱患提供了應對措施。
《web之困:現代web應用安全指南》開篇回顧了web的發展歷程和安全風險的演化;第一部分解剖了現代瀏覽器的工作原理,包括url、http協議、html語言、css、文件格式、瀏覽器外掛程式等內容;第二部分從瀏覽器的設計角度深入分析了各種現代web瀏覽器(firefox、chrome、ie等)所引入的重點安全機制,例如同源策略、源的繼承、視窗和框架的互動、安全邊界、內容識別、應對惡意指令碼、外圍的**特權等,並分析了這些機制存在的安全缺陷,同時為web應用開發者提供了如何避免攻擊和隱私洩露的應對措施;第三部分對瀏覽器安全機制的未來趨勢進行了展望,包括新的瀏覽器特性與安全展望、其他值得注意的瀏覽器、常見的web安全漏洞等。
《web之困:現代web應用安全指南》
譯者序
前 言
第1章 web應用安全 / 1
1.1 資訊保安速覽 / 1
1.1.1 正統之道的尷尬 / 2
1.1.2 進入風險管理 / 4
1.1.3 分類學的啟發 / 5
1.1.4 實際的解決之道 / 6
1.2 web的簡明歷史 / 7
1.2.1 史前時期的故事: 1945~2023年 / 8
1.2.2 第一次瀏覽器大戰:1995~2023年 / 10
1.2.3 平淡期:2000~2023年 / 11
1.2.4 web 2.0 和第二次瀏覽器大戰:2023年之後 / 12
1.3 風險的演化 / 13
1.3.1 使用者作為安全風險的乙個環節 / 14
1.3.2 難以隔離的web執行環境 / 14
1.3.3 缺乏統一的格局 / 15
1.3.4 跨瀏覽器互動:失敗的協同 / 16
1.3.5 客戶端和伺服器端界限的日益模糊 / 17
這是一本很特別的書。
在翻開本書之前,每位讀者可能都曾閱讀過一些web安全相關的書籍。但本書的目標和寫法,與常規的web安全書籍大相徑庭。套句江湖行話來說,這是一本修煉內功的秘籍,它並未傳授什麼具體的武功,不會手把手地教讀者怎麼練一門劍術或輕功,但它構建了乙個完整的web安全圖景,為讀者在這個龐雜領域裡繼續深入鑽研打下穩固的技術根基,相信每位開啟這本「秘籍」的讀者都能從中獲益良多。
作者在最後展望了一批屬於未來的web技術,以及它們對今後幾年web安全可能產生的影響,有助於讀者了解前瞻性的技術動向。當然,由於本書寫於兩年前,可能其中有部分機制已經被業界採納成為正式的規範。
在許多章的最後,作者都給出了「安全工程速查表」,內容是和本章主題相關的安全建議。這些整理得當的安全列表對**和web元件的開發者、架構設計師們想必都會有非常直接的幫助。但同時,這個速查表和本書的其他內容,也完全可以作為安全滲透人員的反向指標,為安全檢測帶來更多啟發性的思路。儘管本書通常被歸類為「黑客」書籍,但它也同樣能為web開發人員和web防禦工程人員帶來實際的幫助。攻與防,在這裡有機地結合到了一起。
本書另乙個特別的地方是:它非常「紮實」!也就是說,乾貨很多很實在。原書只有不到300頁篇幅,卻涵蓋了web各元件、瀏覽器全部安全機制和未來技術展望,知識點異常密集!可想而知,作者的寫法有多簡潔明瞭,這給翻譯帶來了不小的困難。並且容我冒昧吐槽一句,由於作者本人非常聰明有才,往往不屑於把問題展開來闡述,所以乙個非常複雜的知識點也經常被寥寥數語帶過,對沒有一定基礎的讀者來說,難免存在閱讀和理解障礙。在此譯者再囉嗦地提出幾點閱讀建議:
讀慢些,反覆讀。本書絕對不是那種讀一遍就能完全領會、流暢易懂的書籍,適合它的閱讀方式應該是放在案頭,時常翻閱,常讀常新。
在本書的翻譯過程中,得到了各位師友無私的幫助,特此鳴謝!感謝姚莉莉的建議,促使我接下本書的翻譯,並在此後的翻譯過程中給予了無數的幫助和監督;感謝編輯吳怡一直以來對我的耐心、寬容和信任;感謝joey(殷鈞鈞)對本書的推薦和審讀,以及在翻譯過程中提供的持續幫助;感謝賈洪峰老師和我的同事黃偉,他們對細節的關注,對技術的理解和對書稿的審閱,都使我獲益良多;另外也要感謝xiaket(夏愷)、錢文芳對部分章節的審讀。
WEB安全之web應用認證基本概念
一 http常見認證機制 1 基本認證 1 客戶端訪問乙個受http基本認證保護的資源 2 服務端返回乙個狀態碼401or403 沒有授權or沒有許可權登入,要求客戶端提供使用者名稱和密碼 3 客戶端將輸入的使用者名稱和密碼進行base64編碼後,採用非加密的明文形式給服務單,如 authoriza...
Web應用安全認知
目前雲計算環境下的應用主要以web應用為主,本認證課程旨在幫助學員了解web應用的主要威脅,以及對常見的攻擊,如 sql注入攻擊 xss攻擊 檔案上傳攻擊等,有一定的理解。這樣才能更好的在開發或運維過程中預防和處理這些攻擊,以及減少帶來的影響。web 應用安全現狀方面,當前重點行業 如政務 教育 事...
Web應用安全測試
什麼是測試 經歷測試過程 給出檢驗或者證明 分配一項基於試驗的評估。安全測試則是按照一組標準比較系統或者應用程式安全狀態的過程。為什麼要測試 驗證是否達標,是否存在質量問題。另外 a.web安全漏洞嚴重,佔整個漏洞威脅的80 以上 一不留神就會造成經濟財產損失乃至觸犯法律 b.可以帶來不錯的工作,額...