![《Web之困:现代Web应用安全指南》[46M]百度网盘|pdf下载|亲测有效](/365baixing/uploads/s0309/23b372ee5e8f2295.jpg "Web之困:现代Web应用安全指南")
Web之困:现代Web应用安全指南 pdf下载
8.99¥
10.99¥
内容简介
本篇主要提供Web之困:现代Web应用安全指南电子书的pdf版本下载,本电子书下载方式为百度网盘方式,点击以上按钮下单完成后即会通过邮件和网页的方式发货,有问题请联系邮箱ebook666@outlook.com
| 书名: | Web之困:现代Web应用安全指南[图书]|3768633 |
| 图书定价: | 69元 |
| 图书作者: | (美)Michal Zalewski |
| 出版社: | 机械工业出版社 |
| 出版日期: | 2013/10/1 0:00:00 |
| ISBN号: | 9787111439462 |
| 开本: | 16开 |
| 页数: | 265 |
| 版次: | 1-1 |
| 作者简介 |
| Michal Zalewski,国际yi流信息安全技术专家,被誉为IT安全领域最有影响力的11位黑客之一。曾发现过数以百计的网络安全漏洞,并发表了多篇具有重大影响的研究论文。对现代Web浏览器有非常深入的研究,目前就职于Google,基于其在Web安全方面的丰富经验帮助Google增强包括Chrome浏览器在内的一系列产品的安全性。此外,他还是一位开源软件贡献者,是著名开源软件p0f、skipfish、ratproxy等的开发者。朱筱丹,毕业于华南理工大学无线电系,某信息安全公司工程师。在安全技术领域摸爬滚打多年,热爱读书与美食。殷钧钧,资深安全架构师,知名白帽子,Web开发者 |
| 内容简介 |
| 《Web之困:现代Web应用安全指南》在Web安全领域有“圣经”的美誉,在世界范围内被安全工作者和Web从业人员广为称道,由来自Google Chrome浏览器团队的世界**黑客、国际yi流安全专家撰写,是目前**深度探索现代Web浏览器安全技术的专著。本书从浏览器设计的角度切入,以探讨浏览器的各主要特性和由此衍生出来的各种安全相关问题为主线,深入剖析了现代Web浏览器的技术原理、安全机制和设计上的安全缺陷,为Web安全工作者和开发工程师们应对各种基于浏览器的安全隐患提供了应对措施。 《Web之困:现代Web应用安全指南》开篇回顾了Web的发展历程和安全风险的演化;第一部分解剖了现代浏览器的工作原理,包括URL、HTTP协议、HTML语言、CSS、文档格式、浏览器插件等内容;第二部分从浏览器的设计角度深入分析了各种现代Web浏览器(Firefox、Chrome、IE等)所引入的重点安全机制,例如同源策略、源的继承、窗口和框架的交互、安全边界、内容识别、应对恶意脚本、外围的网站特权等,并分析了这些机制存在的安全缺陷,同时为Web应用开发者提供了如何避免攻击和隐私泄露的应对措施;第三部分对浏览器安全机制的未来趋势进行了展望,包括新的浏览器特性与安全展望、其他值得注意的浏览器、常见的Web安全漏洞等。 |
| 目录 |
《Web之困:现代Web应用安全指南》 译者序 前 言 第1章 Web应用安全 / 1 1.1 信息安全速览 / 1 1.1.1 正统之道的尴尬 / 2 1.1.2 进入风险管理 / 4 1.1.3 分类学的启发 / 5 1.1.4 实际的解决之道 / 6 1.2 Web的简明历史 / 7 1.2.1 史前时期的故事: 1945~1994年 / 8 1.2.2 第一次浏览器大战:1995~1999年 / 10 1.2.3 平淡期:2000~2003年 / 11 1.2.4 Web 2.0 和第二次浏览器大战:2004年之后 / 12 1.3 风险的演化 / 13 1.3.1 用户作为安全风险的一个环节 / 14 1.3.2 难以隔离的Web运行环境 / 14 1.3.3 缺乏统一的格局 / 15 1.3.4 跨浏览器交互:失败的协同 / 16 1.3.5 客户端和服务器端界限的日益模糊 / 17 第一部分 对Web的解剖分析 第2章 一切从URL开始 / 20 2.1 URL的结构 / 21 2.1.1 协议名称 / 21 2.1.2 层级URL的标记符号 / 22 2.1.3 访问资源的身份验证 / 22 2.1.4 服务器地址 / 23 2.1.5 服务器端口 / 24 2.1.6 层级的文件路径 / 24 2.1.7 查询字符串 / 25 2.1.8 片段ID / 25 2.1.9 把所有的东西整合起来 / 26 2.2 保留字符和百分号编码 / 28 2.3 常见的 URL协议及功能 / 33 2.3.1 浏览器本身支持、与获取文档相关的协议 / 33 2.3.2 由第三方应用和插件支持的协议 / 33 2.3.3 未封装的伪协议 / 34 2.3.4 封装过的伪协议 / 34 2.3.5 关于协议检测部分的结语 / 35 2.4 相对URL的解析 / 35 2.5 安全工程速查表 / 37 第3章 HTTP协议 / 38 3.1 HTTP 基本语法 / 39 3.1.1 支持HTTP/0.9的恶果 / 40 3.1.2 换行处理带来的各种混乱 / 41 3.1.3 经过代理的HTTP请求 / 42 3.1.4 对重复或有冲突的头域的解析 / 44 3.1.5 以分号作分隔符的头域值 / 45 3.1.6 头域里的字符集和编码策略 / 46 3.1.7 Referer头域的表现 / 48 3.2 HTTP 请求类型 / 48 3.2.1 GET / 49 3.2.2 POST / 49 3.2.3 HEAD / 49 3.2.4 OPTIONS / 50 3.2.5 PUT / 50 3.2.6 DELETE / 50 3.2.7 TRACE / 50 3.2.8 CONNECT / 50 3.2.9 其他 HTTP 方法 / 51 3.3 服务器响应代码 / 51 3.4 持续会话 / 53 3.5 分段数据传输 / 55 3.6 缓存机制 / 55 3.7 HTTP Cookie 语义 / 57 3.8 HTTP 认证 / 60 3.9 协议级别的加密和客户端证书 / 61 3.9.1 扩展验证型证书 / 62 3.9.2 出错处理的规则 / 63 3.10 安全工程速查表 / 64 第4章 HTML语言 / 65 4.1 HTML文档背后的基本概念 / 66 4.1.1 文档解析模式 / 67 4.1.2 语义之争 / 68 4.2 理解HTML解析器的行为 / 69 4.2.1 多重标签之间的交互 / 70 4.2.2 显式和隐式的条件判断 / 71 4.2.3 HTML解析的生存建议 / 71 4.3 HTML实体编码 / 72 4.4 HTTP/HTML 交互语义 / 73 4.5 超链接和内容包含 / 75 4.5.1 单纯的链接 / 75 4.5.2 表单和表单触发的请求 / 75 4.5.3 框架 / 77 4.5.4 特定类型的内容包含 / 78 4.5.5 关于跨站请求伪造 / 80 4.6 安全工程速查表 / 81 第5章 层叠样式表 / 83 5.1 CSS基本语法 / 84 5.1.1 属性定义 / 85 5.1.2 @ 指令和XBL绑定 / 85 5.1.3 与HTML的交互 / 86 5.2 重新同步的风险 / 86 5.3 字符编码 / 87 5.4 安全工程速查表 / 89 第6章 浏览器端脚本 / 90 6.1 的基本特点 / 91 6.1.1 脚本处理模型 / 92 6.1.2 执行顺序的控制 / 95 6.1.3 代码和对象检视功能 / 96 6.1.4 修改运行环境 / 97 6.1.5 对象表示法(JSON)和其他数据序列化 / 99 6.1.6 E4X和其他语法扩展 / 101 6.2 标准对象层级 / 102 6.2.1 文档对象模型 / 104 6.2.2 对其他文档的访问 / 106 6.3 脚本字符编码 / 107 6.4 代码包含模式和嵌入风险 / 108 6.5 活死人:Visual Basic / 109 6.6 安全工程速查表 / 110 第7章 非HTML类型文档 / 112 7.1 纯文本文件 / 112 7.2 位图图片 / 113 7.3 音频与视频 / 114 7.4 各种XML文件 / 114 7.4.1 常规XML视图效果 / 115 7.4.2 可缩放向量图片 / 116 7.4.3 数学标记语言 / 117 7.4.4 XML用户界面语言 / 117 7.4.5 无线标记语言 / 118 7.4.6 RSS 和 Atom订阅源 / 118 7.5 关于不可显示的文件类型 / 119 7.6 安全工程速查表 / 120 第8章 浏览器插件产生的内容 / 121 8.1 对插件的调用 / 122 8.2 文档显示帮助程序 / 124 8.3 插件的各种应用框架 / 125 8.3.1 Adobe Flash / 126 8.3.2 Microsoft Silverlight / 128 8.3.3 Sun Java / 129 8.3.4 XML Browser Applications / 129 8.4 ActiveX Controls / 130 8.5 其他插件的情况 / 131 8.6 安全工程速查表 / 132 第二部分 浏览器安全特性 第9章 内容隔离逻辑 / 134 9.1 DOM的同源策略 / 135 9.1.1 document.domain / 136 9.1.2 postMessage(...) / 137 9.1.3 与浏览器身份验证的交互 / 138 9.2 XMLHttpRequest的同源策略 / 139 9.3 Web Storage 的同源策略 / 141 9.4 Cookies 的安全策略 / 142 9.4.1 Cookie对同源策略的影响 / 144 9.4.2 域名限制带来的问题 / 145 9.4.3 localhost带来的非一般风险 / 145 9.4.4 Cookie与“合法”DNS劫持 / 146 9.5 插件的安全规则 / 147 9.5.1 Adobe Flash / 148 9.5.2 Microsoft Silverlight / 151 9.5.3 Java / 151 9.6 如何处理格式含糊或意想不到的源信息 / 152 9.6.1 IP 地址 / 153 9.6.2 主机名里有额外的点号 / 153 9.6.3 不完整的主机名 / 153 9.6.4 本地文件 / 154 9.6.5 伪URL / 155 9.6.6 浏览器扩展和用户界面 / 155 9.7 源的其他应用 / 156 9.8 安全工程速查表 / 157 第10章 源的继承 / 158 10.1 about:blank页面的源继承 / 158 10.2 data: URL的继承 / 160 10.3 和vbscript: URL对源的继承 / 162 10.4 关于受限伪URL的一些补充 / 163 10.5 安全工程速查表 / 164 第11章 同源策略之外的世界 / 165 11.1 窗口和框架的交互 / 166 11.1.1 改变现有页面的地址 / 166 11.1.2 不请自来的框架 / 170 11.2 跨域内容包含 / 172 11.3 与隐私相关的副作用 / 175 11.4 其他的同源漏洞和应用 / 177 11.5 安全工程速查表 / 178 第12章 其他的安全边界 / 179 12.1 跳转到敏感协议 / 179 12.2 访问内部网络 / 180 12.3 禁用的端口 / 182 12.4 对第三方Cookie的限制 / 184 12.5 安全工程速查表 / 186 第13章 内容识别机制 / 187 13.1 文档类型检测的逻辑 / 188 13.1.1 格式错误的MIME Type写法 / 189 13.1.2 特殊的 Content-Type 值 / 189 13.1.3 无法识别的Content Type类型 / 191 13.1.4 防御性使用Content-Disposition / 193 13.1.5 子资源的内容设置 / 194 13.1.6 文件下载和其他非HTTP内容 / 194 13.2 字符集处理 / 196 13.2.1 字节顺序标记 / 198 13.2.2 字符集继承和覆... |
![《cad教程从入门到精通零基础自学AutoCAD室内设计制图建筑工程机械绘图》[51M]百度网盘|pdf下载|亲测有效](/365baixing/uploads/s0309/6f488b17ce03e563.jpg)
![《电子商务系统性能智能优化与评价》[86M]百度网盘|pdf下载|亲测有效](/365baixing/uploads/s0309/5705d1b3N907467ff.jpg)
![《密码学在信息系统安全中的研究及应用》[55M]百度网盘|pdf下载|亲测有效](/365baixing/uploads/s0309/5a6af65fN51ea7124.jpg)
![《计算机支持的学习:协同知识建构与可视化视野》[88M]百度网盘|pdf下载|亲测有效](/365baixing/uploads/s0309/5829726bN91575732.jpg)