白帽子講web安全epub格式【免費(fèi)完整版】

白帽子講web安全全書以攻——防——攻——防的脈絡(luò)將web安全的要點(diǎn)梳理了一遍，是一本講述網(wǎng)絡(luò)安全相關(guān)的書籍。書籍內(nèi)容很有價(jià)值，方便更整體地了解安全這個(gè)水平領(lǐng)域。本節(jié)內(nèi)容小編為大家整理帶來的這本白帽子講web安全電子書為epub格式免費(fèi)完整版，需要查閱的朋友點(diǎn)擊本文相應(yīng)的下載地址進(jìn)行下載后即可查閱！

白帽子講web安全目錄

第一篇 世界觀安全

第1章 我的安全世界觀2

1.1 web安全簡史2

1.1.1 中國黑客簡史2

1.1.2 黑客技術(shù)的發(fā)展歷程3

1.1.3 web安全的興起5

1.2 黑帽子，白帽子6

1.3 返璞歸真，揭秘安全的本質(zhì)7

1.4 破除迷信，沒有銀彈9

1.5 安全三要素10

1.6 如何實(shí)施安全評估11

1.6.1 資產(chǎn)等級劃分12

1.6.2 威脅分析13

1.6.3 風(fēng)險(xiǎn)分析14

1.6.4 設(shè)計(jì)安全方案15

1.7 白帽子兵法16

1.7.1 secure by default原則16

1.7.2 縱深防御原則18

1.7.3 數(shù)據(jù)與代碼分離原則19

.1.7.4 不可預(yù)測性原則21

1.8 小結(jié)22

（附）誰來為漏洞買單？23

第二篇 客戶端腳本安全

第2章 瀏覽器安全26

2.1 同源策略26

2.2 瀏覽器沙箱30

2.3 惡意網(wǎng)址攔截33

2.4 高速發(fā)展的瀏覽器安全36

2.5 小結(jié)39

第3章 跨站腳本攻擊（xss）40

3.1 xss簡介40

3.2 xss攻擊進(jìn)階43

3.2.1 初探xss payload43

3.2.2 強(qiáng)大的xss payload46

3.2.3 xss 攻擊平臺(tái)62

3.2.4 終極武器：xss worm64

3.2.5 調(diào)試javascript73

3.2.6 xss構(gòu)造技巧76

3.2.7 變廢為寶：mission impossible82

3.2.8 容易被忽視的角落：flash xss85

3.2.9 真的高枕無憂嗎：javascript開發(fā)框架87

3.3 xss的防御89

3.3.1 四兩撥千斤：httponly89

3.3.2 輸入檢查93

3.3.3 輸出檢查95

3.3.4 正確地防御xss99

3.3.5 處理富文本102

3.3.6 防御dom based xss103

3.3.7 換個(gè)角度看xss的風(fēng)險(xiǎn)107

3.4 小結(jié)107

第4章 跨站點(diǎn)請求偽造（csrf）109

4.1 csrf簡介109

4.2 csrf進(jìn)階111

4.2.1 瀏覽器的cookie策略111

4.2.2 p3p頭的副作用113

4.2.3 get? post?116

4.2.4 flash csrf118

4.2.5 csrf worm119

4.3 csrf的防御120

4.3.1 驗(yàn)證碼120

4.3.2 referer check120

4.3.3 anti csrf token121

4.4 小結(jié)124

第5章 點(diǎn)擊劫持（clickjacking）125

5.1 什么是點(diǎn)擊劫持125

5.2 flash點(diǎn)擊劫持127

5.3 圖片覆蓋攻擊129

5.4 拖拽劫持與數(shù)據(jù)竊取131

5.5 clickjacking 3.0：觸屏劫持134

5.6 防御clickjacking136

5.6.1 frame busting136

5.6.2 x-frame-options137

5.7 小結(jié)138

第6章 html 5 安全139

6.1 html 5新標(biāo)簽139

6.1.1 新標(biāo)簽的xss139

6.1.2 iframe的sandbox140

6.1.3 link types: noreferrer141

6.1.4 canvas的妙用141

6.2 其他安全問題144

6.2.1 cross-origin resource sharing144

6.2.2 postmessage——跨窗口傳遞消息146

6.2.3 web storage147

6.3 小結(jié)150

第三篇 服務(wù)器端應(yīng)用安全

第7章 注入攻擊152

7.1 sql注入152

7.1.1 盲注（blind injection）153

7.1.2 timing attack155

7.2 數(shù)據(jù)庫攻擊技巧157

7.2.1 常見的攻擊技巧157

7.2.2 命令執(zhí)行158

7.2.3 攻擊存儲(chǔ)過程164

7.2.4 編碼問題165

7.2.5 sql column truncation167

7.3 正確地防御sql注入170

7.3.1 使用預(yù)編譯語句171

7.3.2 使用存儲(chǔ)過程172

7.3.3 檢查數(shù)據(jù)類型172

7.3.4 使用安全函數(shù)172

7.4 其他注入攻擊173

7.4.1 xml注入173

7.4.2 代碼注入174

7.4.3 crlf注入176

7.5 小結(jié)179

第8章 文件上傳漏洞180

8.1 文件上傳漏洞概述180

8.1.1 從fckeditor文件上傳漏洞談起181

8.1.2 繞過文件上傳檢查功能182

8.2 功能還是漏洞183

8.2.1 apache文件解析問題184

8.2.2 iis文件解析問題185

8.2.3 php cgi路徑解析問題187

8.2.4 利用上傳文件釣魚189

8.3 設(shè)計(jì)安全的文件上傳功能190

8.4 小結(jié)191

第9章 認(rèn)證與會(huì)話管理192

9.1 who am i?192

9.2 密碼的那些事兒193

9.3 多因素認(rèn)證195

9.4 session與認(rèn)證196

9.5 session fixation攻擊198

9.6 session保持攻擊199

9.7 單點(diǎn)登錄（sso）201

9.8 小結(jié)203

第10章 訪問控制205

10.1 what can i do?205

10.2 垂直權(quán)限管理208

10.3 水平權(quán)限管理211

10.4 oauth簡介213

10.5 小結(jié)219

第11章 加密算法與隨機(jī)數(shù)220

11.1 概述220

11.2 stream cipher attack222

11.2.1 reused key attack222

11.2.2 bit-flipping attack228

11.2.3 弱隨機(jī)iv問題230

11.3 wep破解232

11.4 ecb模式的缺陷236

11.5 padding oracle attack239

11.6 密鑰管理251

11.7 偽隨機(jī)數(shù)問題253

11.7.1 弱偽隨機(jī)數(shù)的麻煩253

11.7.2 時(shí)間真的隨機(jī)嗎256

11.7.3 破解偽隨機(jī)數(shù)算法的種子257

11.7.4 使用安全的隨機(jī)數(shù)265

11.8 小結(jié)265

（附）understanding md5 length extension attack267

第12章 web框架安全280

12.1 mvc框架安全280

12.2 模板引擎與xss防御282

12.3 web框架與csrf防御285

12.4 http headers管理287

12.5 數(shù)據(jù)持久層與sql注入288

12.6 還能想到什么289

12.7 web框架自身安全289

12.7.1 struts 2命令執(zhí)行漏洞290

12.7.2 struts 2的問題補(bǔ)丁291

12.7.3 spring mvc命令執(zhí)行漏洞292

12.7.4 django命令執(zhí)行漏洞293

12.8 小結(jié)294

第13章 應(yīng)用層拒絕服務(wù)攻擊295

13.1 ddos簡介295

13.2 應(yīng)用層ddos297

13.2.1 cc攻擊297

13.2.2 限制請求頻率298

13.2.3 道高一尺，魔高一丈300

13.3 驗(yàn)證碼的那些事兒301

13.4 防御應(yīng)用層ddos304

13.5 資源耗盡攻擊306

13.5.1 slowloris攻擊306

13.5.2 http post dos309

13.5.3 server limit dos310

13.6 一個(gè)正則引發(fā)的血案：redos311

13.7 小結(jié)315

第14章 php安全317

14.1 文件包含漏洞317

14.1.1 本地文件包含319

14.1.2 遠(yuǎn)程文件包含323

14.1.3 本地文件包含的利用技巧323

14.2 變量覆蓋漏洞331

14.2.1 全局變量覆蓋331

14.2.2 extract()變量覆蓋334

14.2.3 遍歷初始化變量334

14.2.4 import_request_variables變量覆蓋335

14.2.5 parse_str()變量覆蓋335

14.3 代碼執(zhí)行漏洞336

14.3.1 “危險(xiǎn)函數(shù)”執(zhí)行代碼336

14.3.2 “文件寫入”執(zhí)行代碼343

14.3.3 其他執(zhí)行代碼方式344

14.4 定制安全的php環(huán)境348

14.5 小結(jié)352

第15章 web server配置安全353

15.1 apache安全353

15.2 nginx安全354

15.3 jboss遠(yuǎn)程命令執(zhí)行356

15.4 tomcat遠(yuǎn)程命令執(zhí)行360

15.5 http parameter pollution363

15.6 小結(jié)364

第四篇 互聯(lián)網(wǎng)公司安全運(yùn)營

第16章 互聯(lián)網(wǎng)業(yè)務(wù)安全366

16.1 產(chǎn)品需要什么樣的安全366

16.1.1 互聯(lián)網(wǎng)產(chǎn)品對安全的需求367

16.1.2 什么是好的安全方案368

16.2 業(yè)務(wù)邏輯安全370

16.2.1 永遠(yuǎn)改不掉的密碼370

16.2.2 誰是大贏家371

16.2.3 瞞天過海372

16.2.4 關(guān)于密碼取回流程373

16.3 賬戶是如何被盜的374

16.3.1 賬戶被盜的途徑374

16.3.2 分析賬戶被盜的原因376

16.4 互聯(lián)網(wǎng)的垃圾377

16.4.1 垃圾的危害377

16.4.2 垃圾處理379

16.5 關(guān)于網(wǎng)絡(luò)釣魚380

16.5.1 釣魚網(wǎng)站簡介381

16.5.2 郵件釣魚383

16.5.3 釣魚網(wǎng)站的防控385

16.5.4 網(wǎng)購流程釣魚388

16.6 用戶隱私保護(hù)393

16.6.1 互聯(lián)網(wǎng)的用戶隱私挑戰(zhàn)393

16.6.2 如何保護(hù)用戶隱私394

16.6.3 do-not-track396

16.7 小結(jié)397

（附）麻煩的終結(jié)者398

第17章 安全開發(fā)流程（sdl）402

17.1 sdl簡介402

17.2 敏捷sdl406

17.3 sdl實(shí)戰(zhàn)經(jīng)驗(yàn)407

17.4 需求分析與設(shè)計(jì)階段409

17.5 開發(fā)階段415

17.5.1 提供安全的函數(shù)415

17.5.2 代碼安全審計(jì)工具417

17.6 測試階段418

17.7 小結(jié)420

第18章 安全運(yùn)營422

18.1 把安全運(yùn)營起來422

18.2 漏洞修補(bǔ)流程423

18.3 安全監(jiān)控424

18.4 入侵檢測425

18.5 緊急響應(yīng)流程428

18.6 小結(jié)430

（附）談?wù)劵ヂ?lián)網(wǎng)企業(yè)安全的發(fā)展方向431

白帽子講web安全內(nèi)容簡介

在互聯(lián)網(wǎng)時(shí)代，數(shù)據(jù)安全與個(gè)人隱私受到了前所未有的挑戰(zhàn)，各種新奇的攻擊技術(shù)層出不窮。如何才能更好地保護(hù)我們的數(shù)據(jù)？《白帽子講Web安全》將帶你走進(jìn)Web安全的世界，讓你了解Web安全的方方面面。黑客不再變得神秘，攻擊技術(shù)原來我也可以會(huì)，小網(wǎng)站主自己也能找到正確的安全道路。大公司是怎么做安全的，為什么要選擇這樣的方案呢？你能在《白帽子講Web安全》中找到答案。詳細(xì)的剖析，讓你不僅能“知其然”，更能“知其所以然”。

白帽子講web安全內(nèi)容截圖