|
-- 會員 / 註冊 --
|
|
|
|
Web漏洞防護 ( 簡體 字) |
作者:李建熠 | 類別:1. -> 安全 -> 網路安全 -> 駭客攻擊與入侵 |
譯者: |
出版社:人民郵電出版社 | 3dWoo書號: 51106 詢問書籍請說出此書號!【有庫存】 NT售價: 395 元 |
出版日:5/1/2019 |
頁數:279 |
光碟數:0 |
|
站長推薦: |
印刷:黑白印刷 | 語系: ( 簡體 版 ) |
|
加入購物車 │加到我的最愛 (請先登入會員) |
ISBN:9787115510167 |
作者序 | 譯者序 | 前言 | 內容簡介 | 目錄 | 序 |
(簡體書上所述之下載連結耗時費功, 恕不適用在台灣, 若讀者需要請自行嘗試, 恕不保證) |
作者序: |
譯者序: |
前言: |
內容簡介:本書以OWASP Top 10 2017 中涉及的漏洞為基礎,系統闡述了常見的Web 漏洞的防護方式。書中首先介紹了漏洞演示平臺及一些常用的安全防護工具,然后對OWASP Top 10 2017 中涉及的漏洞防護方式及防護工具進行了說明,接著介紹了如何通過HTTP 響應頭提升Web 客戶端自身對漏洞的防護能力,最后討論了在無法更改應用程序源碼的情況下,如何對應用進行外層的WAF 防護。 |
目錄:第 1 章 使用工具介紹 1 1.1 WebGoat 1 1.2 ESAPI 5 1.3 Apache Shiro 8 1.3.1 Apache Shiro 的特征 8 1.3.2 Apache Shiro 的核心概念 9 1.3.3 與Spring 集成 12 1.4 Spring Security 15 1.5 OWASP Top 10 17 第 2 章 SQL 注入防護 19 2.1 SQL 注入介紹 19 2.2 SQL 注入分類 20 2.2.1 按參數類型分類 20 2.2.2 按注入位置分類 20 2.2.3 按結果反饋分類 20 2.2.4 其他類型 21 2.3 實例講解 21 2.3.1 字符型注入 22 2.3.2 數字型注入 22 2.3.3 聯合查詢注入及堆查詢注入 23 2.3.4 盲注入 24 2.4 檢測SQL 注入 25 2.5 防護方案 26 2.5.1 漏洞實例 27 2.5.2 預編譯與參數綁定 28 2.5.3 白名單驗證 29 2.5.4 輸入編碼 30 2.5.5 MyBatis 安全使用 32 2.6 小結. 33 第 3 章 其他注入防護 34 3.1 命令注入防護 34 3.2 XML 注入防護 34 3.3 XPATH 注入防護 38 3.4 LDAP 注入防護 39 3.5 JPA 注入防護 40 3.6 小結 43 第4 章 認證防護 44 4.1 認證缺陷 44 4.2 認證防護 44 4.2.1 用戶名及密碼設置 45 4.2.2 忘記密碼 46 4.2.3 憑證存儲 47 4.2.4 密碼失竊 48 4.2.5 其他安全防護 49 4.3 會話管理安全 50 4.3.1 會話ID 的屬性 51 4.3.2 會話管理的實現 52 4.3.3 Cookie 53 4.3.4 會話ID 的注意事項 54 4.3.5 會話過期 55 4.3.6 會話管理及其他客戶端防御 57 4.3.7 會話攻擊檢測 58 4.3.8 會話管理的WAF 保護 59 4.4 防護工具 59 4.4.1 Argon2 密碼散列 59 4.4.2 Apache Shiro 認證 63 4.4.3 Apache Shiro 會話管理 65 4.5 小結 68 第 5 章 數據泄露防護 69 5.1 傳輸層安全防護 69 5.1.1 SSL/TLS 注意事項 70 5.1.2 其他注意事項 75 5.1.3 傳輸層安全檢測工具 75 5.2 數據加密存儲 77 5.2.1 密碼學簡史 78 5.2.2 加密模式及填充模式 83 5.2.3 雜湊函數及數據完整性保護 88 5.2.4 加解密使用規范 90 5.3 安全數據共享 104 5.3.1 數據倉庫的構建 104 5.3.2 數據倉庫的保護 105 5.3.3 數據倉庫的管理 106 5.4 小結 106 第6 章 XXE 防護 107 6.1 XML 介紹 107 6.2 XXE 攻擊方式及實例介紹 109 6.2.1 內部XXE 實例 110 6.2.2 外部XXE 實例 111 6.3 檢測XXE 112 6.4 XXE 防護 113 6.4.1 DOM 113 6.4.2 SAX 116 6.4.3 其他 117 6.5 小結 117 第7 章 訪問控制防護 118 7.1 訪問控制的分類 118 7.2 常見問題 119 7.2.1 不安全對象的直接引用 119 7.2.2 功能級訪問控制缺失 120 7.2.3 跨域資源共享的錯誤配置 121 7.3 工具防護 123 7.3.1 Apache Shiro 訪問控制 123 7.3.2 ESAPI 隨機化對象引用 126 7.3.3 Spring Security CORS 配置 127 7.4 小結 128 第8 章 安全配置 129 第 9 章 XSS 防護 131 9.1 XSS 分類 131 9.1.1 反射型XSS 132 9.1.2 DOM 型XSS 134 9.1.3 存儲型XSS 136 9.1.4 其他分類 137 9.2 檢測XSS 138 9.3 XSS 防護方法 139 9.3.1 反射型XSS 和存儲型XSS 的防護 140 9.3.2 DOM 型XSS 防護 143 9.4 防護工具 144 9.4.1 OWASP Java Encoder 144 9.4.2 OWASP Java HTML Sanitizer 149 9.4.3 AnjularJS SCE 158 9.4.4 ESAPI4JS 160 9.4.5 jQuery Encoder 164 9.5 小結 167 第 10 章 反序列化漏洞防護 168 10.1 Java 的序列化與反序列化 168 10.1.1 序列化 168 10.1.2 反序列化 169 10.1.3 自定義序列化與反序列化 170 10.1.4 Java 反序列化漏洞 171 10.1.5 其他反序列化漏洞 175 10.2 檢測反序列化漏洞 178 10.3 反序列化漏洞的防護 179 10.4 防護工具 180 10.4.1 自定義工具 180 10.4.2 SerialKiller 181 10.4.3 contra-rO0 183 10.5 小結 185 第 11 章 組件缺陷的檢測 186 11.1 潛在缺陷 186 11.2 檢測缺陷組件 186 11.2.1 Retire.js 187 11.2.2 OWASP Dependency Check 190 11.2.3 Sonatype AHC 193 11.3 小結 196 第 12 章 跨站點請求偽造防護 197 12.1 CSRF 分類 197 12.1.1 GET 型CSRF 197 12.1.2 POST 型CSRF 198 12.1.3 CSRF 實例 198 12.1.4 CSRF 結合XSS 200 12.2 檢測CSRF 202 12.3 CSRF 防護 202 12.3.1 不完全的防護方式 203 12.3.2 正確的防護方式 204 12.4 防護工具 209 12.4.1 自定義防護工具 210 12.4.2 Spring Security 防護CSRF 215 12.4.3 前后端分離 216 12.5 小結 217 第 13 章 輸入驗證 218 13.1 輸入驗證的方式 218 13.2 ESAPI 輸入驗證 218 第 14 章 HTTP 安全響應頭 222 14.1 安全響應頭介紹 222 14.1.1 HSTS 222 14.1.2 HPKP 223 14.1.3 X-Frame-Options 223 14.1.4 X-XSS-Protection 224 14.1.5 X-Content-Type-Options 224 14.1.6 Content-Security-Policy 224 14.1.7 Referrer-Policy 226 14.1.8 Expect-CT 226 14.1.9 X-Permitted-Cross-Domain-Policies 226 14.1.10 Cache-Control 228 14.2 HTTP 安全頭檢測 228 14.2.1 命令行檢測工具 228 14.2.2 在線檢測工具 229 14.2.3 插件檢測工具 230 14.3 安全響應頭設置建議 231 14.3.1 知名網站實例 231 14.3.2 設置建議 233 14.4 配置安全響應頭 233 14.4.1 Spring Security 統一配置 233 14.4.2 http_hardening 配置安全響應頭 237 14.4.3 服務器配置文件配置安全響應頭 238 14.5 小結 238 第 15 章 WAF 防護 239 15.1 ModSecurity 239 15.1.1 編譯與導入 240 15.1.2 配置ModSecurity 241 15.1.3 ModSecurity 測試 244 15.2 規則解析 245 15.2.1 指令 246 15.2.2 處理階段 247 15.2.3 變量 247 15.2.4 轉換函數 249 15.2.5 行為 250 15.2.6 操作符 253 15.3 OWASP ModSecurity CRS 255 15.3.1 CRS 導入 255 15.3.2 CRS 規則文件 257 15.4 防護測試 259 15.4.1 DVWA 環境搭建 259 15.4.2 SQL 注入測試 261 15.4.3 命令注入測試 264 15.4.4 XSS 測試 267 15.4.5 文件包含測試 272 15.4.6 文件上傳測試 274 15.5 小結 277 參考文獻 278 |
序: |
|