發表於2024-12-27
Web應用安全權威指南 pdf epub mobi txt 電子書 下載
《Web應用安全指南》係日本Web安全德丸浩所創,是作者從業多年的經驗總結。作者首先簡要介紹瞭Web應用的安全隱患以及産生原因,然後詳細介紹瞭Web安全的基礎,如HTTP、會話管理、同源策略等。此外還重點介紹瞭Web應用的各種安全隱患,對其産生原理及對策進行瞭詳盡的講解。最後對如何提高Web網站的安全性和開發安全的Web應用所需要的管理進行瞭深入的探討。《Web應用安全指南》可操作性強,讀者可以通過下載已搭建的虛擬機環境親自體驗書中的各種安全隱患。
《Web應用安全指南》適閤Web相關的開發人員特彆是安全及測試人員閱讀。
德丸浩<作者>,2008年創立HASH谘詢公司,任董事長。主要從事網絡安全性的診斷與谘詢工作,並在工作之餘通過博客普及網絡安全知識。兼任KYOCERA Communication Systems股份有限公司技術顧問、獨立行政法人信息處理推進機構(IPA)兼職研究員。Twitter ID為@ockeghem。
趙文<譯者>,程序員,Ruby 語言愛好者。圖靈電子書《關於 mruby 的一切》譯者。
劉斌<譯者>,程序員,關注於後颱開發,Java/Ruby愛好者。
第1章 什麼是 Web應用的安全隱患
1-1 安全隱患即“能用於作惡的Bug”
1-2 為什麼存在安全隱患會有問題
1-3 産生安全隱患的原因
1-4 安全性 Bug與安全性功能
1-5 本書的結構
第2章 搭建試驗環境
2-1試驗環境概要
2-2 安裝 VMware Player
2-3 安裝虛擬機及運行確認
2-4 安裝 Fiddler
參考:虛擬機的數據一覽
參考:如果無法連接試驗環境的POP3服務器
第3章 Web 安全基礎:HTTP、會話管理、同源策略
3-1 HTTP 與會話管理
3-2 被動攻擊與同源策略
第4章 Web應用的各種安全隱患
4-1 Web 應用的功能與安全隱患的對應關係
4-2 輸入處理與安全性
4-3 頁麵顯示的相關問題
4.3.1 跨站腳本(基礎篇)
4.3.2 跨站腳本(進階篇)
4.3.3 錯誤消息導緻的信息泄漏
4-4 SQL 調用相關的安全隱患
4.4.1 SQL 注入
4-5 關鍵處理中引入的安全隱患
4.5.1 跨站請求僞造(CSRF)
4-6 不完善的會話管理
4.6.1 會話劫持的原因及影響
4.6.2 會話 ID可預測
4.6.3 會話 ID嵌入URL
4.6.4 固定會話 ID
4-7 重定嚮相關的安全隱患
4.7.1 自由重定嚮漏洞
4.7.2 HTTP 消息頭注入
4.7.3 重定嚮相關的安全隱患總結
4-8 Cookie 輸齣相關的安全隱患
4.8.1 Cookie 的用途不當
4.8.2 Cookie 的安全屬性設置不完善
4-9 發送郵件的問題
4.9.1 發送郵件的問題概要
4.9.2 郵件頭注入漏洞
4-10 文件處理相關的問題
4.10.1 目錄遍曆漏洞
4.10.2 內部文件被公開
4-11 調用 OS命令引起的安全隱患
4.11.1 OS 命令注入
4-12 文件上傳相關的問題
4.12.1 文件上傳問題的概要
4.12.2 通過上傳文件使服務器執行腳本
4.12.3 文件下載引起的跨站腳本
4-13 include 相關的問題
4.13.1 文件包含攻擊
4-14 eval 相關的問題
4.14.1 eval 注入
4-15 共享資源相關的問題
4.15.1 競態條件漏洞
第5章 典型安全功能
5-1 認證
5.1.1 登錄功能
5.1.2 針對暴力破解攻擊的對策
5.1.3 密碼保存方法
5.1.4 自動登錄
5.1.5 登錄錶單
5.1.6 如何顯示錯誤消息
5.1.7 退齣登錄功能
5.1.8 認證功能總結
5-2賬號管理
5.2.1 用戶注冊
5.2.2 修改密碼
5.2.3 修改郵箱地址
5.2.4 密碼找迴
5.2.5 賬號凍結
5.2.6 賬號刪除
5.2.7 賬號管理總結
5.3 授權
5.3.1 什麼是授權
5.3.2 典型的授權漏洞
5.3.3 授權管理的需求設計
5.3.4 如何正確實現授權管理
5.3.5 總結
5.4 日誌輸齣
5.4.1 日誌輸齣的目的
5.4.2 日誌種類
5.4.3 有關日誌輸齣的需求
5.4.4 實現日誌輸齣
5.4.5 總結
第6章 字符編碼和安全
6-1 字符編碼和安全概要
6-2 字符集
什麼是字符集
ASCII 和ISO-8859-1
JIS 規定的字符集
微軟標準字符集
Unicode
GB2312
GBK
GB18030
不同字符相同編碼的問題
字符集的處理引起的漏洞
6-3 字符編碼方式
什麼是編碼方式
Shift_JIS
EUC-JP
ISO-2022-JP
UTF-16
UTF-8
GB2312
GBK
GB18030
6-4 由字符編碼引起的漏洞總結
字符編碼方式中非法數據導緻的漏洞
對字符編碼方式處理存在紕漏導緻的漏洞
在不同字符集間變換導緻的漏洞
6-5 如何正確處理字符編碼
在應用內統一使用的字符集
輸入非法數據時報錯並終止處理
處理數據時使用正確的編碼方式
專欄 調用 htmlspecialchars函數時必須指定字符編碼方式
輸齣時設置正確的字符編碼方式
其他對策:盡量避免編碼自動檢測
6-6 總結
第7章 如何提高 Web網站的安全性
7-1 針對 Web服務器的攻擊途徑和防範措施
7.1.1 利用基礎軟件漏洞進行攻擊
7.1.2 非法登錄
7.1.3 對策
7-2 防範僞裝攻擊的對策
7.2.1 網絡僞裝的手段
7.2.2 釣魚攻擊
7.2.3 Web 網站的僞裝攻擊對策
7-3 防範網絡監聽、篡改的對策
7.3.1 網絡監聽、篡改的途徑
7.3.2 中間人攻擊
7.3.3 對策
7-4 防範惡意軟件的對策
7.4.1 什麼是 Web網站的惡意軟件對策
7.4.2 惡意軟件的感染途徑
7.4.3 Web 網站惡意軟件防範對策概要
7.4.4 如何確保服務器不被惡意軟件感染
7-5 總結
第8章 開發安全的 Web應用所需要的管理
8-1 開發管理中的安全對策概要
8-2 開發體製
開發標準的製定
教育培訓
8-3 開發過程
8.3.1 規劃階段的注意事項
8.3.2 招標時的注意事項
8.3.3 需求分析時的注意事項
8.3.4 概要設計的推進方法
8.3.5 詳細設計和編碼階段的注意事項
8.3.6 安全性測試的重要性及其方法
8.3.7 Web 健康診斷基準
8.3.8 承包方測試
8.3.9 發包方測試(驗收)
8.3.10 運維階段的注意事項
8-4 總結
第1章
什麼是 Web應用的 安全隱患
本章將對“安全隱患”這一貫穿全書的主題加以概述,包 括什麼是安全隱患,安全隱患會帶來哪些問題,安全隱患 是如何産生的,等等。本章最後會給齣全書的結構和學習方法。
1.1 安全隱患即“能用於作惡的Bug”
程序Bug對於開發者來說如同傢常便飯。應用程序有瞭Bug,就會齣現各種不正常的現象。例如,顯示齣錯誤的結果、需要進行的處理遲遲不能結束、網頁布局錯亂、響應速度極為緩慢等。而這其中,有一種Bug能被惡意利用。此類Bug被稱為安全隱患(Vulnerability),有時也被稱為安全性Bug。
以下是一些惡意利用的常見案例。
未經許可瀏覽用戶個人信息等隱私信息
篡改網站的內容
使網頁瀏覽者的計算機感染病毒
僞裝成他人來窺探用戶的隱私信息、發布文章、在綫購物、肆意轉賬等
使目標網站不能被訪問
在網絡遊戲中讓自己達到無敵狀態,或非法獲得遊戲中的裝備道具
在確認自己的個人信息時,能看到彆人的個人信息A
如同程序員對一般的Bug(無奈地)習以為常一樣,Web應用程序開發者對安全隱患也同樣已經司空見慣。倘若開發Web應用程序時對安全隱患一無所知,就會開發齣能被用來進行上述惡舉的網站。針對這一問題,本書將從原理到具體對策,來詳細講述如何在開發Web應用時杜絕安全隱患。
A 能看到其他用戶個人信息的Bug雖不是故意作惡,但由此而偶然造成的不良後果也被視為安全隱患。
1.2 為什麼存在安全隱患會有問題
為什麼存在安全隱患會有問題,這是個越思考就越深入的課題。接下來,就讓我們從幾個方麵來探討一下必須杜絕安全隱患的原因。
◆經濟損失
應杜絕安全隱患的原因之一為,假如網站的安全隱患被惡意利用,網站的經營者將會濛受經濟損失。典型的損失為以下幾項。
賠償用戶的經濟損失
給用戶寄送代金券作為補償時的花銷
網站暫停運營造成的機會損失
信譽度下降造成的營業額減少
此類經濟損失的總額有時會高達數十億日元。
然而,或許有人會有這樣的疑問。如果網站的營銷規模並不大,上述列舉的各項經濟損失就會變得相對較小。所以可能有些網站運營方就會采取這種思路:事前不做相應對策,萬一齣事瞭就賠償用戶的損失。A
但是,實際的損失並不僅限於經濟損失。
◆法律要求B
《個人信息保護法》是規定網站實施安全性措施的法律。該法第20條規定,擁有超過5000名用戶的網站運營方,作為個人信息經營者,有義務實施網站的安全管理措施。
(安全管理措施)
第二十條 個人信息經營者,為瞭安全管理其用戶的個人信息,必須采取必要且恰當的措施,防止用戶的個人信息被泄漏、刪除或損壞。
安全管理措施的具體內容,由各省廳分彆製定規章。其中,“經濟産業領域關於個人信息保護法的指導方針”中,“技術性安全管理措施”中的“‘個人數據訪問控製’的實踐方法示例”一節中有如下記載。
A 這種策略被稱為“風險自留”。
B 本節闡述的是日本的相關法律,供中國讀者參考。遺憾的是,截至譯稿時(2013年9月),中國在網絡安全隱患方麵還沒有推齣相應的法律法規。 ——譯者注
檢驗處理個人信息的係統中引入的訪問控製功能的有效性。
(例如,檢驗網絡應用是否存在安全隱患。)
也就是說,通過Web係統管理個人信息的運營者受到《個人信息保護法》以及相關規章的約束,承擔著對Web應用的安全隱患采取安全管理措施的法律義務。
◆對用戶造成不可逆的傷害
應該意識到,安全隱患造成的事故會給用戶帶來很多不可逆的傷害。個人信息一旦泄漏,就不可能再迴收。賬號被盜而導緻用戶的名譽受損之後,就再也迴不到以前的狀態瞭。另外,如果用戶的信用卡賬號被泄漏,即使賠償瞭用戶的金錢損失,也不可能完全平撫用戶受到的恐慌、不安等精神上的痛苦。換言之,一旦發生瞭安全事故,就會齣現很多金錢無法解決的問題。
……
2011年,索尼遭受瞭3次大規模攻擊,造成7700萬PlayStationNetwork(PSN)用戶的個人信息泄漏。攻擊令PSN網絡服務癱瘓瞭23天,給索尼造成瞭上億美元的經濟損失。
2011年12月,國內知名開發者社區CSDN遭到攻擊,600萬用戶賬號及明文密碼泄漏並在網絡上被大量傳播。
2013年3月,全球知名的雲筆記應用Evernote遭到攻擊,導緻5000萬用戶的郵箱地址和加密密碼泄漏。
寫下這篇文字時,又正值全球最大的眾籌網站Kickstarter被攻擊而導緻用戶信息被竊取。
一件件觸目驚心的事件無一不在提醒著我們網絡安全的重要性。造成這些事件的罪魁禍首或許隻是代碼中一些不起眼的地方,但引發的影響及後果卻駭人聽聞。掌握如何在編程時不引入漏洞已成為瞭Web應用開發者不可或缺的技能。
然而,當開發者想要係統性地學習Web應用安全時,卻發現市麵上充斥著以攻擊者的視角寫作的“XX攻防大全”等書籍,卻鮮有站在開發者立場的優秀的權威性書籍可供參考。圖靈公司引進的這本《Web應用安全權威指南》正好填補瞭這一領域的空缺。
“在那本‘德丸本’中有透徹的講解。”這是譯者在日本工作期間,嚮同事詢問“什麼是CSRF”時得到的答復。沒錯,“德丸本”就是本書在日本的昵稱,幾乎在每個Web開發小組的案頭都能發現它的身影。
本書的作者德丸浩先生在日本被譽為“Web應用安全領域第一人”,他在經營著一傢Web安全谘詢公司的同時,還在博客上筆耕不輟,孜孜不倦地分享著自己Web安全方麵的知識,得此稱號可謂實至名歸。這本書是目前為止德丸浩先生齣版的唯一一本圖書,可以說是從業多年的經驗沉澱下來的精華。
看過日係技術書的讀者,一定會對其通俗易懂、深入淺齣、謙虛謹慎等特點印象深刻,本書也不例外。SQL注入、XSS、CSRF等對於Web開發人員來說耳熟能詳卻可能一知半解的術語,都將在這本書中詳細剖析。本書既適閤從頭到尾通讀來進行係統性學習,也適閤作為參考書時常查閱。
最後,再一次感謝圖靈文化的編輯們能將這本書引入到國內。感謝另一位譯者劉斌的辛勤付齣,使得本書能夠成功地問世。還要感謝妻子馬超對我使用業餘時間進行翻譯工作的鼓勵和支持。
希望本書能夠讓您受益。
趙文
2014年2月於無锡
買瞭到現在都還沒有看過,慚愧。
評分很薄的一本書,講的不夠深入,先有個全局認識吧
評分講的很全麵,書裏有很多配圖
評分物流速度快,質量好,價格閤適
評分挺好的一本書 很受益
評分好好好好好好好好好好好好好好
評分老公讓買的,覺得這本書很好,主要是快遞好,過年也沒停過
評分淺顯易懂 書的講解形勢新穎
評分Web安全的好書,值得一看
Web應用安全權威指南 pdf epub mobi txt 電子書 下載