●前言1
第1章軟件安全歷程21
1.1黑客的起源21
1.2Enigma密碼機，約1930年22
1.3自動Enigma密碼破解，約1940年26
1.4電話“Phreaking”，約1950年29
1.5防Phreaking技術，約1960年31
1.6計算機黑客的起源，約1980年32
1.7互聯網的興起，約2000年34
1.8現時代的黑客，約2015年之後36
1.9小結40
第一部分偵察
第2章Web應用偵察簡介43
2.1信息收集43
2.2Web應用程序構圖46
2.3小結48
第3章現代Web應用程序的結構49
3.1現代的與傳統的Web應用程序49
3.2REST API52
3.3JS對像標記55
3.4JavaScript.57
3.4.1變量和作用域58
3.4.2函數61
3.4.3上下文62
3.4.4原型繼承.63
3.4.5異步模型.66
3.4.6瀏覽器DOM69
3.5SPA框架71
3.6認證和授權繫統72
3.6.1認證73
3.6.2授權74
3.7Web服務器74
3.8服務器端數據庫76
3.9客戶端數據存儲77
3.10小結78
第4章尋找子域79
4.1單域多應用程序79
4.2瀏覽器內置的網絡分析工具80
4.3公開信息利用83
4.3.1搜索引擎緩存84
4.3.2存檔信息利用86
4.3.3社交媒體快照88
4.4域傳送攻擊92
4.5暴力破解子域94
4.6字典攻擊101
4.7小結103
第5章API分析105
5.1端點探索105
5.2認證機制109
5.3端點的模型111
5.3.1常見模型111
5.3.2特定於應用的模型112
5.4小結114
第6章識別第三方依賴115
6.1探測客戶端框架115
6.1.1探測SPA框架116
6.1.2探測JavaScript庫118
6.1.3探測CSS庫120
6.2探測服務器端框架121
6.2.1標頭探測121
6.2.2默認錯誤信息和404頁面122
6.2.3探測數據庫125
6.3小結127
第7章定位應用架構中的薄弱點128
7.1安全架構與不安全架構的標志129
7.2多層安全機制134
7.3采納和重構135
7.4小結137
第8章第一部分總結139
第二部分攻擊
第9章Web應用入侵簡介143
9.1黑客的心態143
9.2運用偵察145
第10章XSS攻擊147
10.1XSS的發現和利用148
10.2儲存型XSS152
10.3反射型XSS154
10.4DOM型XSS157
10.5突變型XSS160
10.6小結162
第11章CSRF攻擊163
11.1查詢參數篡改164
11.2替換GET的有效載荷169
11.3針對 T端點的CSRF170
11.4小結172
第12章XXE攻擊173
12.1直接型XXE174
12.2間接型XXE177
12.3小結179
第13章注入攻擊181
13.1SQL注入攻擊181
13.2代碼注入186
13.3命令注入191
13.4小結195
第14章DoS攻擊196
14.1ReDoS（Regex DoS）攻擊197
14.2邏輯DoS攻擊200
14.3DDoS（分布式DoS）攻擊204
14.4小結205
第15章第三方依賴漏洞利用206
15.1集成的方法208
15.1.1分支和復制209
15.1.2自托管的應用程序集成210
15.1.3源代碼集成211
15.2軟件包管理器212
15.2.1JavaScript包管理器212
15.22Java包管理器214
15.2.3其他語言的包管理器215
15.3CVE（公共漏洞和披露）數據庫216
15.4小結217
第16章第二部分總結219
第三部分防御
第17章現代Web應用加固223
17.1防御性軟件架構224
17.2全面的代碼審查225
17.3漏洞發現225
17.4漏洞分析226
17.5漏洞管理227
17.6回歸測試228
17.7緩解策略228
17.8應用偵察和攻擊技術229
第18章安全的應用架構230
18.1分析功能需求231
18.2認證和授權232
18.2.1SSL和TLS232
18.2.2安全的憑證234
18.2.3散列憑證信息235
18.2.42FA認證238
18.3PII和財務數據239
18.4搜索240
18.5小結240
第19章代碼安全審查243
19.1如何開始代碼審查244
19.2原型漏洞與自定義邏輯漏洞245
19.3代碼安全審查起步247
19.4安全編碼的反面模式249
19.4.1黑名單250
19.4.2模板代碼251
19.4.3默認信任反模式252
19.4.4客戶端/服務器分離252
19.5小結253
第20章漏洞發現255
20.1安全自動化255
20.1.1靜態分析256
20.1.2動態分析258
20.1.3漏洞回歸測試259
20.2責任披露計劃262
20.3漏洞賞金計劃263
20.4第三方滲透測試264
20.5小結265
第21章漏洞管理266
21.1漏洞重現266
21.2漏洞嚴重等級267
21.3通用漏洞評分繫統268
21.3.1CVSS：基礎評分269
21.3.2CVSS：時間評分271
21.3.3CVSS：環境評分272
21.4高級漏洞評分273
21.5分揀、評分之後274
21.6小結275
第22章防御XSS攻擊276
22.1防御XSS編碼很好實踐276
22.2淨化用戶輸入279
22.2.1DOM解析接收器280
22.2.2SVG接收器281
22.2.3Blob接收器281
22.2.4超鏈接淨化282
22.2.5HTML實體編碼283
22.3CSS284
22.4阻止XSS的CSP285
22.4.1腳本源285
22.4.2Unsafe Eval和Unsafe Inline選項287
22.4.3實現CSP288
22.5小結288
第23章防御CSRF攻擊290
23.1標頭驗證290
23.2CSRF令牌292
23.3防CRSF編碼很好實踐294
23.3.1無狀態GET請求294
23.3.2應用級CSRF緩解296
23.4小結297
第24章防御XXE攻擊299
24.1評估其他數據格式300
24.2高級XXE風險301
24.3小結302
第25章防御注入攻擊303
25.1緩解SQL注入攻擊303
25.1.1SQL注入檢測304
25.1.2預編譯語句306
25.1.3特定於數據庫的防御308
25.2通用注入防御308
25.2.1潛在的注入目標309
25.2.2最小權限原則310
25.2.3命令白名單化311
25.3小結312
第26章防御DoS攻擊314
26.1防範RegexDoS攻擊315
26.2防範邏輯DoS攻擊315
26.3防範DDoS攻擊316
26.4緩解DDoS攻擊317
26.5小結318
第27章加固第三方依賴320
27.1評估依賴關繫樹320
27.1.1依賴關繫樹建模321
27.1.2依賴關繫樹實例322
27.1.3自動評估322
27.2安全集成技術323
27.2.1關注點分離323
27.2.2安全包管理324
27.3小結325
第28章第三部分小結327
28.1軟件安全的歷史327
28.2Web應用偵察329
28.3攻擊331
28.4防御332
第29章總結336
作者介紹339
封面介紹339

雖然有很多網絡和IT安全方面的資源，但是直到現在，依然缺乏詳細的現代web應用程序安全相關的知識。這本實用的指南提供了攻防兼備的安全觀念，軟件工程師可以輕松學習和應用。Salesforce的高級安全工程師AndrewHoffman介紹了Web應用安全的三大支柱：偵察、攻擊和防御。你將學習有效研究和分析現代Web應用程序的方法，包括那些你無法直接訪問的應用程序。你還將學習如何使用近期新的黑客技術來入侵Web應用。最後，你將學到如何在自己的Web應用程序開發中采取緩解措施，以防止黑客攻擊。探索困擾當今Web應用程序的常見漏洞。學習攻擊者進行漏洞利用攻擊所用的基本的黑客技術。構圖和記錄你無法直接訪問的Web應用程序。開發並部署可以繞過常規防御機制的、定制的漏洞利用程序。制訂並部署緩解措施，保護你的應用程序免受黑客攻擊。將安全編碼的很好實踐融入到你的開發生命周期中。獲取實用的技巧，幫助你提高Web等