Web应用程序安全

虽然有很多网络和IT安全方面的资源，但是直到现在，依然缺乏详细的现代web应用程序安全相关的知识。这本实用的指南提供了攻防兼备的安全观念，软件工程师可以轻松学习和应用。Salesforce的高级安全工程师AndrewHoffman介绍了Web应用安全的三大支柱：侦察、攻击和防御。你将学习有效研究和分析现代Web应用程序的方法，包括那些你无法直接访问的应用程序。你还将学习如何使用近期新的黑客技术来入侵Web应用。最后，你将学到如何在自己的Web应用程序开发中采取缓解措施，以防止黑客攻击。探索困扰当今Web应用程序的常见漏洞。学习攻击者进行漏洞利用攻击所用的基本的黑客技术。构图和记录你无法直接访问的Web应用程序。开发并部署可以绕过常规防御机制的、定制的漏洞利用程序。制订并部署缓解措施，保护你的应用程序免受黑客攻击。将安全编码的很好实践融入到你的开发生命周期中。获取实用的技巧，帮助你提高Web应用程序的整体安全性。

前言1
第1章软件安全历程21
1.1黑客的起源21
1.2Enigma密码机，约1930年22
1.3自动Enigma密码破解，约1940年26
1.4电话“Phreaking”，约1950年29
1.5防Phreaking技术，约1960年31
1.6计算机黑客的起源，约1980年32
1.7互联网的兴起，约2000年34
1.8现时代的黑客，约2015年之后36
1.9小结40
第一部分侦察
第2章Web应用侦察简介43
2.1信息收集43
2.2Web应用程序构图46
2.3小结48
第3章现代Web应用程序的结构49
3.1现代的与传统的Web应用程序49
3.2REST API52
3.3JS对象标记55
3.4JavaScript.57
3.4.1变量和作用域58
3.4.2函数61
3.4.3上下文62
3.4.4原型继承.63
3.4.5异步模型.66
3.4.6浏览器DOM69
3.5SPA框架71
3.6认证和授权系统72
3.6.1认证73
3.6.2授权74
3.7Web服务器74
3.8服务器端数据库76
3.9客户端数据存储77
3.10小结78
第4章寻找子域79
4.1单域多应用程序79
4.2浏览器内置的网络分析工具80
4.3公开信息利用83
4.3.1搜索引擎缓存84
4.3.2存档信息利用86
4.3.3社交媒体快照88
4.4域传送攻击92
4.5暴力破解子域94
4.6字典攻击101
4.7小结103
第5章API分析105
5.1端点探索105
5.2认证机制109
5.3端点的模型111
5.3.1常见模型111
5.3.2特定于应用的模型112
5.4小结114
第6章识别第三方依赖115
6.1探测客户端框架115
6.1.1探测SPA框架116
6.1.2探测JavaScript库118
6.1.3探测CSS库120
6.2探测服务器端框架121
6.2.1标头探测121
6.2.2默认错误信息和404页面122
6.2.3探测数据库125
6.3小结127
第7章定位应用架构中的薄弱点128
7.1安全架构与不安全架构的标志129
7.2多层安全机制134
7.3采纳和重构135
7.4小结137
第8章第一部分总结139
第二部分攻击
第9章Web应用入侵简介143
9.1黑客的心态143
9.2运用侦察145
第10章XSS攻击147
10.1XSS的发现和利用148
10.2储存型XSS152
10.3反射型XSS154
10.4DOM型XSS157
10.5突变型XSS160
10.6小结162
第11章CSRF攻击163
11.1查询参数篡改164
11.2替换GET的有效载荷169
11.3针对POST端点的CSRF170
11.4小结172
第12章XXE攻击173
12.1直接型XXE174
12.2间接型XXE177
12.3小结179
第13章注入攻击181
13.1SQL注入攻击181
13.2代码注入186
13.3命令注入191
13.4小结195
第14章DoS攻击196
14.1ReDoS（Regex DoS）攻击197
14.2逻辑DoS攻击200
14.3DDoS（分布式DoS）攻击204
14.4小结205
第15章第三方依赖漏洞利用206
15.1集成的方法208
15.1.1分支和复制209
15.1.2自托管的应用程序集成210
15.1.3源代码集成211
15.2软件包管理器212
15.2.1JavaScript包管理器212
15.22Java包管理器214
15.2.3其他语言的包管理器215
15.3CVE（公共漏洞和披露）数据库216
15.4小结217
第16章第二部分总结219
第三部分防御
第17章现代Web应用加固223
17.1防御性软件架构224
17.2全面的代码审查225
17.3漏洞发现225
17.4漏洞分析226
17.5漏洞管理227
17.6回归测试228
17.7缓解策略228
17.8应用侦察和攻击技术229
第18章安全的应用架构230
18.1分析功能需求231
18.2认证和授权232
18.2.1SSL和TLS232
18.2.2安全的凭证234
18.2.3散列凭证信息235
18.2.42FA认证238
18.3PII和财务数据239
18.4搜索240
18.5小结240
第19章代码安全审查243
19.1如何开始代码审查244
19.2原型漏洞与自定义逻辑漏洞245
19.3代码安全审查起步247
19.4安全编码的反面模式249
19.4.1黑名单250
19.4.2模板代码251
19.4.3默认信任反模式252
19.4.4客户端/服务器分离252
19.5小结253
第20章漏洞发现255
20.1安全自动化255
20.1.1静态分析256
20.1.2动态分析258
20.1.3漏洞回归测试259
20.2责任披露计划262
20.3漏洞赏金计划263
20.4第三方渗透测试264
20.5小结265
第21章漏洞管理266
21.1漏洞重现266
21.2漏洞严重等级267
21.3通用漏洞评分系统268
21.3.1CVSS：基础评分269
21.3.2CVSS：时间评分271
21.3.3CVSS：环境评分272
21.4高级漏洞评分273
21.5分拣、评分之后274
21.6小结275
第22章防御XSS攻击276
22.1防御XSS编码很好实践276
22.2净化用户输入279
22.2.1DOM解析接收器280
22.2.2SVG接收器281
22.2.3Blob接收器281
22.2.4超链接净化282
22.2.5HTML实体编码283
22.3CSS284
22.4阻止XSS的CSP285
22.4.1脚本源285
22.4.2Unsafe Eval和Unsafe Inline选项287
22.4.3实现CSP288
22.5小结288
第23章防御CSRF攻击290
23.1标头验证290
23.2CSRF令牌292
23.3防CRSF编码很好实践294
23.3.1无状态GET请求294
23.3.2应用级CSRF缓解296
23.4小结297
第24章防御XXE攻击299
24.1评估其他数据格式300
24.2高级XXE风险301
24.3小结302
第25章防御注入攻击303
25.1缓解SQL注入攻击303
25.1.1SQL注入检测304
25.1.2预编译语句306
25.1.3特定于数据库的防御308
25.2通用注入防御308
25.2.1潜在的注入目标309
25.2.2最小权限原则310
25.2.3命令白名单化311
25.3小结312
第26章防御DoS攻击314
26.1防范RegexDoS攻击315
26.2防范逻辑DoS攻击315
26.3防范DDoS攻击316
26.4缓解DDoS攻击317
26.5小结318
第27章加固第三方依赖320
27.1评估依赖关系树320
27.1.1依赖关系树建模321
27.1.2依赖关系树实例322
27.1.3自动评估322
27.2安全集成技术323
27.2.1关注点分离323
27.2.2安全包管理324
27.3小结325
第28章第三部分小结327
28.1软件安全的历史327
28.2Web应用侦察329
28.3攻击331
28.4防御332
第29章总结336
作者介绍339
封面介绍339