Web漏洞防護(hù)

定　價(jià)：￥79.00

作　者：	李建熠著
出版社：	人民郵電出版社
叢編項(xiàng)：
標(biāo)　簽：	暫缺

購(gòu)買(mǎi)這本書(shū)可以去

ISBN：	9787115510167	出版時(shí)間：	2019-05-01	包裝：	平裝
開(kāi)本：	16開(kāi)	頁(yè)數(shù)：	279	字?jǐn)?shù)：

內(nèi)容簡(jiǎn)介

　　本書(shū)以O(shè)WASP Top 10 2017 中涉及的漏洞為基礎(chǔ)，系統(tǒng)闡述了常見(jiàn)的Web 漏洞的防護(hù)方式。書(shū)中首先介紹了漏洞演示平臺(tái)及一些常用的安全防護(hù)工具，然后對(duì)OWASP Top 10 2017 中涉及的漏洞防護(hù)方式及防護(hù)工具進(jìn)行了說(shuō)明，接著介紹了如何通過(guò)HTTP 響應(yīng)頭提升Web 客戶(hù)端自身對(duì)漏洞的防護(hù)能力，最后討論了在無(wú)法更改應(yīng)用程序源碼的情況下，如何對(duì)應(yīng)用進(jìn)行外層的WAF 防護(hù)。

作者簡(jiǎn)介

　　李建熠，畢業(yè)于北京郵電大學(xué)，安全從業(yè)者及愛(ài)好者，曾任職于美團(tuán)點(diǎn)評(píng)，參與過(guò)美團(tuán)點(diǎn)評(píng)安全從0到1的構(gòu)建。

圖書(shū)目錄

第 1 章使用工具介紹 1
1．1　WebGoat　1
1．2　ESAPI　5
1．3　Apache Shiro　8
1．3．1　Apache Shiro 的特征　8
1．3．2　Apache Shiro 的核心概念　9
1．3．3　與Spring 集成　12
1．4　Spring Security　15
1．5　OWASP Top 10　17
第　2 章 SQL 注入防護(hù)　19
2．1　SQL 注入介紹　19
2．2　SQL 注入分類(lèi)　20
2．2．1　按參數(shù)類(lèi)型分類(lèi)　20
2．2．2　按注入位置分類(lèi)　20
2．2．3　按結(jié)果反饋分類(lèi)　20
2．2．4　其他類(lèi)型　21
2．3　實(shí)例講解　21
2．3．1　字符型注入　22
2．3．2　數(shù)字型注入　22
2．3．3　聯(lián)合查詢(xún)注入及堆查詢(xún)注入　23
2．3．4　盲注入　24
2．4　檢測(cè)SQL 注入　25
2．5　防護(hù)方案　26
2．5．1　漏洞實(shí)例　27
2．5．2　預(yù)編譯與參數(shù)綁定　28
2．5．3　白名單驗(yàn)證　29
2．5．4　輸入編碼　30
2．5．5　MyBatis 安全使用　32
2．6　小結(jié)．　33
第　3 章其他注入防護(hù)　34
3．1　命令注入防護(hù)　34
3．2　XML 注入防護(hù)　34
3．3　XPATH 注入防護(hù)　38
3．4　LDAP 注入防護(hù)　39
3．5　JPA 注入防護(hù)　40
3．6　小結(jié)　43
第4　章認(rèn)證防護(hù)　44
4．1　認(rèn)證缺陷　44
4．2　認(rèn)證防護(hù)　44
4．2．1　用戶(hù)名及密碼設(shè)置　45
4．2．2　忘記密碼　46
4．2．3　憑證存儲(chǔ)　47
4．2．4　密碼失竊　48
4．2．5　其他安全防護(hù)　49
4．3　會(huì)話(huà)管理安全　50
4．3．1　會(huì)話(huà)ID 的屬性　51
4．3．2　會(huì)話(huà)管理的實(shí)現(xiàn)　52
4．3．3　Cookie　53
4．3．4　會(huì)話(huà)ID 的注意事項(xiàng)　54
4．3．5　會(huì)話(huà)過(guò)期　55
4．3．6　會(huì)話(huà)管理及其他客戶(hù)端防御　57
4．3．7　會(huì)話(huà)攻擊檢測(cè)　58
4．3．8　會(huì)話(huà)管理的WAF 保護(hù)　59
4．4　防護(hù)工具　59
4．4．1　Argon2 密碼散列　59
4．4．2　Apache Shiro 認(rèn)證　63
4．4．3　Apache Shiro 會(huì)話(huà)管理　65
4．5　小結(jié)　68
第　5 章數(shù)據(jù)泄露防護(hù)　69
5．1　傳輸層安全防護(hù)　69
5．1．1　SSL/TLS 注意事項(xiàng)　70
5．1．2　其他注意事項(xiàng)　75
5．1．3　傳輸層安全檢測(cè)工具　75
5．2　數(shù)據(jù)加密存儲(chǔ)　77
5．2．1　密碼學(xué)簡(jiǎn)史　78
5．2．2　加密模式及填充模式　83
5．2．3　雜湊函數(shù)及數(shù)據(jù)完整性保護(hù)　88
5．2．4　加解密使用規(guī)范　90
5．3　安全數(shù)據(jù)共享　104
5．3．1　數(shù)據(jù)倉(cāng)庫(kù)的構(gòu)建　104
5．3．2　數(shù)據(jù)倉(cāng)庫(kù)的保護(hù)　105
5．3．3　數(shù)據(jù)倉(cāng)庫(kù)的管理　106
5．4　小結(jié)　106
第6　章 XXE 防護(hù)　107
6．1　XML 介紹　107
6．2　XXE 攻擊方式及實(shí)例介紹　109
6．2．1　內(nèi)部XXE 實(shí)例　110
6．2．2　外部XXE 實(shí)例　111
6．3　檢測(cè)XXE　112
6．4　XXE 防護(hù)　113
6．4．1　DOM　113
6．4．2　SAX　116
6．4．3　其他　117
6．5　小結(jié)　117
第7　章訪(fǎng)問(wèn)控制防護(hù)　118
7．1　訪(fǎng)問(wèn)控制的分類(lèi)　118
7．2　常見(jiàn)問(wèn)題　119
7．2．1　不安全對(duì)象的直接引用　119
7．2．2　功能級(jí)訪(fǎng)問(wèn)控制缺失　120
7．2．3　跨域資源共享的錯(cuò)誤配置　121
7．3　工具防護(hù)　123
7．3．1　Apache Shiro 訪(fǎng)問(wèn)控制　123
7．3．2　ESAPI 隨機(jī)化對(duì)象引用　126
7．3．3　Spring Security CORS 配置　127
7．4　小結(jié)　128
第8　章安全配置　129
第　9 章 XSS 防護(hù)　131
9．1　XSS 分類(lèi)　131
9．1．1　反射型XSS　132
9．1．2　DOM 型XSS　134
9．1．3　存儲(chǔ)型XSS　136
9．1．4　其他分類(lèi)　137
9．2　檢測(cè)XSS　138
9．3　XSS 防護(hù)方法　139
9．3．1　反射型XSS 和存儲(chǔ)型XSS 的防護(hù)　140
9．3．2　DOM 型XSS 防護(hù)　143
9．4　防護(hù)工具　144
9．4．1　OWASP Java Encoder　144
9．4．2　OWASP Java HTML Sanitizer　149
9．4．3　AnjularJS SCE　158
9．4．4　ESAPI4JS　160
9．4．5　jQuery Encoder　164
9．5　小結(jié)　167
第　10 章反序列化漏洞防護(hù)　168
10．1　Java 的序列化與反序列化　168
10．1．1　序列化　168
10．1．2　反序列化　169
10．1．3　自定義序列化與反序列化　170
10．1．4　Java 反序列化漏洞　171
10．1．5　其他反序列化漏洞　175
10．2　檢測(cè)反序列化漏洞　178
10．3　反序列化漏洞的防護(hù)　179
10．4　防護(hù)工具　180
10．4．1　自定義工具　180
10．4．2　SerialKiller　181
10．4．3　contra-rO0　183
10．5　小結(jié)　185
第　11 章組件缺陷的檢測(cè)　186
11．1　潛在缺陷　186
11．2　檢測(cè)缺陷組件　186
11．2．1　Retire．js　187
11．2．2　OWASP Dependency Check　190
11．2．3　Sonatype AHC　193
11．3　小結(jié)　196
第　12 章跨站點(diǎn)請(qǐng)求偽造防護(hù)　197
12．1　CSRF 分類(lèi)　197
12．1．1　GET 型CSRF　197
12．1．2　POST 型CSRF　198
12．1．3　CSRF 實(shí)例　198
12．1．4　CSRF 結(jié)合XSS　200
12．2　檢測(cè)CSRF　202
12．3　CSRF 防護(hù)　202
12．3．1　不完全的防護(hù)方式　203
12．3．2　正確的防護(hù)方式　204
12．4　防護(hù)工具　209
12．4．1　自定義防護(hù)工具　210
12．4．2　Spring Security 防護(hù)CSRF　215
12．4．3　前后端分離　216
12．5　小結(jié)　217
第　13 章輸入驗(yàn)證　218
13．1　輸入驗(yàn)證的方式　218
13．2　ESAPI 輸入驗(yàn)證　218
第　14 章 HTTP 安全響應(yīng)頭　222
14．1　安全響應(yīng)頭介紹　222
14．1．1　HSTS　222
14．1．2　HPKP　223
14．1．3　X-Frame-Options　223
14．1．4　X-XSS-Protection　224
14．1．5　X-Content-Type-Options　224
14．1．6　Content-Security-Policy　224
14．1．7　Referrer-Policy　226
14．1．8　Expect-CT　226
14．1．9　X-Permitted-Cross-Domain-Policies　226
14．1．10　Cache-Control　228
14．2　HTTP 安全頭檢測(cè)　228
14．2．1　命令行檢測(cè)工具　228
14．2．2　在線(xiàn)檢測(cè)工具　229
14．2．3　插件檢測(cè)工具　230
14．3　安全響應(yīng)頭設(shè)置建議　231
14．3．1　知名網(wǎng)站實(shí)例　231
14．3．2　設(shè)置建議　233
14．4　配置安全響應(yīng)頭　233
14．4．1　Spring Security 統(tǒng)一配置　233
14．4．2　http_hardening 配置安全響應(yīng)頭　237
14．4．3　服務(wù)器配置文件配置安全響應(yīng)頭　238
14．5　小結(jié)　238
第　15 章 WAF 防護(hù)　239
15．1　ModSecurity　239
15．1．1　編譯與導(dǎo)入　240
15．1．2　配置ModSecurity　241
15．1．3　ModSecurity 測(cè)試　244
15．2　規(guī)則解析　245
15．2．1　指令　246
15．2．2　處理階段　247
15．2．3　變量　247
15．2．4　轉(zhuǎn)換函數(shù)　249
15．2．5　行為　250
15．2．6　操作符　253
15．3　OWASP ModSecurity CRS　255
15．3．1　CRS 導(dǎo)入　255
15．3．2　CRS 規(guī)則文件　257
15．4　防護(hù)測(cè)試　259
15．4．1　DVWA 環(huán)境搭建　259
15．4．2　SQL 注入測(cè)試　261
15．4．3　命令注入測(cè)試　264
15．4．4　XSS 測(cè)試　267
15．4．5　文件包含測(cè)試　272
15．4．6　文件上傳測(cè)試　274
15．5　小結(jié)　277
參考文獻(xiàn)　278