Официальная подлинная белая шляпа разговоры о веб -безопасности памятный веб -сайт.
Вес товара: ~0.7 кг. Указан усредненный вес, который может отличаться от фактического. Не включен в цену, оплачивается при получении.
Описание товара
|
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Оглавление
Первый мировоззрение безопасно
Первый1ГЛАВА МОЙ БЕЗОПАСНЫЙ ВИДЕ2
1.1 WebКраткая история2
1.1.1Краткая история китайского хакера2
1.1.2Разработка технологии взлома3
1.1.3 WebРост5
1.2Черная шляпа, белая шляпа6
1.3Вернуться к истине, раскрыть суть безопасности7
1.4Нарушить суеверие, без серебряной бомбы.9
1.5Безопасность три элемента10
1.6Как реализовать оценку безопасности 11
1.6.1Отдел уровня активов12
1.6.2Угрожающий анализ13
1.6.3Анализ риска14
1.6.4Решение безопасности проектирования15
1.7белая шляпа16
1.7.1 Secure By Defaultв принципе16
1.7.2Принцип глубины защиты18
1.7.3Принцип данных и разделения кода19
1.7.4Невидимые принципы21
1.8краткое содержание22
(Привязанность) Кто будет платить за лазейки?23
Глава II Безопасность сценария клиента
Первый2ГЛАВА БЕЗОПАСНОСТЬ БЕЗОПАСНОСТИ26
2.1Гомологичная стратегия26
2.2Песочница браузера30
2.3Злоусоветный перехват веб -сайта33
2.4Безопасность браузера с высокой скоростью.36
2.5краткое содержание39
Первый3Главы пересекают атаку сценария (XSSПолем.40
3.1 XSSКраткое введение40
3.2 XSSАтака43
3.2.1Первоначальное исследованиеXSS Payload43
3.2.2мощныйXSS Payload . 46
3.2.3 XSSПлатформа атаки.62
3.2.4Ultimate Weamon:XSS Worm64
3.2.5отладкаJavaScript 73
3.2.6 XSSКонструктивные навыки76
3.2.7Превращение отходов в сокровище:Mission Impossible 82
3.2.8Угол, которого легко игнорировать:Flash XSS .85
3.2.9Это действительно низкая подушка:JavaScriptСтруктура разработки87
3.3 XSSЗащита89
3.3.1Четыре или два фунта:HttpOnly 89
3.3.2Входная проверка93
3.3.3Проверка вывода95
3.3.4Правильная защитаXSS 99
3.3.5Обрабатывать богатый текст 102
3.3.6защитаDOM Based XSS 103
3.3.7С другой точки зренияXSSриски 107
3.4краткое содержание 107
Первый4Перекрестный запрос на подделку (CSRFПолем 109
4.1 CSRFКраткое введение. 109
4.2 CSRFПродвигать. 111
4.2.1БраузерCookieСтратегия 111
4.2.2 P3PПобочный эффект головы 113
4.2.3 GET? POST? 116
4.2.4 Flash CSRF 118
4.2.5 CSRF Worm 119
4.3 CSRFЗащита 120
4.3.1Проверочный код 120
4.3.2 Referer Check. 120
4.3.3 Anti CSRF Token 121
4.4краткое содержание 124
Первый5Глава нажимает на угон (ClickJackingПолем. 125
5.1Что такое угон щелчка. 125
5.2 FlashНажмите на угон 127
5.3Атака с покрытием изображения 129
5.4Перетаскивать угон и кражу данных 131
5.5 ClickJacking 3.0: Строительный угон экрана. 134
5.6защитаClickJacking 136
5.6.1 frame busting . 136
5.6.2 X-Frame-Options 137
5.7краткое содержание 138
Первый6глава HTML 5Безопасность 139
6.1 HTML 5Новый лейбл 139
6.1.1Новый лейблXSS 139
6.1.2 iframeизsandbox . 140
6.1.3 Link Types: noreferrer 141
6.1.4 CanvasМагическое использование 141
6.2Другие проблемы безопасности 144
6.2.1 Крестный ресурс Shary
6.2.2 postMessage——Передача сообщения через окно 146
6.2.3 Web Storage 147
6.3краткое содержание 150
Третья часть приложения сервера безопасна
Первый7Глава инъекционной атаки. 152
7.1 SQLинъекция. 152
7.1.1Слепо (盲 注 (Blind InjectionПолем 153
7.1.2 Timing Attack 155
7.2Навыки атаки базы данных. 157
7.2.1Общие навыки атаки 157
7.2.2Выполнение команды 158
7.2.3Процедура хранения атаки 164
7.2.4Проблема кодирования 165
7.2.5 SQL Column Truncation 167
7.3Правильная защитаSQLинъекция 170
7.3.1Используйте предложения предварительной компиляции 171
7.3.2Используйте процедуру хранения 172
7.3.3Проверьте тип данных 172
7.3.4Используйте функцию безопасности 172
7.4Другие инъекционные атаки 173
7.4.1 XMLинъекция. 173
7.4.2Инъекция кода 174
7.4.3 CRLFинъекция 176
7.5краткое содержание 179
Первый8Документы загружают уязвимости 180
8.1Загрузка файла Обзор уязвимости. 180
8.1.1отFCKEditorЗагрузить файл уязвимость 181
8.1.2Смочь файл Загрузите функцию проверки 182
8.2Функция или лазейки 183
8.2.1 ApacheПроблема анализа файлов 184
8.2.2 IISПроблема анализа файлов. 185
8.2.3 PHP CGIПроблема анализа пути 187
8.2.4Используйте файлы загрузки для рыбалки. 189
8.3Проектирование безопасной функции загрузки файлов 190
8.4краткое содержание 191
Первый9Глава сертификации части -Управление временем. 192
9.1 Who am I? 192
9.2Эти вещи в пароле. 193
9.3Многофакторная аутентификация 195
9.4 SessionСертификация 196
9.5 Session Fixationатака 198
9.6 SessionАтака 199
9.7войти(SSOПолем 201
9.8краткое содержание 203
Первый10Управление поездкой в Чжан 205
10.1 What Can I Do? 205
10.2Управление вертикальным авторитетом 208
10.3Горизонтальное управление властью 211
10.4 OAuthКраткое введение 213
10.5краткое содержание. 219
Первый11Алгоритм шифрования главы и случайное число. 220
11.1Обзор. 220
11.2 Stream Cipher Attack 222
11.2.1 Reused Key Attack 222
11.2.2 Bit-flipping Attack 228
11.2.3СлабееIVвопрос 230
11.3 WEPПотрескался. 232
11.4 ECBШаблон шаблона 236
11.5 Padding Oracle Attack . 239
11.6Ключевой менеджмент 251
11.7Псевдо -рост числа 253
11.7.1Проблема слабых псевдо случайных чисел 253
11.7.2Время действительно случайно?. 256
11.7.3Семена алгоритма псевдо -рода. 257
11.7.4Используйте безопасное случайное число 265
11.8краткое содержание. 265
(Вложение)Используя атаку удлинения длины MD5 267
Первый12глава WebБезопасность кадра. 280
12.1 MVCБезопасность кадра. 280
12.2Шаблонный двигатель иXSSзащита 282
12.3 WebСтруктура иCSRFзащита 285
12.4 HTTP Headersуправлять 287
12.5Уровень постоянства данных иSQLинъекция 288
12.6Что еще ты можешь придумать 289
12.7 WebСама структура 289
12.7.1 Struts 2Уязвимость выполнения команды. 290
12.7.2 Struts 2Пластырь 291
12.7.3 Spring MVCУязвимость выполнения команды 292
12.7.4 DjangoУязвимость выполнения команды. 293
12.8краткое содержание. 294
Первый13Уровень приложения отклоняет атаку обслуживания. 295
13.1 DDOSКраткое введение. 295
13.2Приложение слойDDOS 297
13.2.1 CCатака 297
13.2.2Ограниченная частота запроса 298
13.2.3Освещание палки, но стремясь к двору 300
13.3Эти вещи о коде проверки 301
13.4Защитный уровень приложенияDDOS 304
13.5Атака истощения ресурсов 306
13.5.1 Slowlorisатака 306
13.5.2 HTTP POST DOS 309
13.5.3 Server Limit DOS 310
13.6Обычный случай крови:ReDOS 311
13.7краткое содержание. 315
Первый14глава PHPБезопасность 317
14.1Файл содержит уязвимости 317
14.1.1Локальные файлы включают 319
14.1.2Удаленные файлы включают 323
14.1.3Навыки использования, содержащиеся в местных файлах. 323
14.2Уязвимости с переменным покрытием 331
14.2.1Глобальное переменное покрытие 331
14.2.2 extract()Переменное покрытие. 334
14.2.3Пересечение переменных инициализации. 334
14.2.4 import_request_variablesПеременное покрытие. 335
14.2.5 parse_str()Переменное покрытие 335
14.3Уязвимость выполнения кода 336
14.3.1“Опасная функция”Выполнить код 336
14.3.2“Запись файлов”Выполнить код 343
14.3.3Другой код выполнения 344
14.4ИндивидуальноPHPсреда 348
14.5краткое содержание. 352
Первый15глава Web ServerБезопасность конфигурации 353
15.1 ApacheБезопасность 353
15.2 NginxБезопасность. 354
15.3 jBossУдаленное выполнение команды 356
15.4 TomcatУдаленное выполнение команды 360
15.5 HTTP Parameter Pollution 363
15.6краткое содержание. 364
Глава 4 Операция безопасности интернет -компаний
Первый16Интернет -бизнес Zhang безопасен 366
16.1Какую безопасность нужен продукту 366
16.1.1Потребности интернет -продуктов для безопасности. 367
16.1.2Что такое хорошее решение безопасности 368
16.2Безопасность бизнес -логики 370
16.2.1Пароль, который никогда не может быть изменен 370
16.2.2Кто большой победитель 371
16.2.3Скрыть небо. 372
16.2.4О процессе восстановления пароля 373
16.3Как похитился аккаунт 374
16.3.1Способ украсть аккаунт. 374
16.3.2Проанализируйте причины украденной учетной записи 376
16.4Интернет -мусор 377
16.4.1Вред мусора 377
16.4.2Обработка мусора. 379
16.5О онлайн -рыбалке 380
16.5.1Введение на рыболовные сайты 381
16.5.2По электронной почте рыбалка. 383
16.5.3Профилактика и контроль веб -сайтов рыболовства. 385
16.5.4Рыбалка в Интернете по магазинам 388
16.6Защита от конфиденциальности пользователя 393
16.6.1Проблемы конфиденциальности пользователей Интернета 393
16.6.2Как защитить конфиденциальность пользователей 394
16.6.3 Do-Not-Track 396
16.7краткое содержание. 397
(Вложение) Терминатор неприятных 398
Первый17Глава процесса разработки безопасности (SDLПолем 402
17.1 SDLКраткое введение 402
17.2гибкийSDL 406
17.3 SDLПрактический опыт 407
17.4Анализ требований и этап проектирования. 409
17.5Стадия развития 415
17.5.1Обеспечить функции безопасности. 415
17.5.2Инструмент аудита безопасности кода 417
17.6Испытательный этап 418
17.7краткое содержание. 420
Первый18Закрыть безопасную работу 422
18.1Работать безопасно 422
18.2Процесс ремонта уязвимости 423
18.3Мониторинг безопасности 424
18.4Обнаружение вторжения 425
18.5Процесс реагирования на чрезвычайные ситуации 428
18.6краткое содержание. 430
(Приложение) Разговор о направлении разработки безопасности интернет -компаний 431
  Введение
&Безопасность данных NBSP; в интернет -эпохе и личная конфиденциальность были оспорены беспрецедентными, и различные новые методы атаки появились бесконечно.Как мы можем лучше защитить наши данные?«White Hat рассказывает о веб -безопасности (памятной версии)» выведет вас в мир веб -безопасности, позволит вам понять все аспекты веб -безопасности.Хакер больше не таинственный. Это тот случай для технологий атаки. Маленькие веб -сайты также могут найти для вас безопасный путь.Как крупные компании безопасно и почему я выбираю такое решение?Ответ можно найти в «Белая шляпа, говоря о веб -безопасности (памятное издание)».Подробный анализ позволяет вам не только“ знай это” лучше“ знать, почему”.
«Белая шляпа Говоря о веб -безопасности (памятное издание)» написано в соответствии с фактическим опытом работы в течение нескольких лет фактического опыта работы в ведущей интернет -компании, по словам Wu Hanqing, вице -президента Security Bao, и обладает сильной работой в Решение. НИКАКОЕ Понимание имеет хорошую справочную ценность для работников безопасности; внедрение процессов и операций по развитию безопасности также имеет глубокое руководство отрасли.«Демократическое издание» такое же, как и предыдущая версия. Это только специальная версия оригинальной работы в мире. Читатели выбираются по мере необходимости.