[
-
内容大纲
本书以OWASP Top 10 2017中涉及的漏洞为基础,系统阐述了常见的Web漏洞的防护方式。书中首先介绍了漏洞演示平台及一些常用的安全防护工具,然后对OWASP Top 10 2017中涉及的漏洞防护方式及防护工具进行了说明,接着介绍了如何通过HTTP响应头提升Web客户端自身对漏洞的防护能力,最后讨论了在无法更改应用程序源码的情况下,如何对应用进行外层的WAF防护。
本书适合关注于Web漏洞防护的任何读者。 -
作者介绍
李建熠,毕业于北京邮电大学,安全从业者及爱好者,曾任职于美团点评,参与过美团点评安全从0到1的构建。 -
目录
第1章 使用工具介绍
1.1 WebGoat
1.2 ESAPI
1.3 Apache Shiro
1.3.1 Apache Shiro的特征
1.3.2 Apache Shiro的核心概念
1.3.3 与Spring集成
1.4 Spring Security
1.5 OWASP Top 10
第2章 SQL注入防护
2.1 SQL注入介绍
2.2 SQL注入分类
2.2.1 按参数类型分类
2.2.2 按注入位置分类
2.2.3 按结果反馈分类
2.2.4 其他类型
2.3 实例讲解
2.3.1 字符型注入
2.3.2 数字型注入
2.3.3 联合查询注入及堆查询注入
2.3.4 盲注入
2.4 检测SQL注入
2.5 防护方案
2.5.1 漏洞实例
2.5.2 预编译与参数绑定
2.5.3 白名单验证
2.5.4 输入编码
2.5.5 MyBatis安全使用
2.6 小结
第3章 其他注入防护
3.1 命令注入防护
3.2 XML注入防护
3.3 XPATH注入防护
3.4 LDAP注入防护
3.5 JPA注入防护
3.6 小结
第4章 认证防护
4.1 认证缺陷
4.2 认证防护
4.2.1 用户名及密码设置
4.2.2 忘记密码
4.2.3 凭证存储
4.2.4 密码失窃
4.2.5 其他安全防护
4.3 会话管理安全
4.3.1 会话ID的属性
4.3.2 会话管理的实现
4.3.3 Cookie
4.3.4 会话ID的注意事项
4.3.5 会话过期
4.3.6 会话管理及其他客户端防御
4.3.7 会话攻击检测
4.3.8 会话管理的WAF保护
4.4 防护工具
4.4.1 Argon2密码散列
4.4.2 Apache Shiro认证
4.4.3 Apache Shiro会话管理
4.5 小结
第5章 数据泄露防护
5.1 传输层安全防护
5.1.1 SSL/TLS注意事项
5.1.2 其他注意事项
5.1.3 传输层安全检测工具
5.2 数据加密存储
5.2.1 密码学简史
5.2.2 加密模式及填充模式
5.2.3 杂凑函数及数据完整性保护
5.2.4 加解密使用规范
5.3 安全数据共享
5.3.1 数据仓库的构建
5.3.2 数据仓库的保护
5.3.3 数据仓库的管理
5.4 小结
第6章 XXE防护
6.1 XML介绍
6.2 XXE攻击方式及实例介绍
6.2.1 内部XXE实例
6.2.2 外部XXE实例
6.3 检测XXE
6.4 XXE防护
6.4.1 DOM
6.4.2 SAX
6.4.3 其他
6.5 小结
第7章 访问控制防护
7.1 访问控制的分类
7.2 常见问题
7.2.1 不安全对象的直接引用
7.2.2 功能级访问控制缺失
7.2.3 跨域资源共享的错误配置
7.3 工具防护
7.3.1 Apache Shiro访问控制
7.3.2 ESAPI随机化对象引用
7.3.3 Spring Security CORS配置
7.4 小结
第8章 安全配置
第9章 XSS防护
9.1 XSS分类
9.1.1 反射型XSS
9.1.2 DOM型XSS
9.1.3 存储型XSS
9.1.4 其他分类
9.2 检测XSS
9.3 XSS防护方法
9.3.1 反射型XSS和存储型XSS的防护
9.3.2 DOM型XSS防护
9.4 防护工具
9.4.1 OWASP Java Encoder
9.4.2 OWASP Java HTML Sanitizer
9.4.3 AnjularJS SCE
9.4.4 ESAPI4JS
9.4.5 jQuery Encoder
9.5 小结
第10章 反序列化漏洞防护
10.1 Java的序列化与反序列化
10.1.1 序列化
10.1.2 反序列化
10.1.3 自定义序列化与反序列化
10.1.4 Java反序列化漏洞
10.1.5 其他反序列化漏洞
10.2 检测反序列化漏洞
10.3 反序列化漏洞的防护
10.4 防护工具
10.4.1 自定义工具
10.4.2 SerialKiller
10.4.3 contra-rO0
10.5 小结
第11章 组件缺陷的检测
11.1 潜在缺陷
11.2 检测缺陷组件
11.2.1 Retire.js
11.2.2 OWASP Dependency Check
11.2.3 Sonatype AHC
11.3 小结
第12章 跨站点请求伪造防护
12.1 CSRF分类
12.1.1 GET型CSRF
12.1.2 POST型CSRF
12.1.3 CSRF实例
12.1.4 CSRF结合XSS
12.2 检测CSRF
12.3 CSRF防护
12.3.1 不完全的防护方式
12.3.2 正确的防护方式
12.4 防护工具
12.4.1 自定义防护工具
12.4.2 Spring Security防护CSRF
12.4.3 前后端分离
12.5 小结
第13章 输入验证
13.1 输入验证的方式
13.2 ESAPI输入验证
第14章 HTTP安全响应头
14.1 安全响应头介绍
14.1.1 HSTS
14.1.2 HPKP
14.1.3 X-Frame-Options
14.1.4 X-XSS-Protection
14.1.5 X-Content-Type-Options
14.1.6 Content-Security-Policy
14.1.7 Referrer-Policy
14.1.8 Expect-CT
14.1.9 X-Permitted-Cross-Domain-Policies
14.1.10 Cache-Control
14.2 HTTP安全头检测
14.2.1 命令行检测工具
14.2.2 在线检测工具
14.2.3 插件检测工具
14.3 安全响应头设置建议
14.3.1 知名网站实例
14.3.2 设置建议
14.4 配置安全响应头
14.4.1 Spring Security统一配置
14.4.2 http_hardening配置安全响应头
14.4.3 服务器配置文件配置安全响应头
14.5 小结
第15章 WAF 防护
15.1 ModSecurity
15.1.1 编译与导入
15.1.2 配置ModSecurity
15.1.3 ModSecurity测试
15.2 规则解析
15.2.1 指令
15.2.2 处理阶段
15.2.3 变量
15.2.4 转换函数
15.2.5 行为
15.2.6 操作符
15.3 OWASP ModSecurity CRS
15.3.1 CRS 导入
15.3.2 CRS 规则文件
15.4 防护测试
15.4.1 DVWA环境搭建
15.4.2 SQL注入测试
15.4.3 命令注入测试
15.4.4 XSS测试
15.4.5 文件包含测试
15.4.6 文件上传测试
15.5 小结
参考文献
同类热销排行榜
- C语言与程序设计教程(高等学校计算机类十二五规划教材)16
- 电机与拖动基础(教育部高等学校自动化专业教学指导分委员会规划工程应用型自动化专业系列教材)13.48
- 传感器与检测技术(第2版高职高专电子信息类系列教材)13.6
- ASP.NET项目开发实战(高职高专计算机项目任务驱动模式教材)15.2
- Access数据库实用教程(第2版十二五职业教育国家规划教材)14.72
- 信号与系统(第3版下普通高等教育九五国家级重点教材)15.08
- 电气控制与PLC(普通高等教育十二五电气信息类规划教材)17.2
- 数字电子技术基础(第2版)17.36
- VB程序设计及应用(第3版十二五职业教育国家规划教材)14.32
- Java Web从入门到精通(附光盘)/软件开发视频大讲堂27.92
推荐书目
-
孩子你慢慢来/人生三书 华人世界率性犀利的一枝笔,龙应台独家授权《孩子你慢慢来》20周年经典新版。她的《...
-
时间简史(插图版) 相对论、黑洞、弯曲空间……这些词给我们的感觉是艰深、晦涩、难以理解而且与我们的...
-
本质(精) 改革开放40年,恰如一部四部曲的年代大戏。技术突变、产品迭代、产业升级、资本对接...