-
作者:
吴翰清,叶敏
-
出版社:
电子工业出版社
-
ISBN:
9787121459672
-
出版时间:
2023-08
-
版次:
2
-
装帧:
平装
-
开本:
16
-
页数:
464页
-
字数:
607.8千字
-
作者:
吴翰清,叶敏
-
出版社:
电子工业出版社
-
ISBN:
9787121459672
-
出版时间:
2023-08
-
版次:
2
-
装帧:
平装
-
开本:
16
-
页数:
464页
-
字数:
607.8千字
售价
¥
58.30
5.4折
定价
¥108.00
品相
全新品相描述
上书时间2024-04-28
卖家超过10天未登录
手机购买
![]()
微信扫码访问
-
-
商品描述:
-
主编:
" 传奇白帽子吴翰清成名作再续新篇,云安全名家叶敏实力加持。
重新打造完整体系与案例,增加ml|deveco等新话题。
本书前版被美国斯普林格出版社隆重引进在全球发行英文版版。
阿里云奠基人王坚||冯大辉|知道创宇创始人|乌云创始人均力荐。"
目录:
1 白帽子安全观 1
1.1 web安全简史 1
1.1.1 黑客技术发展历程 1
1.1.2 web安全的兴起 4
1.2 黑帽子,白帽子 5
1.3 返璞归真,揭秘安全的本质 6
1.4 破除迷信,没有银弹 9
1.5 安全三要素 10
1.6 如何实施安全评估 11
1.6.1 资产等级划分 11
1.6.2 威胁建模 13
1.6.3 风险分析 14
1.6.4 设计安全方案 15
1.6.5 态势感知 16
1.7 安全方案的设计原则 18
1.7.1 “默认安全”原则 18
1.7.2 “纵深御”原则 19
1.7.3 “数据与代码分离”原则 21
1.7.4 “”原则 23
1.8 小结 24
2 协议与web应用 26
2.1 协议 26
2.1.1 协议简介 26
2.1.2 请求 26
2.1.3 响应 31
2.1.4 /2和/3 32
2.1.5 websocket 34
2.2 web服务器 35
2.3 web页面 36
2.3.1 文档对象模型(dom) 36
2.3.2 javascript 36
2.4 小结 37
3 浏览器安全 38
3.1 同源策略 38
3.2 浏览器沙箱 39
3.3 xss保护 42
3.4 隐私策略 43
3.5 浏览器扩展 48
3.6 高展的浏览器安全 49
3.7 小结 51
4 cookie和会话安全 53
4.1 cookie和会话简介 53
4.2 方cookie和第三方cookie 54
4.3 cookie属 55
4.3.1 domain属 55
4.3.2 path属 56
4.3.3 expires属 57
4.3.4 only属 57
4.3.5 secure属 58
4.3.6 samesite属 59
4.3.7 sameparty属 61
4.4 安全使用cookie 62
4.4.1 正确设置属值 62
4.4.2 cookie前缀 62
4.4.3 保密和完整 63
4.5 会话安全 64
4.5.1 会话管理 64
4.5.2 固定会话攻击 66
4.6 小结 67
5 深入同源策略 68
5.1 同源策略详解 68
5.2 跨域dom互访问 72
5.2.1 子域名应用互访问 72
5.2.2 通过window.name跨域 74
5.2.3 window.tmessage方案 74
5.3 跨域访问服务端 76
5.3.1 jsonp方案 76
5.3.2 跨域资源共享 77
5.3.3 私有网络访问 80
5.3.4 websocket跨域访问 82
5.3.5 其他跨域访问 82
5.4 小结 82
6 跨站脚本攻击 84
6.1 xss攻击简介 84
6.2 xss攻击类型 86
6.2.1 反型xss攻击 86
6.2.2 存储型xss攻击 87
6.2.3 基于dom的xss攻击 88
6.2.4 self-xss攻击 89
6.3 xss攻击 90
6.3.1 初探xss payload 90
6.3.2 强大的xss payload 91
6.4 xss蠕虫 94
6.5 xss攻击 96
6.5.1 基本的变形 96
6.5.2 事件处理程序 96
6.5.3 javascript伪协议 97
6.5.4 编码绕过 98
6.5.5 绕过长度限z 99
6.5.6 使用<base>标签 101
6.5.7 window.name的妙用 102
6.6 javascript框架 102
6.6.1 jquery 103
6.6.2 vue.js 103
6.6.3 angularjs 103
6.7 xss攻击的御 104
6.7.1 only 105
6.7.2 输入过滤 105
6.7.3 输出转义 107
6.8 关于xss filter 122
6.9 小结 124
7 跨站请求伪造(csrf) 125
7.1 csrf简介 125
7.2 csrf详解 126
7.2.1 csrf的本质 126
7.2.2 get和t请求 127
7.2.3 csrf蠕虫 128
7.3 御csrf攻击 130
7.3.1 验证码 130
7.3.2 referer校验 130
7.3.3 cookie的samesite属 131
7.4 anti-csrf token 131
7.4.1 131
7.4.2 使用原则 133
7.5 小结 135
8 点击劫持 136
8.1 点击劫持简介 136
8.2 图片覆盖攻击 139
8.3 拖拽劫持与数据取 140
8.4 其他劫持方式 142
8.5 御点击劫持 143
8.5.1 frame busting 143
8.5.2 cookie的samesite属 144
8.5.3 x-frame-options 144
8.5.4 csp: frame-ancestors 145
8.6 小结 145
9 移动web安全 146
9.1 webview简介 146
9.2 webview对外暴露 147
9.3 universal xss 148
9.4 webview跨域访问 148
9.5 与本地代码交互 150
9.6 其他安全问题 151
9.7 小结 151
10 注入攻击 152
10.1 sql注入 152
10.1.1 union注入 153
10.1.2 堆叠注入 153
10.1.3 报错注入 154
10.2 盲注 154
10.2.1 布尔型盲注 154
10.2.2 延时盲注 155
10.2.3 带外数据注入 157
10.3 二次注入 158
10.4 sql注入 158
10.4.1 常见攻击 158
10.4.2 命令执行 161
10.4.3 攻击存储过程 163
10.4.4 编码问题 164
10.4.5 sql column truncation 166
10.5 御sql注入 166
10.5.1 使用预编译语句 167
10.5.2 使用存储过程 168
10.5.3 参数校验 169
10.5.4 使用安全函数 169
10.6 其他注入攻击 171
10.6.1 nosql注入 171
10.6.2 xml注入 172
10.6.3 代码注入 175
10.6.4 crlf注入 183
10.6.5 ldap注入 184
10.7 小结 185
11 文件作 186
11.1 上传和下载 186
11.1.1 上传和下载漏洞概述 186
11.1.2 路径解析漏洞 188
11.1.3 文件上传与下载的安全 189
11.2 对象存储的安全 190
11.3 路径穿越(path traversal) 192
11.4 文件包含(file inclusion) 194
11.5 小结 196
12 服务端请求伪造(ssrf) 197
12.1 ssrf攻击简介 197
12.2 ssrf漏洞成因 199
12.3 ssrf攻击 199
12.3.1 攻击内网应用 199
12.3.2 端扫描 200
12.3.3 攻击非web应用 201
12.3.4 绕过 203
12.4 ssrf御方案 204
12.5 小结 205
13 身份认证 206
13.1 概述 206
13.2 密码的安全 207
13.3 身份认证的方式 210
13.3.1 认证 210
13.3.2 表单登录 213
13.3.3 客户端 214
13.3.4 一次密码 214
13.3.5 多因素认证 215
13.3.6 fido 215
13.4 暴力破解和撞库 217
13.5 单点登录 217
13.5.1 oauth 218
13.5.2 oidc 221
13.5.3 saml 221
13.5.4 cas 223
13.6 小结 224
14 访问控制 225
14.1 概述 225
14.2 访问控制模型 227
14.2.1 自主访问控制 227
14.2.2 基于角的访问控制 228
14.2.3 基于属的访问控制 229
14.3 越权访问漏洞 230
14.3.1 垂直越权访问 230
14.3.2 水越权访问 231
14.4 零信任模型 233
14.4.1 基本原则 234
14.4.2 实现方案 236
14.5 小结 237
15 密码算法与数 239
15.1 加密、编码和哈希 239
15.2 安全使用加密算法 240
15.2.1 流加密算法 240
15.2.2 分组加密算法 242
15.2.3 非对称加密算法 245
15.3 分组填充和pad oracle攻击 246
15.4 安全使用哈希函数 255
15.5 关于彩虹表 257
15.6 安全使用数 259
15.6.1 伪数生成器 260
15.6.2 弱伪数 261
15.6.3 关于数使用的建议 262
15.7 密钥管理 263
15.8 信息隐藏 265
15.9 s协议 267
15.9.1 ssl和tls协议的发展 268
15.9.2 严格传输安全(hsts) 274
15.9.3 公钥固定 276
15.9.4 透明度(certificate transparency) 277
15.10 小结 277
16 api安全 279
16.1 api安全概述 279
16.2 常见api架构 280
16.2.1 soap 280
16.2.2 rest 280
16.2.3 graphql 282
16.3 openapi规范 284
16.4 常见的api漏洞 285
16.5 api安全实践 289
16.5.1 api发现 289
16.5.2 生命周期管理 290
16.5.3 数据安全 290
16.5.4 攻击护 291
16.5.5 志和审计 291
16.5.6 威胁检测 291
16.5.7 使用api网关 292
16.5.8 微服务安全 292
16.6 小结 293
17 业务逻辑安全 294
17.1 账号安全 294
17.1.1 注册账号 294
17.1.2 登录账号 296
17.1.3 t出账号 297
17.1.4 找回密码 298
17.2 图形验证码 299
17.2.1 验证逻辑 299
17.2.2 强度 300
17.3 并发场景 301
17.3.1 条件竞争 301
17.3.2 临时数据 302
17.3.3 支付逻辑缺陷 303
17.4 小结 304
18 开发语言的安全 305
18.1 php安全 305
18.1.1 变量覆盖 305
18.1.2 空字节问题 306
18.1.3 弱类型 307
18.1.4 反序列化 307
18.1.5 安全配置 308
18.2 java安全 309
18.2.1 security manager 309
18.2.2 反 310
18.2.3 反序列化 312
18.3 python安全 316
18.3.1 反序列化 316
18.3.2 代码保护 317
18.4 javascript安全 317
18.4.1 第三方javascript资源 317
18.4.2 javascript框架 318
18.5 node.js安全 319
18.6 小结 319
19 服务端安全配置 321
19.1 “小权限”原则 321
19.2 web服务器安全 323
19.2.1 nginx安全 323
19.2.2 apache server安全 326
19.3 数据库安全 327
19.4 web容器安全 329
19.4.1 tomcat远程代码执行 330
19.4.2 weblogic远程代码执行 331
19.5 web中间件安全 332
19.6 志与错误信息 334
19.6.1 志的记录和留存 335
19.6.2 敏感信息处理 335
19.6.3 错误处理 336
19.7 小结 337
20 代理和cdn安全 338
20.1 正向代理 338
20.2 反向代理 340
20.3 获取真实ip地址 342
20.4 缓存投毒 343
20.5 请求夹带攻击 345
20.6 rangeamp攻击 348
20.7 域前置(domain fronting) 349
20.8 小结 352
21 应用层拒绝服务攻击 353
21.1 ddos简介 353
21.2 应用层ddos攻击 357
21.2.1 cc攻击 357
21.2.2 限z请求频率 359
21.2.3 道高一尺,魔高一丈 360
21.3 御应用层ddos攻击 362
21.3.1 ip威胁情报库 362
21.3.2 javascript校验 363
21.3.3 客户端指纹 364
21.3.4 人机校验 366
21.3.5 访问行为识别 367
21.4 资源耗尽型攻击 367
21.4.1 slowloris攻击 367
21.4.2 t dos 369
21.4.3 redos 370
21.4.4 hashdos 373
21.5 小结 374
22 爬虫对抗 375
22.1 揭秘爬虫 375
22.1.1 爬虫的发展 376
22.1.2 行业挑战 377
22.2 反爬虫方案 378
22.2.1 客户端特征 378
22.2.2 行为分析 379
22.2.3 图形验证码 381
22.2.4 ip信誉 381
22.2.5 代码保护 382
22.2.6 数据保护 384
22.3 爬虫对抗 385
22.4 小结 386
23 安全检测和御 387
23.1 web应用火墙(waf) 387
23.1.1 参数解析 389
23.1.2 攻击检测 393
23.1.3 志分析 395
23.2 rasp 396
23.3 web后门检测 401
23.4 小结 405
24 机器学在安全领域的应用 406
24.1 机器学概述 406
24.1.1 机器学模型 407
24.1.2 模型指标 410
24.2 攻击检测 411
24.2.1 web攻击检测 411
24.2.2 识别 414
24.3 异常行为检测 415
24.4 自动化攻击 417
24.4.1 识别验证码 417
24.4.2 破译密码 418
24.5 攻击机器学模型 420
24.5.1 对抗攻击 420
24.5.2 信息取 423
24.5.3 模型投毒 423
24.6 小结 424
25 devseco 426
25.1 为什么需要devseco 426
25.2 devseco原则 429
25.2.1 安全责任共担 429
25.2.2 安全培训 430
25.2.3 安全左移 430
25.2.4 默认安全 431
25.2.5 自动化 431
25.3 devseco工具链 431
25.3.1 需求分析与设计 432
25.3.2 软件成分分析 433
25.3.3 安全测试 435
25.3.4 容器安全 439
25.3.5 代码保护 439
25.3.6 威胁检测和响应 440
25.4 小结 441
内容简介:
在当今的数字化时代,数据安全和个人隐私面临着q所未有的挑战,各种攻击技术层出不穷,web安全依然是主要的攻战场。近10年与web相关的技术飞展,本书第2版更新了前沿安全技术相关的内容,不仅从攻的角度讲解了web安全的各个方面,还介绍了安全开发、安全产品设计、企业安全建设等方面的z佳实践。web开发者、安全专业人员以及对web安全感兴趣的读者都可将本书作为参指南。
作者简介:
"吴翰清
于西安交通大学班。青联委员,浙江省青联。清华大学创新领军工程博士(人工智能方向,在读)。
2005年加入阿里,创建了阿里巴巴、、的安全体系,也是阿里云初创团队成员,是阿里安全从无到有、从有到强的亲历者。
2017年开始致力于城市大脑的研究与建设,专注于构建机器智能系统。
2017年入选“mit全球青年科技创新人才榜”是中国互联网安全领域入选tr35的人。
2019年入选大数据文摘评选的“30位新生代数字经济人才”。
2019年当选中国青年科技工作者协会第六届理事。
公益项目“计算图书馆”发起人。目前正致力于人工智能的研究和创业。
叶敏
在安全领域从业超过15年,在网络安全攻和云安全产品建设方面拥有丰富的经验。曾为阿里云安全专家,担任阿里云安全产品攻
负责人,带领团队打造了ddo御、waf、安骑士、态势感知等多个云安全产品。现为杭州亿格云科技联合创始人兼首席安全研究员。"
![]()
孔网啦啦啦啦啦纺织女工火锅店第三课
开播时间:09月02日 10:30
即将开播,去预约
直播中,去观看
占位居中
