书籍介绍
《白帽子讲Web安全》内容简介:在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《白帽子讲Web安全》将带你走进Web安全的世界,让你了解Web安全的方方面面。黑客不再变得神秘,攻击技术原来我也可以会,小网站主自己也能找到正确的安全道路。大公司是怎么做安全的,为什么要选择这样的方案呢?你能在《白帽子讲Web安全》中找到答案。详细的剖析,让你不仅能“知其然”,更能“知其所以然”。
AI导读
核心看点
- 系统梳理XSS、CSRF等Web常见漏洞原理与攻防实战技巧。
- 提出白帽子兵法,如纵深防御、数据与代码分离等核心安全原则。
- 强调安全是动态运营过程,需结合业务场景进行持续风险评估。
适合谁读
- Web开发人员,需了解常见漏洞原理以编写更安全代码。
- 初级安全工程师,适合入门学习Web安全体系与攻防思路。
- 网站管理员及小站长,帮助建立基础安全意识与防护方案。
读前提醒
- 理论偏多且部分技术细节已陈旧,建议结合最新标准阅读。
- 书中存在少量概念错误,如第三方Cookie解释,需批判性阅读。
- 适合快速浏览建立知识框架,深入细节建议参考更专业书籍。
读者共识
- 作者安全世界观深刻,重道轻术,有助于提升安全思维高度。
- 内容覆盖面广但体系性稍弱,部分章节对老手而言略显鸡肋。
- 作为入门读物尚可,但实战深度不足,建议搭配其他书籍学习。
本导读基于书籍简介、目录、原文摘录、短评和书评生成,不等同于全文精读。
精彩摘录
- "Secure By Default 原则; 纵深防御原则; 数据与代码分离原则; 不可预测性原则。"
- "方案的实施周期"
- "安全和业务并不冲突,安全也应该是产品的一种属性,一个从未考虑过安全的产品,是不完整的"
- "<script><img><iframe><link>标签都是可以跨域家在资源,不受同源策略的限制。这些带‘src’属性的标签每次加载的时候,实际上是由浏览器发送了一次GET请求。不同于XMLHttpRequest的是,通过src属性加载的资源,浏览器限制了Javascript的权限,使其不能读、写返回的内容。但是XMLHttpRequest受到同源策略的约束,不能跨域访问资源。但是W3C制定了XMLHttpRequest跨域访问标准."
- "<base>可以出现在页面的任何地方,并作用于该标签在之后的所有标签;<base>标签只用于<head>标签之内,这个说法是不对的"
- "对当前窗口的window.name对象赋值,没有特殊字符的限制,因为window对象是浏览器的窗体,而并非document对象,因此很多时候window对象不收同源策略的限制,攻击者可以利用这个对象,实现跨域、跨页面传递数据。"
- "输出对象为html时,采用HtmlEncode,HtmlEncode不是专用名词,他只是一种函数实现。他的作用是将字符转换成HTMLEntities,对应的标准是ISO-8859-1"
- "如果网站返回给浏览器的HTTP头中包含了P3P头,某种程度上说,是允许浏览器发送第三方cookie,并且对于cookie的影响将扩大到整个域中的所有页面,因为cookie是以域和path为单位的。P3P头的介入会改变网站的隐私策略,将不再拦截浏览器发送第三方cookie,并且只设置一次即可。 很多时候,如果测试CSRF时发现<iframe>等标签在IE能发送cookie,很有可能是P3P的原因(因为IE默认会拦截iframe发送cookie)"
作者简介
吴翰清,毕业于西安交通大学少年班,从2000年开始研究网络攻防技术。在大学期间创立了在中国安全圈内极具影响力的组织“幻影”。
目录
用户评论
很普通阿。
原来是道哥写得......了解一些安全知识和攻击逻辑...反方向看事物...sweet~
服务器安全浏览一遍,加密部分没看
准备组织组内全体同事学习此书。
翻翻
这本可以,但是内容太多感觉讲的不透,不过看看了解下也蛮好,科普吧算是
安全问题的本质是信任问题,安全问题的核心是数据安全。看完书我想起自己曾经被钓鱼网站欺骗的经历:很多年以前我丢过一个iPhone,各种办法没有找回来,非常遗憾。大概一两年之后我收到一封邮件,苹果公司说已经找到了我的iPhone,但是需要我提供密码验证,然后就会给我邮回来。我当时激动坏了,立刻打开网页输入密码,第1次提示我密码错误,虽然我明明输对了,当时没有多想又输了一次。大概15秒之后,我突然晃过神来,我被骗了!片子还设计了一个圈套,double check了我的密码。等我再仔细看那个网址,根本不是苹果官网。骗子真是对人性的弱点拿捏的淋漓尽致。
补标,通过这本书入的门
@2015-09-16 20:59:57
啃了第一遍,还要再啃啃才行
电子工业出版社的其他书籍查看全部
下载
收藏