基本信息(以实物为准)
书 名
Web前端黑客技术揭秘
外文书名
出版社
电子工业出版社
作 者
钟晨鸣,徐少培
定 价
59.00元
出版时间
2013-01-01
I S B N
9787121192036
套装书
否
重 量
KG
装 帧
平装
版 次
1
字 数
页 数
361
开 本
16开
内容简介(以实物为准)
《Web前端黑客技术揭秘》编著者钟晨鸣、徐少培。 Web前端的黑客攻防技术是一门非常新颖且有趣的黑客技术,主要包含 Web前端安全的跨站脚本(XSS)、跨站请求伪造(CSRF)、界面操作劫持这三 大类,涉及的知识点涵盖信任与信任关系、Cookie安全、FlaSh安全、DOM 渲染、字符集、跨域、原生态攻击、高级钓鱼、蠕虫思想等,这些都是研 究前端安全的人必备的知识点。本书作者深入剖析了许多经典的攻防技巧 ,并给出了许多独到的安全见解。 《Web前端黑客技术揭秘》适合前端工程师阅读,同时 也适合对Web前端各类安全问题或黑客攻防过程充满好奇的读者阅读,书中 的内容可以让读者重新认识到Web的危险,并知道该如何去保护自己以免受 黑客的攻击。
目 *(以实物为准)
第1章 Web安全的关键点1.1 数据与指令1.2 浏览器的同源策略1.3 信任与信任关系1.4 社会工程学的作用1.5 攻防不单一1.6 场景很重要1.7 小结第2章 前端基础2.1 W3C的世界法则2.2 URL2.3 HTTP协议2.4 松散的HTML世界2.4.1 DOM树2.4.2 iframe内嵌出一个开放的世界2.4.3 HTML内嵌脚本执行2.5 跨站之魂--JavaScript2.5.1 DOM树操作2.5.2 AJAX风险2.5.3 模拟用户发起浏览器请求2.5.4 Cookie安全2.5.5 本地存储风险2.5.6 E4X带来的混乱世界2.5.7 JavaScript函数劫持2.6 一个伪装出来的世界--CSS2.6.1 CSS容错性2.6.2 样式伪装2.6.3 CSS伪类2.6.4 CSS3的属性选择符2.7 另一个幽灵--ActionScript2.7.1 Flash安全沙箱2.7.2 HTML嵌入Flash的安全相关配置2.7.3 跨站Flash2.7.4 参数传递2.7.5 Flash里的内嵌HTML2.7.6 与JavaScript通信2.7.7 网络通信2.7.8 其他安全问题第3章 前端黑客之XSS3.1 XSS概述3.1.1 "跨站脚本"重要的是脚本3.1.2 一个小例子3.2 XSS类型3.2.1 反射型XSS3.2.2 存储型XSS3.2.3 DOM XSS3.3 哪里可以出现XSS攻击3.4 有何危害第4章 前端黑客之CSRF4.1 CSRF概述4.1.1 跨站点的请求4.1.2 请求是伪造的4.1.3 一个场景4.2 CSRF类型4.2.1 HTML CSRF攻击4.2.2 JSON HiJacking攻击4.2.3 Flash CSRF攻击4.3 有何危害第5章 前端黑客之界面操作劫持5.1 界面操作劫持概述5.1.1 点击劫持(Clickjacking)5.1.2 拖放劫持(Drag&Dropjacking)5.1.3 触屏劫持(Tapjacking)5.2 界面操作劫持技术原理分析5.2.1 透明层+iframe5.2.2 点击劫持技术实现5.2.3 拖放劫持技术实现5.2.4 触屏劫持技术实现5.3 界面操作劫持实例5.3.1 点击劫持实例5.3.2 拖放劫持实例5.3.3 触屏劫持实例5.4 有何危害第6章 漏洞挖掘6.1 普通XSS漏洞自动化挖掘思路6.1.1 URL上的玄机6.1.2 HTML中的玄机6.1.3 请求中的玄机6.1.4 关于存储型XSS挖掘6.2 神奇的DOM渲染6.2.1 HTML与JavaScript自解码机制6.2.2 具备HtmlEncode功能的标签6.2.3 URL编码差异6.2.4 DOM修正式渲染6.2.5 一种DOM fuzzing技巧6.3 DOM XSS挖掘6.3.1 静态方法6.3.2 动态方法6.4 Flash XSS挖掘6.4.1 XSF挖掘思路6.4.2 Google Flash XSS挖掘6.5 字符集缺陷导致的XSS6.5.1 宽字节编码带来的安全问题6.5.2 UTF-7问题6.5.3 浏览器处理字符集编码BUG带来的安全问题6.6 绕过浏览器XSS Filter6.6.1 响应头CRLF注入绕过6.6.2 针对同域的白名单6.6.3 场景依赖性高的绕过6.7 混淆的代码6.7.1 浏览器的进制常识6.7.2 浏览器的编码常识6.7.3 HTML中的代码注入技巧6.7.4 CSS中的代码注入技巧6.7.5 JavaScript中的代码注入技巧6.7.6 突破URL过滤6.7.7 更多经典的混淆CheckList6.8 其他案例分享--Gmail Cookie XSS第7章 漏洞利用7.1 渗透前的准备7.2 偷取隐私数据7.2.1 XSS探针:xssprobe7.2.2 Referer惹的祸7.2.3 浏览器记住的明文密码7.2.4 键盘记*器7.2.5 偷取黑客隐私的一个小技巧7.3 内网渗透技术7.3.1 获取内网IP7.3.2 获取内网IP端口7.3.3 获取内网主机存活状态7.3.4 开启路由器的远程访问能力7.3.5 内网脆弱的Web应用控制7.4 基于CSRF的攻击技术7.4.1 基于CSRF的XSS攻击7.5 浏览器劫持技术7.6 一些跨域操作技术7.6.1 IE res:协议跨域7.6.2 CSS String Injection跨域7.6.3 浏览器特权区域风险7.6.4 浏览器扩展风险7.6.5 跨子域:document.domain技巧7.6.6 更多经典的跨域索引7.7 XSS Proxy技术7.7.1 浏览器<script>请求7.7.2 浏览器跨域AJAX请求7.7.3 服务端WebSocket推送指令7.7.4 postMessage方式推送指令7.8 真实案例剖析7.8.1 高级钓鱼攻击之百度空间登*DIV层钓鱼7.8.2 高级钓鱼攻击之Gmail正常服务钓鱼7.8.3 人人网跨子域盗取MSN号7.8.4 跨站获取更高权限7.8.5 大规模XSS攻击思想7.9 关于XSS利用框架第8章 HTML5安全8.1 新标签和新属性绕过黑名单策略8.1.1 跨站中的黑名单策略8.1.2 新元素突破黑名单策略8.2 History API中的新方法8.2.1 pushState()和replaceState()8.2.2 短地址+History新方法=完美隐藏URL恶意代码8.2.3 伪造历史记*8.3 HTML5下的僵尸网络8.3.1 Web Worker的使用8.3.2 CORS向任意网站发送跨域请求8.3.3 一个HTML5僵尸网络实例8.4 地理定位暴露你的位置8.4.1 隐私保护机制8.4.2 通过XSS盗取地理位置第9章 Web蠕虫9.1 Web蠕虫思想9.2 XSS蠕虫9.2.1 原理+一个故事9.2.2 危害性9.2.3 SNS社区XSS蠕虫9.2.4 简约且原生态的蠕虫9.2.5 蠕虫需要追求原生态9.3 CSRF蠕虫9.3.1 关于原理和危害性9.3.2 译言CSRF蠕虫9.3.3 饭否CSRF蠕虫--邪恶的Flash游戏9.3.4 CSRF蠕虫存在的可能性分析9.4 ClickJacking蠕虫9.4.1 ClickJacking蠕虫的由来9.4.2 ClickJacking蠕虫技术原理分析9.4.3 Facebook的LikeJacking蠕虫9.4.4 GoogleReader的ShareJacking蠕虫9.4.5 ClickJacking蠕虫爆发的可能性第10章 关于防御10.1 浏览器厂商的防御10.1.1 HTTP响应的X-头部10.1.2 迟到的CSP策略10.2 Web厂商的防御10.2.1 域分离10.2.2 安全传输10.2.3 安全的Cookie10.2.4 优秀的验证码10.2.5 谨慎第三方内容10.2.6 XSS防御方案10.2.7 CSRF防御方案10.2.8 界面操作劫持防御10.3 用户的防御10.4 邪恶的SNS社区