White Hat рассказывает о веб -безопасности память о безопасности веб -сайта.
Вес товара: ~0.7 кг. Указан усредненный вес, который может отличаться от фактического. Не включен в цену, оплачивается при получении.
Описание товара
краткое введение
Безопасность данных в эпоху Интернета и личная конфиденциальность были оспорены беспрецедентными, и различные новые технологии атаки появились бесконечно.Как мы можем лучше защитить наши данные?«White Hat рассказывает о веб -безопасности (памятной версии)» выведет вас в мир веб -безопасности, позволит вам понять все аспекты веб -безопасности.Хакер больше не загадочный.Как крупные компании безопасно и почему я выбираю такое решение?Ответ можно найти в «Белая шляпа, говоря о веб -безопасности (памятное издание)».Подробный анализ позволяет вам не только «знать это», но и «знать, почему».
«Белая шляпа Говоря о веб -безопасности (памятное издание)» написано в соответствии с фактическим опытом работы в течение нескольких лет фактического опыта работы в ведущей интернет -компании, по словам Wu Hanqing, вице -президента Security Bao, и обладает сильной работой в Решение. НИКАКОЕ Понимание имеет хорошую справочную ценность для работников безопасности; внедрение процессов и операций по развитию безопасности также имеет глубокое руководство отрасли.«Демократическое издание» такое же, как и предыдущая версия. Это только специальная версия оригинальной работы в мире. Читатели выбираются по мере необходимости.
Оглавление
Diyi World View Safe
ГЛАВА 1 My Safe World View 2
1.1 Краткая история веб -безопасности 2
1.1.1 Краткая история китайского хакера 2
1.1.2 Процесс разработки Hacker Technology 3 3
1.1.3 Рост безопасности в Интернете 5
1.2 Черная шляпа, белая шляпа 6
1.3 Вернуться к истине, раскрыть суть безопасности 7
1.4 Перерыв суеверия, без серебряной бомбы .9
1.5 Безопасность три элемента 10
1.6 Как реализовать оценку безопасности 11
1.6.1 Раздел 12 -го уровня активов 12
1.6.2 Анализ угроз 13
1.6.3 Анализ риска 14
1.6.4 План безопасности 15
1.7 Белая шляпа Bing Law 16
1.7.1 Безопасные по принципам по умолчанию 16
1.7.2 Принципы обороны 18
1.7.3 Принципы данных и разделения кода 19
1.7.4 Принцип непредсказуемости 21
1,8 Резюме 22
(Привязанность) Кто будет платить за лазейки?двадцать три
Глава II Безопасность сценария клиента
ГЛАВА 2 БЕЗОПАССКАЯ БЕЗОПАСНОСТЬ 26
2.1 Гомологичная стратегия 26
2.2 Санчанка браузера 30
2.3 Злоусоветный URL -перехват 33
2.4 Безопасность браузера высокой скорости разработки .36
2.5 Резюме 39
Глава 3 Атака сценария сценария Креста (XSS) .40
3.1 XSS Введение 40
3,2 XSS Attack Advanced 43
3.2.1 Предварительный экзамен XSS PAYLOAD43
3.2.2 Мощная полезная нагрузка
3.2.3 Платформа атаки XSS.62
3.2.4
3.2.5 отладка JavaScript 73
3.2.6 XSS Construction Skilds 76
3.2.7. Разрушение в сокровище: миссия невозможна 82
3.2.8 Уголок, который легко игнорируется: Flash xss.85
3.2.9 Действительно высокая подушка без беспокойства: рамка разработки JavaScript 87
3,3 XSS Defense 89
3.3.1 Четыре или два фунта: httponly 89
3.3.2 Введите проверку 93
3.3.3 Проверка вывода 95
3.3.4 Правильная защита XSS 99
3.3.5 Обработка богатого текста 102
3.3.6 Defense Dom на основе XSS 103
3.3.7 Посмотреть риск XSS с другого угла 107
3.4 Резюме 107
Глава 4 Крест -Сити Запрос false (CSRF) 109
4.1 Введение в CSRF
4.2 CSRF Advanced
4.2.1 Стратегия Cookie Browser 111
4.2.2 Побочные эффекты головки P3P 113
4.2.3 GET? POST? 116
4.2.4 Flash CSRF 118
4.2.5 CSRF Worm 119
4.3 защита CSRF 120
4.3.1 Код проверки 120
4.3.2 Referer Check. 120
4.3.3 Anti CSRF Token 121
4.4 Резюме 124
ГЛАВА 5 КЛЮЧЕСКИЙ
5.1 Что такое щелчок, чтобы угоннуть
5.2 Flash Нажмите, чтобы угнать 127
5.3 Attack 129 Picture Attack 129
5.4 Перетаскивание и захват и кража данных 131
5.5 ClickJacking 3.0: Teentacle Hide
5.6 Защита ClickJacking 136
5.6.1 frame busting . 136
5.6.2 X-Frame-Options 137
5.7 Резюме 138
Глава 6 HTML 5 Safe 139
6.1 HTML 5 New Tag 139
6.1.1 Новая этикетка XSS 139
6.1.2 Песочница Ифраме
6.1.3 Link Types: noreferrer 141
6.1.4 Замечательное использование Canvas 141
6.2 Другие проблемы безопасности 144
6.2.1 Cross-Origin Resource Sharing . 144
6.2.2 Postmessage - -передача передачи Cross -Window 146
6.2.3 Web Storage 147
6.3 Резюме 150
Третья часть приложения сервера безопасна
Глава 7 Атака
7.1 SQL -инъекция
7.1.1 Слепая инъекция 153
7.1.2 Timing Attack 155
7.2 Навыки атаки базы данных
7.2.1 Общие навыки атаки 157
7.2.2 выполнение команды 158
7.2.3 Линия хранения атаки 164
7.2.4 Задача кодирования 165
7.2.5 SQL Column Truncation 167
7.3 Правильная защита SQL Inject 170
7.3.1 Используйте предварительные заявления 171
7.3.2 Используйте процедуры хранения 172
7.3.3 Проверьте тип данных 172
7.3.4 Используйте функцию безопасности 172
7.4. Другое атака инъекций 173
7.4.1 XML -инъекция
7.4.2 Инъекция кода 174
7.4.3 CRLF Inject 176
7.5 Резюме 179
Глава 8 Загрузить уязвимость 180
8.1 Загрузка файла Обзор уязвимости
8.1.1 Загрузить уязвимость из файла fckeditor, чтобы поговорить о 181
8.1.2 Мочеточная загрузка файла. Функция проверки 182
8.2 Функция или уязвимость 183
8.2.1 Анализ файлов Apache Задача 184
8.2.2 Проблема анализа файлов IIS
8.2.3 Проблема PHP CGI Анализ CGI Задача 187
8.2.4 Используйте загрузку файлов в рыбу
8.3 Функция загрузки безопасного файла проектирования 190
8.4 Резюме 191
Глава 9 Управление участием
9.1 Who am I? 192
9.2 Вещи пароля
9.3 Многофакторная сертификация 195
9.4 сессия и сертификация 196
9.5 Атака фиксации сеанса 198
9.6 Сессия поддерживает атаку 199
9.7 Одиночный логин (SSO) 201
9.8 Резюме 203
Глава 10 Контроль доступа 205
10.1 What Can I Do? 205
10.2 Управление вертикальными разрешениями 208
10.3 Управление разрешениями уровня 211
10.4 OAuth введение 213
10.5 Резюме
Глава 11 Алгоритм шифрования и случайное число
11.1 Обзор
11.2 Stream Cipher Attack 222
11.2.1 Reused Key Attack 222
11.2.2 Bit-flipping Attack 228
11.2.3 Слабая случайная проблема IV 230
11.3
11.4 Dead of ECB Mode 236
11.5 Padding Oracle Attack . 239
11.6 Управление ключами 251
11,7 Псевдо -Рандома Проблема 253
11.7.1 Проблемы с слабым псевдо -родом числа 253
11.7.2 это действительно случайное
11.7.3 Требование семян псевдо -планового алгоритма
11.7.4 Используйте безопасное случайное число 265
11.8 Резюме
(Привязанность) Понимание атаки расширения длины MD5 267
Глава 12 Веб -структура безопасна
12.1 MVC Framework безопасна
12.2 Шаблонный двигатель и XSS Defense 282
12.3 Веб -структура и защита CSRF 285
12.4 HTTP Headers Management 287
12.5 Уровень стойки данных и инъекция SQL 288
12.6 Что еще вы можете думать о 289
12.7 Сама веб -структура безопасна 289
12.7.1 Стори 2 Команда выполняет уязвимости
12.7.2 стойки 2 Вопрос Патч 291
12.7.3 Команда Spring MVC выполнить уязвимость 292
12.7.4 Команда Django выполняет уязвимости
12.8 Резюме
ГЛАВА 13 Приложение
13.1 DDOS Введение
13.2 Приложение уровень DDOS 297
13.2.1 атака CC 297
13.2.2 Ограниченная частота запроса 298
13.2.3 Высокая одна нога, магическая высота 300
13.3 Эти вещи для проверки кода 301
13.4 Защитный уровень приложения DDOS 304
13.5 Атака исчерпания ресурсов 306
13.5.1 Атака Mlowloris 306
13.5.2 HTTP POST DOS 309
13.5.3 Server Limit DOS 310
13.6 Обычный случай крови, вызванный регулярным: REDOS 311
13.7 Резюме
Глава 14 PHP Security 317
14.1 Файл содержит уязвимости 317
14.1.1 Локальные файлы включают 319
14.1.2 Удаленный файл содержит 323
14.1.3 Методы использования, содержащиеся в локальном файле
14.2 Уязвимость переменного покрытия 331
14.2.1 Глобальное покрытие переменной 331
14.2.2 Extract () Переменное покрытие
14.2.3 Время инициализации переменных
14.2.4 Import_Request_variables chover
14.2.5 Parse_str () Переменная покрытие 335
14.3 Уязвимость выполнения кода 336
14.3.1 «Опасная функция» выполнить код 336
14.3.2 «Запись файлов» Код выполнения 343
14.3.3 Другие методы кода выполнения 344
14.4 Индивидуальная среда PHP 348
14.5 Резюме
Глава 15 Безопасность конфигурации веб -сервера 353
15.1 Apache Safe 353
15.2
15.3 jboss удаленная команда выполнить 356
15.4 Tomcat Remote Command Exepute 360
15.5 HTTP Parameter Pollution 363
15.6 Резюме
Глава 4 Операция безопасности интернет -компаний
Глава 16 Безопасность интернет -бизнеса 366
16.1 Какую безопасность необходимо продукту 366 366
16.1.1 потребности интернет -продуктов для безопасности
16.1.2 Что такое хорошее решение для безопасности 368
16.2 Business Logic Security 370
16.2.1 пароль 370, который никогда не может быть изменен
16.2.2 Кто является большим победителем 371
16.2.3 Заинтересовано в небе
16.2.4 о полученном пароле процесса 373
16.3 Как была украдена аккаунт 374
16.3.1 Украшенный подход учетной записи
16.3.2 Анализ причин украденных счетов 376
16.4 мусор Интернета 377
16.4.1 вред мусора 377
16.4.2 Обработка мусора
16.5 о интернет -рыбалке 380
16.5.1 Введение в рыболовную веб -сайт 381
16.5.2 Рыбалка по почте
16.5.3 Профилактика и контроль рыболовных сайтов
16.5.4 Процесс онлайн -магазинов рыбалка 388
16.6 Защита конфиденциальности пользователей 393
16.6.1 Проблемы конфиденциальности пользователей Интернета 393
16.6.2 Как защитить конфиденциальность пользователей 394
16.6.3 Do-Not-Track 396
16.7 Резюме
(Вложение) Терминатор неприятностей 398
Глава 17 Процесс разработки безопасности (SDL) 402
17.1 SDL Введение 402
17.2 Agile SDL 406
17.3 Практический опыт SDL 407
17.4 Анализ спроса и этапа дизайна
17.5 Стадия разработки 415
17.5.1 Предоставьте безопасные функции
17.5.2 Инструмент аудита безопасности кода 417
17.6 Фаза 418 тестирования 418
17.7 Резюме
Глава 18 Операция по безопасности 422
18.1 Операция безопасно 422
18.2 Процесс ремонта уязвимости 423
18.3 Мониторинг безопасности 424
18.4 Обнаружение вторжения 425
18.5 Процесс реагирования на чрезвычайные ситуации 428
18.6 Резюме
(Приложение) Разговор о направлении разработки безопасности интернет -компаний 431