![《Web应用程序安德鲁·霍夫曼中国电力有限责任公司计算机与互联网书籍》[60M]百度网盘|pdf下载|亲测有效](/downpdf2/uploads/2024-01-20/fde878396ad8bb98.jpg "Web应用程序安德鲁·霍夫曼中国电力有限责任公司计算机与互联网书籍")
Web应用程序安德鲁·霍夫曼中国电力有限责任公司计算机与互联网书籍 pdf下载
8.99¥
10.99¥
内容简介
本篇主要提供Web应用程序安德鲁·霍夫曼中国电力有限责任公司计算机与互联网书籍电子书的pdf版本下载,本电子书下载方式为百度网盘方式,点击以上按钮下单完成后即会通过邮件和网页的方式发货,有问题请联系邮箱ebook666@outlook.com
| 商品基本信息,请以下列介绍为准 | |
| 商品名称: | Web应用程序 |
| 作者: | [美]安德鲁·霍夫曼 |
| 定价: | 88.0 |
| 出版社: | 中国电力出版社有限责任公司 |
| 出版日期: | 2021-06-01 |
| ISBN: | 9787519854805 |
| 印次: | 1 |
| 版次: | 1版1次 |
| 装帧: | |
| 开本: | 16开 |
| 内容简介 | |
| 本书主要内容有:探索困扰当今Web应用的常见漏洞。学行漏洞利用攻击所用的基本的黑客技术。构图和记录你无法直接访问的Web应用。开发并部署可以绕过常规防御机制的、定制的漏洞利用程序。制订并部署缓解措施,保护你的应用程序免受黑客攻击。将编码的实践融入到你的开发生命周期中。获取实用的技巧,帮助你提高Web应用程序的整体性。 |
| 目录 | |
| 目录 前言 .1 第1 章 软件历程 .21 1.1 黑客的起源 . 21 1.2 Enigma 密码机,约1930 年 22 1.3 自动Enigma 密码破解,约1940 年 26 1.4 电话“Phre”,约1950 年 . 29 1.5 防Phre 技术,约1960 年 31 1.6 计算机黑客的起源,约1980 年 32 1.7 互联网的兴起,约2000 年 . 34 1.8 现时代的黑客,约2015 年之后 36 1.9 小结 40 第一部分 侦察 第2 章 Web 应用侦察简介 43 2.1 信息收集 43 2.2 Web 应用程序构图 46 2.3 小结 48 第3 章 现代Web 应用程序的结构 49 3.1 现代的与传统的Web 应用程序 49 3.2 REST API 52 3.3 JS 对象标记 55 3.4 JavaScript. 57 3.4.1 变量和作用域 58 3.4.2 函数 61 3.4.3 上下文 . 62 3.4.4 原型继承. 63 3.4.5 异步模型. 66 3.4.6 浏览器DOM . 69 3.5 SPA 框架 71 3.6 认证和授权系统 72 3.6.1 认证 73 3.6.2 授权 74 3.7 Web 服务器 . 74 3.8 服务器端数据库 76 3.9 客户端数据存储 77 3.10 小结 . 78 第4 章 寻找子域 79 4.1 单域多应用程序 79 4.2 浏览器内置的网络分析工具 80 4.3 息利用 83 4.3.1 搜索引擎缓存 84 4.3.2 存档信息利用 86 4.3.3 社交媒体快照 88 4.4 域传送攻击 . 92 4.5 破解子域 94 4.6 字典攻击 101 4.7 小结 . 103 第5 章 API 分析 105 5.1 端点探索 105 5.2 认证机制 109 5.3 端点的模型 111 5.3.1 常见模型 111 5.3.2 特定于应用的模型 112 5.4 小结 . 114 第6 章 识别第三方依赖 . 115 6.1 探测客户端框架 115 6.1.1 探测SPA 框架 116 6.1.2 探测JavaScript 库 118 6.1.3 探测CSS 库 120 6.2 探测服务器端框架 121 6.2.1 标头探测 121 6.2.2 默认错误信息和404 页面 122 6.2.3 探测数据库 . 125 6.3 小结 . 127 第7 章 定位应用架构中的薄弱点 128 7.1 架构与不架构的标志 129 7.2 多层机制 . 134 7.3 采纳和重构 135 7.4 小结 . 137 第8 章 第一部结 139 第二部分 攻击 第9 章 Web 应用入侵简介 143 9.1 黑客的心态 143 9.2 运用侦察 145 第10 章 XSS 攻击 147 10.1 XSS 的发现和利用 148 10.2 储存型XSS 152 10.3 反射型XSS 154 10.4 DOM 型XSS 157 10.5 突变型XSS 160 10.6 小结 162 第11 章 CSRF 攻击 . 163 11.1 查询参数篡改 164 11.2 替换GET 的有效载荷 169 11.3 针对POST 端点的CSRF 170 11.4 小结 172 第12 章 XXE 攻击 173 12.1 直接型XXE 174 12.2 间接型XXE 177 12.3 小结 179 第13 章 注入攻击 . 181 13.1 SQL 注入攻击 181 13.2 代码注入 . 186 13.3 命令注入 . 191 13.4 小结 195 第14 章 DoS 攻击 196 14.1 ReDoS(Regex DoS)攻击 197 14.2 逻辑DoS 攻击 . 200 14.3 DDoS(分布式DoS)攻击 204 14.4 小结 205 第15 章 第三方依赖漏洞利用 206 15.1 集成的方法 208 15.1.1 分支和 209 15.1.2 自托管的应用程序集成 . 210 15.1.3 源代码集成 211 15.2 软管理器 212 15.2.1 JavaScript管理器 . 212 15.2 2 Java管理器 . 214 15.2.3 其他语言管理器 215 15.3 CVE(公共漏洞和披露)数据库 216 15.4 小结 217 第16 章 第二部结 219 第三部分 防御 第17 章 现代Web 应用加固 223 17.1 防御性软件架构 224 17.2 全面的代码审查 225 17.3 漏洞发现 . 225 17.4 漏洞分析 . 226 17.5 漏洞管理 . 227 17.6 回归测试 . 228 17.7 缓解策略 . 228 17.8 应用侦察和攻击技术 229 第18 章 的应用架构 230 18.1 能需求 231 18.2 认证和授权 232 18.2.1 SSL 和TLS 232 18.2.2 的凭证 234 18.2.3 散列凭证信息 . 235 18.2.4 2FA 认证 238 18.3 PII 和财务数据 239 18.4 搜索 240 18.5 小结 240 第19 章 代码审查 243 19.1 如何开始代码审查 . 244 19.2 原型漏洞与自定义逻辑漏洞 . 245 19.3 代码审查起步 . 247 19.4 编码的反面模式 249 19.4.1 黑名单 250 19.4.2 模板代码 251 19.4.3 默认信任反模式 252 19.4.4 客户端/ 服务器分离 252 19.5 小结 253 第20 章 漏洞发现 . 255 20.1 自动化 255 20.1.1 静态分析 256 20.1.2 动态分析 258 20.1.3 漏洞回归测试 . 259 20.2 责任披露计划 262 20.3 漏洞赏金计划 263 20.4 第三方渗透测试 264 20.5 小结 265 第21 章 漏洞管理 . 266 21.1 漏洞重现 . 266 21.2 漏洞严重等级 267 21.3 通用漏洞评分系统 . 268 21.3.1 CVSS:基础评分 . 269 21.3.2 CVSS:时间评分 . 271 21.3.3 CVSS:环境评分 . 272 21.4 高级漏洞评分 273 21.5 分拣、评分之后 274 21.6 小结 275 第22 章 防御XSS 攻击 . 276 22.1 防御XSS 编码实践 . 276 22.2 净化用户输入 279 22.2.1 DOM 解析接收器 . 280 22.2.2 SVG 接收器 . 281 22.2.3 Blob 接收器 . 281 22.2.4 超链接净化 282 22.2.5 HTML 实体编码 283 22.3 CSS 284 22.4 阻止XSS 的CSP 285 22.4.1 脚本源 285 22.4.2 Unsafe Eval 和Unsafe Inline 选项 287 22.4.3 实现CSP 288 22.5 小结 288 第23 章 防御CSRF 攻击 290 23.1 标头验证 . 290 23.2 CSRF 令牌 . 292 23.3 防CRSF 编码实践 294 23.3.1 无状态GET 请求 294 23.3.2 应用级CSRF 缓解 296 23.4 小结 297 第24 章 防御XXE 攻击 . 299 24.1 评估其他数据格式 . 300 24.2 高级XXE 风险 301 24.3 小结 302 第25 章 防御注入攻击 303 25.1 缓解SQL 注入攻击 303 25.1.1 SQL 注入检测 . 304 25.1.2 预编译语句 306 25.1.3 特定于数据库的防御 308 25.2 通用注入防御 308 25.2.1 潜在的注入目标 309 25.2.2 权限原则 . 310 25.2.3 命令白名单化 . 311 25.3 小结 312 第26 章 防御DoS 攻击 . 314 26.1 防范Regex DoS 攻击 315 26.2 防范逻辑DoS 攻击 315 26.3 防范DDoS 攻击 . 316 26.4 缓解DDoS 攻击 . 317 26.5 小结 318 第27 章 加固第三方依赖 320 27.1 评估依赖关系树 320 27.1.1 依赖关系树建模 321 27.1.2 依赖关系树实例 322 27.1.3 自动评估 322 27.2 集成技术 323 27.2.1 关注点分离 323 27.2.2 管理 324 27.3 小结 325 第28 章 第三部分小结 327 28.1 软件的历史 327 28.2 Web 应用侦察 329 28.3 攻击 331 28.4 防御 332 第29 章结 . 336 作者介绍 339 封面介绍 339 |
| 媒体评论 | |
| 的Web应用程序相关的资源。 虽然有很多网络和IT方面的资源,但是直到现在,依然缺乏详细的现代Web应用程序相关的知识。这本实用的指南提供了攻防兼备的观念,软件工程师可以轻松学用。 Salesforce的高级工程师Andrew Hoffman介绍了Web应用的三大支柱:侦察、攻击和防御。你将学研究和分析现代Web应用程序的方法括那些你无法直接访问的应用程序。你还将学使用的黑客技术来入侵Web应用。最后,你将学到如何在自己的Web应用程序开发中采取缓解措施,以防止黑客攻击。 “的Web应用程序相关的资源。”——Chetan Karande项目负责人,OWASP“本书写得好,不仅阐述了保护你的Web应用程序所需考虑的问题,而且还剖析了你的对手在攻击你的Web应用程序时会如何思考。”——Tim Gallo智能解决方案架构师 |
| 作者简介 | |
| 安德鲁·霍夫曼(Andrew Hoffman),是Salesforce.com的高级工程师,负责多个JavaScript、Node.js和OSS团队的工作。他的专长是DOM和JavaScript漏洞深入研究。他曾与各大浏览器厂商括TC39和WHATWG(Web Hypertext Application Technology Wo Group,负责设计即将推出的JavaScript和浏览器DOM版本的组织)合作过。 |
![《CTF竞赛权威指南Pwn篇杨超著腾讯eee战队亲自指导悟透各类漏洞利用技术深入掌握CTF》[51M]百度网盘|pdf下载|亲测有效](/downpdf2/uploads/2024-01-20/bdf147717013fa5a.jpg)
![《知识图谱:概念与技术(博文视点出品)》[66M]百度网盘|pdf下载|亲测有效](/downpdf2/uploads/973048bced336fce.jpg)
![《密码学原理及案例分析》[97M]百度网盘|pdf下载|亲测有效](/downpdf2/uploads/2024-01-20/330d402874855f40.jpg)
![《水下机器人现代设计技术科学》[70M]百度网盘|pdf下载|亲测有效](/downpdf2/uploads/2024-01-20/9751aac7bb8e0e47.jpg)