图书介绍

WEB之困:现代WEB应用安全指南=THE TANGLED WEB A GUIDE TO SECURING MODERN WEB APPLICATIONSPDF|Epub|txt|kindle电子书版本网盘下载

WEB之困:现代WEB应用安全指南=THE TANGLED WEB A GUIDE TO SECURING MODERN WEB APPLICATIONS
  • (美)MICHAL ZALEWSKI著 著
  • 出版社: 机械工业出版社
  • ISBN:
  • 出版时间:2013
  • 标注页数:265页
  • 文件大小:66MB
  • 文件页数:282页
  • 主题词:

PDF下载


点此进入-本书在线PDF格式电子书下载【推荐-云解压-方便快捷】直接下载PDF格式图书。移动端-PC端通用
种子下载[BT下载速度快]温馨提示:(请使用BT下载软件FDM进行下载)软件下载地址页直链下载[便捷但速度慢]  [在线试读本书]   [在线获取解压码]
点击复制MD5值:42bebc3a547decde67bc4291844aa466

下载说明

WEB之困:现代WEB应用安全指南=THE TANGLED WEB A GUIDE TO SECURING MODERN WEB APPLICATIONSPDF格式电子书版下载

下载的文件为RAR压缩包。需要使用解压软件进行解压得到PDF格式图书。

点击复制85GB完整离线版磁力链接到迅雷FDM等BT下载工具进行下载  详情点击-查看共享计划
建议使用BT下载工具Free Download Manager进行下载,简称FDM(免费,没有广告,支持多平台)。本站资源全部打包为BT种子。所以需要使用专业的BT下载软件进行下载。如BitComet qBittorrent uTorrent等BT下载工具。迅雷目前由于本站不是热门资源。不推荐使用!后期资源热门了。安装了迅雷也可以迅雷进行下载!

(文件页数 要大于 标注页数,上中下等多册电子书除外)

注意:本站所有压缩包均有解压码: 点击下载压缩包解压工具

图书目录

第1章 Web应用安全1

1.1信息安全速览1

1.1.1正统之道的尴尬2

1.1.2进入风险管理4

1.1.3分类学的启发5

1.1.4实际的解决之道6

1.2 Web的简明历史7

1.2.1史前时期的故事:1945~1994年8

1.2.2第一次浏览器大战:1995~1999年10

1.2.3平淡期:2000~2003年11

1.2.4 Web 2.0和第二次浏览器大战:2004年之后12

1.3风险的演化13

1.3.1用户作为安全风险的一个环节14

1.3.2难以隔离的Web运行环境14

1.3.3缺乏统一的格局15

1.3.4跨浏览器交互:失败的协同16

1.3.5客户端和服务器端界限的日益模糊17

第一部分对Web的解剖分析20

第2章 一切从URL开始20

2.1 URL的结构21

2.1.1协议名称21

2.1.2层级URL的标记符号22

2.1.3访问资源的身份验证22

2.1.4服务器地址23

2.1.5服务器端口24

2.1.6层级的文件路径24

2.1.7查询字符串25

2.1.8片段ID25

2.1.9把所有的东西整合起来26

2.2保留字符和百分号编码28

2.3常见的URL协议及功能33

2.3.1浏览器本身支持、与获取文档相关的协议33

2.3.2由第三方应用和插件支持的协议33

2.3.3未封装的伪协议34

2.3.4封装过的伪协议34

2.3.5关于协议检测部分的结语35

2.4相对URL的解析35

2.5安全工程速查表37

第3章 HTTP协议38

3.1 HTTP基本语法39

3.1.1支持HTTP/0.9的恶果40

3.1.2换行处理带来的各种混乱41

3.1.3经过代理的HTTP请求42

3.1.4对重复或有冲突的头域的解析44

3.1.5以分号作分隔符的头域值45

3.1.6头域里的字符集和编码策略46

3.1.7 Referer头域的表现48

3.2 HTTP请求类型48

3.2.1 GET49

3.2.2 POST49

3.2.3 HEAD49

3.2.4 OPTIONS50

3.2.5 PUT50

3.2.6 DELETE50

3.2.7 TRACE50

3.2.8 CONNECT50

3.2.9其他HTTP方法51

3.3服务器响应代码51

3.4持续会话53

3.5分段数据传输55

3.6缓存机制55

3.7 HTTP Cookie语义57

3.8 HTTP认证60

3.9协议级别的加密和客户端证书61

3.9.1扩展验证型证书62

3.9.2出错处理的规则63

3.10安全工程速查表64

第4章 HTML语言65

4.1 HTML文档背后的基本概念66

4.1.1文档解析模式67

4.1.2语义之争68

4.2理解HTML解析器的行为69

4.2.1多重标签之间的交互70

4.2.2显式和隐式的条件判断71

4.2.3 HTML解析的生存建议71

4.3 HTML实体编码72

4.4 HTTP/HTML交互语义73

4.5超链接和内容包含75

4.5.1单纯的链接75

4.5.2表单和表单触发的请求75

4.5.3框架77

4.5.4特定类型的内容包含78

4.5.5关于跨站请求伪造80

4.6安全工程速查表81

第5章 层叠样式表83

5.1 CSS基本语法84

5.1.1属性定义85

5.1.2@指令和XBL绑定85

5.1.3与HTML的交互86

5.2重新同步的风险86

5.3字符编码87

5.4安全工程速查表89

第6章 浏览器端脚本90

6.1JavaScript的基本特点91

6.1.1脚本处理模型92

6.1.2执行顺序的控制95

6.1.3代码和对象检视功能96

6.1.4修改运行环境97

6.1.5 JavaScript对象表示法(JSON)和其他数据序列化99

6.1.6 E4X和其他语法扩展101

6.2标准对象层级102

6.2.1文档对象模型104

6.2.2对其他文档的访问106

6.3脚本字符编码107

6.4代码包含模式和嵌入风险108

6.5活死人:Visual Basic109

6.6安全工程速查表110

第7章 非HTML类型文档112

7.1纯文本文件112

7.2位图图片113

7.3音频与视频114

7.4各种XML文件114

7.4.1常规XML视图效果115

7.4.2可缩放向量图片116

7.4.3数学标记语言117

7.4.4 XML用户界面语言117

7.4.5无线标记语言118

7.4.6 RSS和 Atom订阅源118

7.5关于不可显示的文件类型119

7.6安全工程速查表120

第8章 浏览器插件产生的内容121

8.1对插件的调用122

8.2文档显示帮助程序124

8.3插件的各种应用框架125

8.3.1 Adobe Flash126

8.3.2 Microsoft Silverlight128

8.3.3 Sun Java129

8.3.4 XML Browser Applications129

8.4 ActiveX Controls130

8.5其他插件的情况131

8.6安全工程速查表132

第二部分 浏览器安全特性134

第9章 内容隔离逻辑134

9.1 DOM的同源策略135

9.1.1 document.domain136

9.1.2 postMessage(…)137

9.1.3与浏览器身份验证的交互138

9.2 XMLHttpRequest的同源策略139

9.3 Web Storage的同源策略141

9.4 Cookies的安全策略142

9.4.1 Cookie对同源策略的影响144

9.4.2域名限制带来的问题145

9.4.3 1ocal host带来的非一般风险145

9.4.4 Cookie与“合法”DNS劫持146

9.5插件的安全规则147

9.5.1 Adobe Flash148

9.5.2 Microsoft Silverlight151

9.5.3 Java151

9.6如何处理格式含糊或意想不到的源信息152

9.6.1 IP地址153

9.6.2主机名里有额外的点号153

9.6.3不完整的主机名153

9.6.4本地文件154

9.6.5伪URL155

9.6.6浏览器扩展和用户界面155

9.7源的其他应用156

9.8安全工程速查表157

第10章 源的继承158

10.1 about:blank页面的源继承158

10.2 data: URL的继承160

10.3 javascript:和vbscript:URL对源的继承162

10.4关于受限伪URL的一些补充163

10.5安全工程速查表164

第11章 同源策略之外的世界165

11.1窗口和框架的交互166

11.1.1改变现有页面的地址166

11.1.2不请自来的框架170

11.2跨域内容包含172

11.3与隐私相关的副作用175

11.4其他的同源漏洞和应用177

11.5安全工程速查表178

第12章 其他的安全边界179

12.1跳转到敏感协议179

12.2访问内部网络180

12.3禁用的端口182

12.4对第三方Cookie的限制184

12.5安全工程速查表186

第13章 内容识别机制187

13.1文档类型检测的逻辑188

13.1.1格式错误的MIMEType写法189

13.1.2特殊的Content-Type值189

13.1.3无法识别的ContentType类型191

13.1.4防御性使用Content-Disposition193

13.1.5子资源的内容设置194

13.1.6文件下载和其他非HTTP内容194

13.2字符集处理196

13.2.1字节顺序标记198

13.2.2字符集继承和覆盖199

13.2.3通过HTML代码设置子资源字符集199

13.2.4非HTTP文件的编码检测201

13.3安全工程速查表202

第14章 应对恶意脚本203

14.1拒绝服务攻击204

14.1.1执行时间和内存使用的限制205

14.1.2连接限制205

14.1.3过滤弹出窗口206

14.1.4对话框的使用限制208

14.2窗口定位和外观问题209

14.3用户界面的时差攻击211

14.4安全工程速查表214

第15章 外围的网站特权215

15.1浏览器和托管插件的站点权限216

15.2表单密码管理217

15.3 IE浏览器的区域模型219

15.4安全工程速查表222

第三部分 浏览器安全机制的未来趋势224

第16章 新的浏览器安全特性与未来展望224

16.1安全模型扩展框架224

16.1.1跨域请求225

16.1.2 XDomainRequest228

16.1.3 Origin请求头的其他应用229

16.2安全模型限制框架230

16.2.1内容安全策略230

16.2.2沙盒框架234

16.2.3严格传输安全236

16.2.4隐私浏览模式237

16.3其他的一些进展237

16.3.1浏览器内置的HTML净化器238

16.3.2 XSS过滤239

16.4安全工程速查表240

第17章 其他值得注意的浏览器机制241

17.1 URL级别和协议级别的提议241

17.2内容相关的特性243

17.3 I/O接口245

第18章 常见的Web安全漏洞246

18.1与Web应用相关的漏洞246

18.2 Web应用设计时应谨记的问题248

18.3服务器端的常见问题250

后记252

注释254

热门推荐