- Web应用程序安全(第2版)
- - 作者：(美)安德鲁·霍夫曼|责编:刘炽|译者:卢浩//陈新//张林锋
  - 出版社：中国电力
  - ISBN：9787519899622
  - 出版日期：2025/06/01
  - 页数：465
- 售价：51.2

内容大纲
本书包含以下三方面的内容：支柱1：侦查，学习如何远程收集Web应用程序的信息，包括获取安全敏感配置数据的方法等。支柱2：进攻，探究使用已被全球顶尖黑客证明有效、用以攻击Web应用程序的多种漏洞利用方法。支柱3：防御，在上述技能的基础上，针对支柱2中描述的每种攻击方法构建有效、持久的缓解措施，以及如何安全地开发和部署Web应用程序。
作者介绍
安德鲁·霍夫曼（Andrew Hoffman）是Salesforce.com的高级安全工程师，负责多个JavaScript、Node.js和OSS团队的安全工作。他的专长是DOM和JavaScript安全漏洞深入研究。他曾与各大浏览器厂商、TC39和WHATWG（负责设计即将推出的JavaScript和浏览器DOM版本的组织）合作过。 Andrew一直在为即将推出的JavaScript语言安全功能“Realms”做贡献，作为一个原生的JavaScript功能，Realms将提供语言级的命名空间隔离。他还在研究“无状态（安全/纯净）模块”的潜在安全影响，这可以让Web门户在执行用户提供的JavaScript时大大降低风险。
目录
前言
第1章  软件安全发展历程
  1.1  黑客的起源
  1.2  Enigma密码机，约1930年
  1.3  Enigma密码破解，约1940年
  1.4  电话Phreaking，约1950年
  1.5  防Phreaking，约1960年
  1.6  计算机黑客，起源于约1980年
  1.7  万维网兴起，约2000年
  1.8  当代黑客，约2015年之后
  1.9  小结
第一部分  侦查
第2章  Web应用程序侦查简介
  2.1  信息收集
  2.2  绘制Web应用程序图
  2.3  小结
第3章  现代Web应用程序结构
  3.1  Web应用程序的发展
  3.2  REST API
  3.3  JSON
  3.4  JavaScript
    3.4.1  变量和作用域
    3.4.2  函数
    3.4.3  上下文
    3.4.4  原型继承
    3.4.5  异步模型
    3.4.6  浏览器DOM
  3.5  SPA框架
  3.6  认证和授权系统
    3.6.1  认证
    3.6.2  授权
  3.7  Web服务器
  3.8  服务器端数据库
  3.9  客户端数据存储
  3.10  GraphQL
  3.11  版本控制系统
  3.12  CDN/Cache
  3.13  小结
第4章  寻找子域
  4.1  单域多个应用程序
  4.2  浏览器内置的网络分析工具
  4.3  利用公共信息
    4.3.1  搜索引擎缓存
    4.3.2  利用存档信息
    4.3.3  社交媒体快照
  4.4  DNS区域传送攻击
  4.5  暴力破解子域
  4.6  字典攻击
  4.7  小结
第5章  API分析

  5.1  端点探索
  5.2  认证机制
  5.3  端点结构
    5.3.1  常用结构
    5.3.2  特殊结构
  5.4  小结
第6章  识别第三方依赖
  6.1  探测客户端框架
    6.1.1  探测SPA框架
    6.1.2  探测JavaScript库
    6.1.3  探测CSS库
  6.2  探测服务器端框架
    6.2.1  标头探测
    6.2.2  默认错误信息及404页面
    6.2.3  数据库探测
  6.3  小结
第7章  应用程序架构安全
  7.1  架构安全判别
  7.2  多层安全保障
  7.3  复用与重构
  7.4  小结
第8章  第一部分总结
第二部分  攻击
第9章  Web应用程序攻击入门
  9.1  黑客思维
  9.2  运用侦查
……
第三部分  防御
结论

内容大纲

作者介绍

目录

同类热销排行榜

推荐书目