作 者:李建熠 著
定 價:79
出 版 社:人民郵電出版社
出版日期:2019年05月01日
頁 數:279
裝 幀:簡裝
ISBN:9787115510167
從原理到對策,針對不同場景進行多角度漏洞分析以OWASP TOP 10 2017中涉及的漏洞為基礎,闡述了常見Web漏洞的防護方式包含大量工具介紹及對比,滿足快速修復漏洞的需求
●第 1 章 使用工具介紹 11.1 WebGoat 11.2 ESAPI 51.3 Apache Shiro 81.3.1 Apache Shiro 的特征 81.3.2 Apache Shiro 的核心概念 91.3.3 與Spring 集成 121.4 Spring Security 151.5 OWASP Top 10 17第 2 章 SQL 注入防護 192.1 SQL 注入介紹 192.2 SQL 注入分類 202.2.1 按參數類型分類 202.2.2 按注入位置分類 202.2.3 按結果反饋分類 202.2.4 其他類型 212.3 實例講解 212.3.1 字符型注入 222.3.2 數字型注入 222.3.3 聯合查詢注入及堆查詢注入 232.3.4 盲注入 242.4 檢測SQL 注入 252.5 防護方案 262.5.1 漏洞實例 272.5.2 預編譯與參數綁定 282.5.3 白名單驗證 292.5.4 輸入編碼 302.5.5 MyBatis 安全使用 322.6 小結. 33第 3 章 其他注入防護 343.1 命令注入防護 343.2 XML 注入防護 343.3 XPATH 注入防護 383.4 LDAP 注入防護 393.5 JPA 注入防護 403.6 小結 43第4 章 認證防護 444.1 認證缺陷 444.2 認證防護 444.2.1 用戶名及密碼設置 454.2.2 忘記密碼 464.2.3 憑證存儲 474.2.4 密碼失竊 484.2.5 其他安全防護 494.3 會話管理安全 504.3.1 會話ID 的屬性 514.3.2 會話管理的實現 524.3.3 Cookie 534.3.4 會話ID 的注意事項 544.3.5 會話過期 554.3.6 會話管理及其他客戶端防御 574.3.7 會話攻擊檢測 584.3.8 會話管理的WAF 保護 594.4 防護工具 594.4.1 Argon2 密碼散列 594.4.2 Apache Shiro 認證 634.4.3 Apache Shiro 會話管理 654.5 小結 68第 5 章 數據洩露防護 695.1 傳輸層安全防護 695.1.1 SSL/TLS 注意事項 705.1.2 其他注意事項 755.1.3 傳輸層安全檢測工具 755.2 數據加密存儲 775.2.1 密碼學簡史 785.2.2 加密模式及填充模式 835.2.3 雜湊函數及數據完整性保護 885.2.4 加解密使用規範 905.3 安全數據共享 1045.3.1 數據倉庫的構建 1045.3.2 數據倉庫的保護 1055.3.3 數據倉庫的管理 1065.4 小結 106第6 章 XXE 防護 1076.1 XML 介紹 1076.2 XXE 攻擊方式及實例介紹 1096.2.1 內部XXE 實例 1106.2.2 外部XXE 實例 1116.3 檢測XXE 1126.4 XXE 防護 1136.4.1 DOM 1136.4.2 SAX 1166.4.3 其他 1176.5 小結 117第7 章 訪問控制防護 1187.1 訪問控制的分類 1187.2 常見問題 1197.2.1 不安全對像的直接引用 1197.2.2 功能級訪問控制缺失 1207.2.3 跨域資源共享的錯誤配置 1217.3 工具防護 1237.3.1 Apache Shiro 訪問控制 1237.3.2 ESAPI 隨機化對像引用 1267.3.3 Spring Security CORS 配置 1277.4 小結 128第8 章 安全配置 129第 9 章 XSS 防護 1319.1 XSS 分類 1319.1.1 反射型XSS 1329.1.2 DOM 型XSS 1349.1.3 存儲型XSS 1369.1.4 其他分類 1379.2 檢測XSS 1389.3 XSS 防護方法 1399.3.1 反射型XSS 和存儲型XSS 的防護 1409.3.2 DOM 型XSS 防護 1439.4 防護工具 1449.4.1 OWASP Java Encoder 1449.4.2 OWASP Java HTML Sanitizer 1499.4.3 AnjularJS SCE 1589.4.4 ESAPI4JS 1609.4.5 jQuery Encoder 1649.5 小結 167第 10 章 反序列化漏洞防護 16810.1 Java 的序列化與反序列化 16810.1.1 序列化 16810.1.2 反序列化 16910.1.3 自定義序列化與反序列化 17010.1.4 Java 反序列化漏洞 17110.1.5 其他反序列化漏洞 17510.2 檢測反序列化漏洞 17810.3 反序列化漏洞的防護 17910.4 防護工具 18010.4.1 自定義工具 18010.4.2 SerialKiller 18110.4.3 contra-rO0 18310.5 小結 185第 11 章 組件缺陷的檢測 18611.1 潛在缺陷 18611.2 檢測缺陷組件 18611.2.1 Retire.js 18711.2.2 OWASP Dependency Check 19011.2.3 Sonatype AHC 19311.3 小結 196第 12 章 跨站點請求偽造防護 19712.1 CSRF 分類 19712.1.1 GET 型CSRF 19712.1.2 T 型CSRF 19812.1.3 CSRF 實例 19812.1.4 CSRF 結合XSS 20012.2 檢測CSRF 20212.3 CSRF 防護 20212.3.1 不接近的防護方式 20312.3.2 正確的防護方式 20412.4 防護工具 20912.4.1 自定義防護工具 21012.4.2 Spring Security 防護CSRF 21512.4.3 前後端分離 21612.5 小結 217第 13 章 輸入驗證 21813.1 輸入驗證的方式 21813.2 ESAPI 輸入驗證 218第 14 章 HTTP 安全響應頭 22214.1 安全響應頭介紹 22214.1.1 HSTS 22214.1.2 HPKP 22314.1.3 X-Frame-Options 22314.1.4 X-XSS-Protection 22414.1.5 X-Content-Type-Options 22414.1.6 Content-Security-Policy 22414.1.7 Referrer-Policy 22614.1.8 Expect-CT 22614.1.9 X-Permitted-Cross-Domain-Policies 22614.1.10 Cache-Control 22814.2 HTTP 安全頭檢測 22814.2.1 命令行檢測工具 22814.2.2 在線檢測工具 22914.2.3 插件檢測工具 23014.3 安全響應頭設置建議 23114.3.1 知名網站實例 23114.3.2 設置建議 23314.4 配置安全響應頭 23314.4.1 Spring Security 統一配置 23314.4.2 http_hardening 配置安全響應頭 23714.4.3 服務器配置文件配置安全響應頭 23814.5 小結 238第 15 章 WAF 防護 23915.1 ModSecurity 23915.1.1 編譯與導入 24015.1.2 配置ModSecurity 24115.1.3 ModSecurity 測試 24415.2 規則解析 24515.2.1 指令 24615.2.2 處理階段 24715.2.3 變量 24715.2.4 轉換函數 24915.2.5 行為 25015.2.6 操作符 25315.3 OWASP ModSecurity CRS 25515.3.1 CRS 導入 25515.3.2 CRS 規則文件 25715.4 防護測試 25915.4.1 DVWA 環境搭建 25915.4.2 SQL 注入測試 26115.4.3 命令注入測試 26415.4.4 XSS 測試 26715.4.5 文件包含測試 27215.4.6 文件上傳測試 27415.5 小結 277參考文獻 278
本書以OWASP Top 10 2017 中涉及的漏洞為基礎,繫統闡述了常見的Web 漏洞的防護方式。書中首先介紹了漏洞演示平臺及一些常用的安全防護工具,然後對OWASP Top 10 2017 中涉及的漏洞防護方式及防護工具進行了說明,接著介紹了如何通過HTTP 響應頭提升Web 客戶端自身對漏洞的防護能力,最後討論了在無法更改應用程序源碼的情況下,如何對應用進行外層的WAF 防護。
李建熠 著
李建熠,畢業於北京郵電大學,安全從業者及愛好者,曾任職於美團點評,參與過美團點評安全從0到1的構建。
