●譯者序
前言
關於作者
關於技術審校
致謝
第1章 讓我們了解黑客如何入侵一個網站
1.1 軟件漏洞和暗網
1.2 黑客如何攻擊網站
第2章 互聯網的工作原理
2.1 互聯網協議套件
2.1.1 IP地址
2.1.2 域名繫統
2.2 應用層協議
2.3 狀態連接
2.4 加密
2.5 小結
第3章 瀏覽器的工作原理
3.1 頁面呈現
3.1.1 渲染管道：概述
3.1.2 文檔對像模型
3.1.3 樣式信息
3.2 JavaScript
3.3 渲染前後：瀏覽器執行的所有其他操作
3.4 小結
第4章 Web服務器的工作方式
4.1 靜態資源
4.1.1 URL解析
4.1.2 內容交付網絡
4.1.3 內容管理繫統
4.2 動態資源
4.2.1 模板
4.2.2 數據庫
4.2.3 分布式緩存
4.2.4 Web編程語言
4.3 小結
第5章 程序員的工作方式
5.1 階段1：設計與分析
5.2 階段2：編寫代碼
5.2.1 分布式版本控制與集中式版本控制
5.2.2 分支和合並代碼
5.3 階段3：發布前測試
5.3.1 覆蓋範圍和持續集成
5.3.2 測試環境
5.4 階段4：發布過程
5.4.1 發布期間標準化部署的選項
5.4.2 編譯過程
5.4.3 數據庫遷移腳本
5.5 階段5：發布後的測試和觀察
5.5.1 滲透測試
5.5.2 監控、日志記錄和錯誤報告
5.6 依賴管理
5.7 小結
第6章 注入攻擊
6.1 SQL注入
6.1.1 什麼是SQL
6.1.2 SQL注入攻擊剖析
6.1.3 緩解措施1：使用參數化語句
6.1.4 緩解措施2：使用對像關繫映射
6.1.5 額外緩解：使用縱深防御
6.2 命令注入
6.2.1 命令注入攻擊剖析
6.2.2 緩解措施：轉義控制字符
6.3 遠程代碼執行
6.3.1 遠程代碼執行剖析
6.3.2 緩解措施：在反序列化期間禁用代碼執行
6.4 文件上傳漏洞
6.4.1 文件上傳攻擊剖析
6.4.2 緩解措施
6.5 小結
第7章 跨站點腳本攻擊
7.1 存儲型跨站點腳本攻擊
7.1.1 緩解措施1：轉義HTML字符
7.1.2 緩解措施2：實施內容安全策略
7.2 反射型跨站點腳本攻擊
7.3 基於DOM的跨站點腳本攻擊
7.4 小結
第8章 跨站點請求偽造攻擊
8.1 CSRF攻擊剖析
8.2 緩解措施1：遵循REST原則
8.3 緩解措施2：使用anti-CSRF cookie
8.4 緩解措施3：使用SameSite cookie屬性
8.5 額外的緩解措施：敏感動作需要重新驗證
8.6 小結
第9章 破壞身份認證
9.1 實施身份認證
9.1.1 HTTP本地身份認證
9.1.2 非本地認證
9.1.3 暴力破解攻擊
9.2 緩解措施1：使用第三方身份認證
9.3 緩解措施2：與單點登錄集成
9.4 緩解措施3：保護自己的身份認證繫統
9.4.1 需要用戶名、電子郵件地址或兩個都要
9.4.2 要求復雜密碼
9.4.3 安全地存儲密碼
9.4.4 多因素身份認證
9.4.5 實現並保護注銷功能
9.4.6 防止用戶枚舉
9.5 小結
第10章 會話劫持
10.1 會話的工作方式
10.1.1 服務器端會話
10.1.2 客戶端會話
10.2 攻擊者如何劫持會話
10.2.1 cookie竊取
10.2.2 會話確定
10.2.3 利用弱會話ID
10.3 小結
第11章 權限
11.1 提權
11.2 訪問控制
11.2.1 設計授權模型
11.2.2 實施訪問控制
11.2.3 測試訪問控制
11.2.4 添加審計記錄
11.2.5 避免常見的疏忽
11.3 目錄遍歷
11.3.1 文件路徑和相對文件路徑
11.3.2 目錄遍歷攻擊剖析
11.3.3 緩解措施1：信任你的Web服務器
11.3.4 緩解措施2：使用托管服務
11.3.5 緩解措施3：使用間接文件引用
11.3.6 緩解措施4：淨化文件引用
11.4 小結
第12章 信息洩露
12.1 緩解措施1：禁用Telltale Server標頭
……

本書面向開發人員，通過豐富示例深度剖析Web應用程序被攻擊的常見方式，給出了針對開發階段的很好防御實踐，並總結出21條安全戒律，幫助讀者構建完整的Web開發安全體繫。 全書共18章，其中：第1章帶領讀者了解黑客如何入侵一個網站；第2～5章主要介紹互聯網、瀏覽器的工作原理，以及Web服務器、程序員的工作方式；第6～18章深入研究需要防御的特定漏洞，其中第6～17章每一章都分解了一個主要的安全漏洞，探討了一個真實的攻擊，並結合大量代碼展示了漏洞和修復方法，第18章總結了安全相關的要素。

(美)馬爾科姆·麥克唐納 著 賈玉彬,侯亮 譯