首页 网络安全 安全学院 查看内容

豆瓣评分8.5!世界顶级黑客写的这本Web安全指南一定要看

2019-5-31 00:44 |来自: 互联网 1218 0

摘要: 由于网络技术日趋成熟,黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击。对于web攻击也是非常简单的,随着各大企业对安全的重视,Web安全也 ...
关键词: 安全 浏览器 web 应用程序 问题 Zalewski 以及 内容 漏洞 详细

程序员书库(ID:OpenSourceTop) 编译
书单来自:https://www.ethicalhacker.net/features/book-reviews/book-review-the-tangled-web/


由于网络技术日趋成熟,黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击。对于web攻击也是非常简单的,随着各大企业对安全的重视,Web安全也就越来越重要了。


被誉为IT安全领域最有影响力的11位黑客之一的Michal Zalewski写过很多有关现代Web应用程序安全的文章,还写了一本相关的书籍——《Web之困:现代Web应用安全指南》




这些应用程序应用基于各种各样的技术构建,久而久之必然出现许多漏洞,Michal Zalewski详细分析了Web应用程序的各个层次,从HTTP通信到浏览器和服务器端脚本,并剖析了web应用程序和浏览器代码可能会带来的安全隐患等,然后,作者将介绍开发人员如何解决这些问题,以及如何通过新的和修改后的代码来解决这些问题。


本书从浏览器设计的角度切入,以探讨浏览器的各主要特性和由此衍生出来的各种安全相关问题,但实际上目前并没有没有一个基本的框架来评估现代软件的安全性。因此,让我们更深入地研究这本书,看看扎Zalewski是如何解决这些问题的,如何帮助开发者理清这一团乱摊子。


阅读路线


本书主要由三大部分组成:

第一部分:网络解剖学讨论的主题,诸如众所周知的主题包括url、HTTP和CSS等。作者不仅详细介绍了每种技术的细节,并详细解释了由于最初设计方法的不足,每种技术中的漏洞是如何存在的,在这之前还简要概述了web的发展,以及这么多的安全问题如何产生的。


Michal Zalewski 揭示了这样一个事实:多数浏览器用户对计算机技术不熟练;因此,他们根本不知道如何以安全的方式使用网络。正是这一现象导致了当前的困境,Michal Zalewski详细介绍了一些基础的知识,比如如何解析相对url;事实上,这并非易事。不同浏览器解析URL时的不一致性和对特殊URL模式的错误解析都会导致出现安全问题,从而影响到用户。


第二部分:主要介绍浏览器的安全特性。作者探讨了内容隔离逻辑、解释dom的同源策略以及localhost带来的非一般风险等主题。


第9章至第11章将介绍如何在Flash、cookie、插件、JavaScript限制之间正确使用同源策略,以及如何解决这些限制。这一部分代表了本书的核心内容,并以轻松的方式描述,在这点上我只能说Zalewski的写作方式真是厉害


第三部分:浏览器安全机制的未来趋势,他实际上描绘了一幅积极的未来蓝图。本节将讨论内容安全策略(CSP)、沙盒框架(CORS)、严格传输安全(HSTS)以及对现代浏览器的其他调整。


第三部分的最后一章专门讨论了Web应用程序的一些常见漏洞,这些漏洞对于Web应用程序渗透测试人员来说是一个很好的资源。


在每一章的末尾都有一个“安全工程”备忘单。任何想要扩展渗透测试工具包的渗透测试人员都应该仔细阅读,不仅如此,任何一个需要设计Web应用程序编程的开发者都应该阅读这本书。


这并不是一本能让你一下子掌握所有Web安全知识的书,但是它却可以让你深度思考Web安全性方面的问题,同时还会提醒你一些你从未想过/碰到过的问题

详细的目录如下:




读者书评:

@会心:序言说的对,这书很多地方举重若轻,一句话的时候其实查起来背景知识很复杂。不过翻译的有的地方有点乱。。
@hblf:没基础的暂时先别读这本书,内容有深度,不适宜初学者。
@伊朗:书本结构完整体系化,内容讲解详实且深入浅出,非常赞的一本书
本文出处: https://www.toutiao.com/a6696239744432472587/
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系 [邮箱地址] 删除

路过

雷人

握手

鲜花

鸡蛋

最新评论

返回顶部