搜索
高级检索
高级搜索
书       名 :
著       者 :
出  版  社 :
I  S  B  N:
出版时间 :
Web漏洞防护/图灵原创
0.00     定价 ¥ 79.00
浙江工贸职业技术学院
  • ISBN:
    9787115510167
  • 作      者:
    编者:李建熠
  • 出 版 社 :
    人民邮电出版社
  • 出版日期:
    2019-05-01
收藏
畅销推荐
内容介绍
本书以OWASP Top 10 2017中涉及的漏洞为基础,系统阐述了常见的Web漏洞的防护方式。书中首先介绍了漏洞演示平台及一些常用的安全防护工具,然后对OWASP Top 10 2017中涉及的漏洞防护方式及防护工具进行了说明,接着介绍了如何通过HTTP响应头提升Web客户端自身对漏洞的防护能力,最后讨论了在无法更改应用程序源码的情况下,如何对应用进行外层的WAF防护。 本书适合关注于Web漏洞防护的任何读者。
展开
目录
第1章 使用工具介绍
1.1 WebGoat
1.2 ESAPI
1.3 Apache Shiro
1.3.1 Apache Shiro的特征
1.3.2 Apache Shiro的核心概念
1.3.3 与Spring集成
1.4 Spring Security
1.5 OWASP Top 10
第2章 SQL注入防护
2.1 SQL注入介绍
2.2 SQL注入分类
2.2.1 按参数类型分类
2.2.2 按注入位置分类
2.2.3 按结果反馈分类
2.2.4 其他类型
2.3 实例讲解
2.3.1 字符型注入
2.3.2 数字型注入
2.3.3 联合查询注入及堆查询注入
2.3.4 盲注入
2.4 检测SQL注入
2.5 防护方案
2.5.1 漏洞实例
2.5.2 预编译与参数绑定
2.5.3 白名单验证
2.5.4 输入编码
2.5.5 MyBatis安全使用
2.6 小结
第3章 其他注入防护
3.1 命令注入防护
3.2 XML注入防护
3.3 XPATH注入防护
3.4 LDAP注入防护
3.5 JPA注入防护
3.6 小结
第4章 认证防护
4.1 认证缺陷
4.2 认证防护
4.2.1 用户名及密码设置
4.2.2 忘记密码
4.2.3 凭证存储
4.2.4 密码失窃
4.2.5 其他安全防护
4.3 会话管理安全
4.3.1 会话ID的属性
4.3.2 会话管理的实现
4.3.3 Cookie
4.3.4 会话ID的注意事项
4.3.5 会话过期
4.3.6 会话管理及其他客户端防御
4.3.7 会话攻击检测
4.3.8 会话管理的WAF保护
4.4 防护工具
4.4.1 Argon2密码散列
4.4.2 Apache Shiro认证
4.4.3 Apache Shiro会话管理
4.5 小结
第5章 数据泄露防护
5.1 传输层安全防护
5.1.1 SSL/TLS注意事项
5.1.2 其他注意事项
5.1.3 传输层安全检测工具
5.2 数据加密存储
5.2.1 密码学简史
5.2.2 加密模式及填充模式
5.2.3 杂凑函数及数据完整性保护
5.2.4 加解密使用规范
5.3 安全数据共享
5.3.1 数据仓库的构建
5.3.2 数据仓库的保护
5.3.3 数据仓库的管理
5.4 小结
第6章 XXE防护
6.1 XML介绍
6.2 XXE攻击方式及实例介绍
6.2.1 内部XXE实例
6.2.2 外部XXE实例
6.3 检测XXE
6.4 XXE防护
6.4.1 DOM
6.4.2 SAX
6.4.3 其他
6.5 小结
第7章 访问控制防护
7.1 访问控制的分类
7.2 常见问题
7.2.1 不安全对象的直接引用
7.2.2 功能级访问控制缺失
7.2.3 跨域资源共享的错误配置
7.3 工具防护
7.3.1 Apache Shiro访问控制
7.3.2 ESAPI随机化对象引用
7.3.3 Spring Security CORS配置
7.4 小结
第8章 安全配置
第9章 XSS防护
9.1 XSS分类
9.1.1 反射型XSS
9.1.2 DOM型XSS
9.1.3 存储型XSS
9.1.4 其他分类
9.2 检测XSS
9.3 XSS防护方法
9.3.1 反射型XSS和存储型XSS的防护
9.3.2 DOM型XSS防护
9.4 防护工具
9.4.1 OWASP Java Encoder
9.4.2 OWASP Java HTML Sanitizer
9.4.3 AnjularJS SCE
9.4.4 ESAPI4JS
9.4.5 jQuery Encoder
9.5 小结
第10章 反序列化漏洞防护
10.1 Java的序列化与反序列化
10.1.1 序列化
10.1.2 反序列化
10.1.3 自定义序列化与反序列化
10.1.4 Java反序列化漏洞
10.1.5 其他反序列化漏洞
10.2 检测反序列化漏洞
10.3 反序列化漏洞的防护
10.4 防护工具
10.4.1 自定义工具
10.4.2 SerialKiller
10.4.3 contra-rO0
10.5 小结
第11章 组件缺陷的检测
11.1 潜在缺陷
11.2 检测缺陷组件
11.2.1 Retire.js
11.2.2 OWASP Dependency Check
11.2.3 Sonatype AHC
11.3 小结
第12章 跨站点请求伪造防护
12.1 CSRF分类
12.1.1 GET型CSRF
12.1.2 POST型CSRF
12.1.3 CSRF实例
12.1.4 CSRF结合XSS
12.2 检测CSRF
12.3 CSRF防护
12.3.1 不完全的防护方式
12.3.2 正确的防护方式
12.4 防护工具
12.4.1 自定义防护工具
12.4.2 Spring Security防护CSRF
12.4.3 前后端分离
12.5 小结
第13章 输入验证
13.1 输入验证的方式
13.2 ESAPI输入验证
第14章 HTTP安全响应头
14.1 安全响应头介绍
14.1.1 HSTS
14.1.2 HPKP
14.1.3 X-Frame-Options
14.1.4 X-XSS-Protection
14.1.5 X-Content-Type-Options
14.1.6 Content-Security-Policy
14.1.7 Referrer-Policy
14.1.8 Expect-CT
14.1.9 X-Permitted-Cross-Domain-Policies
14.1.10 Cache-Control
14.2 HTTP安全头检测
14.2.1 命令行检测工具
14.2.2 在线检测工具
14.2.3 插件检测工具
14.3
展开
加入书架成功!
收藏图书成功!
我知道了(3)
发表书评
读者登录

温馨提示:请使用浙江工贸职业技术学院的读者帐号和密码进行登录

点击获取验证码
登录