书籍详情
AJAX安全技术
作者:(美)霍夫曼(Hoffman,B.),(美)苏里沃(Sullivan,B.) 著,张若飞,王铮 译
出版社:电子工业出版社
出版时间:2009-01-01
ISBN:9787121079306
定价:¥55.00
购买这本书可以去
内容简介
一本防范AJAX安全漏洞的实用指南。如今,越来越多的网站都被改写成AJAX应用程序,甚至传统的桌面软件也通过AJAX,迅速转向了Web领域。但是在这个过程中,人们通常都没有考虑到安全的问题。如果不恰当地设计、编写了AJAX应用程序,那么它们会比传统桌面程序存在更多的安全漏洞。AJAX开发人员无时无刻都希望有一本指南,能够指导他们如何来保护自己的应用程序——他们终于等到了这一天。《AJAX安全技术》—书,系统地分析了当今最危险的AJAX漏洞用现实中的代码阐述了大量关键性的安全理念,并对实际中的案例,例如MySpace的Samy蠕虫病毒,进行了详尽分析。更重要的是,不管你使用何种主流的Web编程语言和环境,例如.NET、Java或PHP,本书都给出了许多具体、前沿的建议。通过本书你将了解到以下几点:如何刚氐AJAX特有的安全风险,包}舌过度细分的Web服务、应用程序控制流程篡改以及对程序逻辑的操控。 如何预防针对AJAX的攻击手段,包括JavaScript劫持、持久化存储窃取以及对mashup程序的渗透。 如何避免基于XSS和SQL注入的攻击,包括由AJAX衍生出来的SQL注入攻击(只需要两次请求就可以暴露整个后台数据库)。 如何使用Google Gears和Doj0开发安全的离线AJAX应用程序。 如何发现Prototype、DWR及ASRNET AJAX等AJAX框架中的安全问题以及我们自己仍需实现哪些功能。 如何更安全地编写AJAX代码,如何确定并修改已有代码中的安全缺陷。不管是编写或者维护AJAX应用程序的开发人员、架构师,还是打算或正在设计新AJAX程序的项目经理,以及包括QA和渗透测试人员在内的所有软件安全人士,(AJAX安全技术》—书都是必不可少的。
作者简介
Billy Hoffman是惠普安全实验室的首席安全研究员,专注于如何自动发掘Web应用程序中的漏洞。他经常在Black Hat、RSA、Toorcon、Shmoocon、Infosec及AJAXWorld等会议上发表演讲,也曾受到过FBI的邀请进行演讲。
目录
第1章 AJAX安全介绍
1.1 AJAx基础知识
1.1.1 什么是AJAX
1.1.2 动态HTML(DHTML)
1.2 AJAX架构(Architecture)的转变过程
1.2.1 胖客户端架构
1.2.2 瘦客户端架构
1.2.3 AJAX:最适合的架构
1.2.4 从安全角度看胖客户端应用程序
1.2.5 从安全角度看瘦客户端应用程序
1.2.6 从安全角度看AJAX架构
1.3 一场完美的攻击风暴
1.3.1 不断增加的复杂度、透明度及代码量
1.3.2 社会学问题
1.3.3 AJAX应用程序:富有吸引力的、战略上的目标
1.4 本章小结
第2章 劫持
2.1 攻击HighTechVactions.net
2.1.1 攻击票务系统
2.1.2 攻击客户端数据绑定
2.1.3 攻击AJAX APl
2.2 黑夜中的盗窃
第3章 Web攻击
3.1 基本攻击分类
3.1.1 资源枚举
3.1.2 参数操纵
3.2 其他攻击
3.2.1 跨站请求伪造攻击
3.2.2 钓鱼攻击
3.2.3 拒绝服务(Denial.of-Service,DoS)
3.3 保护Web应用程序免受资源枚举和参数操作的攻击
3.4 本章小结
第4章 AJAX攻击层面
4.1 什么是攻击层面
4.2 传统W曲应用程序的攻击层面
4.2.1 表单输入
4.2.2 cookie-
4.2.3 报头
4.2.4 隐藏的表单输入
4.2.5 请求参数
4.2.6 上传文件
4.3 传统的web应用程序攻击:一份成绩单
4.4 Web服务的攻击层面
4.4.1 Web服务的方法
4.4.2 Web服务的定义
4.5 AJAx应用程序的攻击层面
4.5.1 AJAX应用程序攻击层面的来源
4.5.2 黑客的最爱
4.6 正确的输入验证
4.6.1 有关黑名单及其他补丁的问题
4.6.2 治标不治本
4.6.3 白名单输入验证
4.6.4 正则表达式
4.6.5 关于输入验证的其他想法
4.7 验证富客户端的用户输入
4.7.1 验证标记语言
4.7.2 验证二进制文件
4.7.3 验证JavaScfipt源代码
4.7.4 验证序列化数据
4.8 关于由用户提供的内容
4.9 本章小结
……
第5章 AJAX代码的复杂性
第6章 AJAX应用程序的透明度
第7章 劫持AJAX应用程序
第8章 攻击客户储存储
第9章 离线AJAX应用程序
第10章 请求来源问题
第11章 Web Mashup和聚合程序
第12章 攻击表现层
第13章 JavaScript蠕虫
第14章 测试AJAX应用程序
第15章 AJAX框架分析
附录A Samy蠕虫源代码
附录B Yamanner蠕虫源代码
1.1 AJAx基础知识
1.1.1 什么是AJAX
1.1.2 动态HTML(DHTML)
1.2 AJAX架构(Architecture)的转变过程
1.2.1 胖客户端架构
1.2.2 瘦客户端架构
1.2.3 AJAX:最适合的架构
1.2.4 从安全角度看胖客户端应用程序
1.2.5 从安全角度看瘦客户端应用程序
1.2.6 从安全角度看AJAX架构
1.3 一场完美的攻击风暴
1.3.1 不断增加的复杂度、透明度及代码量
1.3.2 社会学问题
1.3.3 AJAX应用程序:富有吸引力的、战略上的目标
1.4 本章小结
第2章 劫持
2.1 攻击HighTechVactions.net
2.1.1 攻击票务系统
2.1.2 攻击客户端数据绑定
2.1.3 攻击AJAX APl
2.2 黑夜中的盗窃
第3章 Web攻击
3.1 基本攻击分类
3.1.1 资源枚举
3.1.2 参数操纵
3.2 其他攻击
3.2.1 跨站请求伪造攻击
3.2.2 钓鱼攻击
3.2.3 拒绝服务(Denial.of-Service,DoS)
3.3 保护Web应用程序免受资源枚举和参数操作的攻击
3.4 本章小结
第4章 AJAX攻击层面
4.1 什么是攻击层面
4.2 传统W曲应用程序的攻击层面
4.2.1 表单输入
4.2.2 cookie-
4.2.3 报头
4.2.4 隐藏的表单输入
4.2.5 请求参数
4.2.6 上传文件
4.3 传统的web应用程序攻击:一份成绩单
4.4 Web服务的攻击层面
4.4.1 Web服务的方法
4.4.2 Web服务的定义
4.5 AJAx应用程序的攻击层面
4.5.1 AJAX应用程序攻击层面的来源
4.5.2 黑客的最爱
4.6 正确的输入验证
4.6.1 有关黑名单及其他补丁的问题
4.6.2 治标不治本
4.6.3 白名单输入验证
4.6.4 正则表达式
4.6.5 关于输入验证的其他想法
4.7 验证富客户端的用户输入
4.7.1 验证标记语言
4.7.2 验证二进制文件
4.7.3 验证JavaScfipt源代码
4.7.4 验证序列化数据
4.8 关于由用户提供的内容
4.9 本章小结
……
第5章 AJAX代码的复杂性
第6章 AJAX应用程序的透明度
第7章 劫持AJAX应用程序
第8章 攻击客户储存储
第9章 离线AJAX应用程序
第10章 请求来源问题
第11章 Web Mashup和聚合程序
第12章 攻击表现层
第13章 JavaScript蠕虫
第14章 测试AJAX应用程序
第15章 AJAX框架分析
附录A Samy蠕虫源代码
附录B Yamanner蠕虫源代码
猜您喜欢