開發(fā)者的Web安全戒律：真實(shí)威脅與防御實(shí)踐

譯者序
前言
關(guān)于作者
關(guān)于技術(shù)審校
致謝
第1章　讓我們了解黑客如何入侵一個(gè)網(wǎng)站 1
1.1　軟件漏洞和暗網(wǎng) 1
1.2　黑客如何攻擊網(wǎng)站 2
第2章　互聯(lián)網(wǎng)的工作原理 5
2.1　互聯(lián)網(wǎng)協(xié)議套件 5
2.1.1　IP地址 6
2.1.2　域名系統(tǒng) 6
2.2　應(yīng)用層協(xié)議 7
2.3　狀態(tài)連接 11
2.4　加密 12
2.5　小結(jié) 12
第3章　瀏覽器的工作原理 13
3.1　頁(yè)面呈現(xiàn) 13
3.1.1　渲染管道：概述 14
3.1.2　文檔對(duì)象模型 14
3.1.3　樣式信息 15
3.2　JavaScript 16
3.3　渲染前后：瀏覽器執(zhí)行的所有其他操作 18
3.4　小結(jié) 18
第4章　Web服務(wù)器的工作方式 20
4.1　靜態(tài)資源 20
4.1.1　URL解析 21
4.1.2　內(nèi)容交付網(wǎng)絡(luò) 22
4.1.3　內(nèi)容管理系統(tǒng) 22
4.2　動(dòng)態(tài)資源 24
4.2.1　模板 24
4.2.2　數(shù)據(jù)庫(kù) 25
4.2.3　分布式緩存 27
4.2.4　Web編程語(yǔ)言 28
4.3　小結(jié) 32
第5章　程序員的工作方式 33
5.1　階段1：設(shè)計(jì)與分析 34
5.2　階段2：編寫代碼 34
5.2.1　分布式版本控制與集中式版本控制 35
5.2.2　分支和合并代碼 35
5.3　階段3：發(fā)布前測(cè)試 36
5.3.1　覆蓋范圍和持續(xù)集成 37
5.3.2　測(cè)試環(huán)境 37
5.4　階段4：發(fā)布過程 38
5.4.1　發(fā)布期間標(biāo)準(zhǔn)化部署的選項(xiàng) 39
5.4.2　編譯過程 41
5.4.3　數(shù)據(jù)庫(kù)遷移腳本 41
5.5　階段5：發(fā)布后的測(cè)試和觀察 42
5.5.1　滲透測(cè)試 42
5.5.2　監(jiān)控、日志記錄和錯(cuò)誤報(bào)告 42
5.6　依賴管理 43
5.7　小結(jié) 44
第6章　注入攻擊 45
6.1　SQL注入 46
6.1.1　什么是SQL 46
6.1.2　SQL注入攻擊剖析 47
6.1.3　緩解措施1：使用參數(shù)化語(yǔ)句 49
6.1.4　緩解措施2：使用對(duì)象關(guān)系映射 50
6.1.5　額外緩解：使用縱深防御 51
6.2　命令注入 52
6.2.1　命令注入攻擊剖析 53
6.2.2　緩解措施：轉(zhuǎn)義控制字符 54
6.3　遠(yuǎn)程代碼執(zhí)行 55
6.3.1　遠(yuǎn)程代碼執(zhí)行剖析 56
6.3.2　緩解措施：在反序列化期間禁用代碼執(zhí)行 56
6.4　文件上傳漏洞 57
6.4.1　文件上傳攻擊剖析 57
6.4.2　緩解措施 59
6.5　小結(jié) 60
第7章　跨站點(diǎn)腳本攻擊 62
7.1　存儲(chǔ)型跨站點(diǎn)腳本攻擊 62
7.1.1　緩解措施1：轉(zhuǎn)義HTML字符 64
7.1.2　緩解措施2：實(shí)施內(nèi)容安全策略 66
7.2　反射型跨站點(diǎn)腳本攻擊 67
7.3　基于DOM的跨站點(diǎn)腳本攻擊 69
7.4　小結(jié) 71
第8章　跨站點(diǎn)請(qǐng)求偽造攻擊 72
8.1　CSRF攻擊剖析 72
8.2　緩解措施1：遵循REST原則 73
8.3　緩解措施2：使用anti-CSRF cookie 74
8.4　緩解措施3：使用SameSite cookie屬性 75
8.5　額外的緩解措施：敏感動(dòng)作需要重新驗(yàn)證 76
8.6　小結(jié) 77
第9章　破壞身份認(rèn)證 78
9.1　實(shí)施身份認(rèn)證 78
9.1.1　HTTP本地身份認(rèn)證 79
9.1.2　非本地認(rèn)證 80
9.1.3　暴力破解攻擊 80
9.2　緩解措施1：使用第三方身份認(rèn)證 81
9.3　緩解措施2：與單點(diǎn)登錄集成 81
9.4　緩解措施3：保護(hù)自己的身份認(rèn)證系統(tǒng) 82
9.4.1　需要用戶名、電子郵件地址或兩個(gè)都要 82
9.4.2　要求復(fù)雜密碼 85
9.4.3　安全地存儲(chǔ)密碼 85
9.4.4　多因素身份認(rèn)證 87
9.4.5　實(shí)現(xiàn)并保護(hù)注銷功能 88
9.4.6　防止用戶枚舉 88
9.5　小結(jié) 89
第10章　會(huì)話劫持 91
10.1　會(huì)話的工作方式 91
10.1.1　服務(wù)器端會(huì)話 92
10.1.2　客戶端會(huì)話 93
10.2　攻擊者如何劫持會(huì)話 95
10.2.1　cookie竊取 95
10.2.2　會(huì)話確定 97
10.2.3　利用弱會(huì)話ID 98
10.3　小結(jié) 99
第11章　權(quán)限 100
11.1　提權(quán) 100
11.2　訪問控制 101
11.2.1　設(shè)計(jì)授權(quán)模型 101
11.2.2　實(shí)施訪問控制 103
11.2.3　測(cè)試訪問控制 104
11.2.4　添加審計(jì)記錄 105
11.2.5　避免常見的疏忽 105
11.3　目錄遍歷 105
11.3.1　文件路徑和相對(duì)文件路徑 106
11.3.2　目錄遍歷攻擊剖析 106
11.3.3　緩解措施1：信任你的Web服務(wù)器 107
11.3.4　緩解措施2：使用托管服務(wù) 108
11.3.5　緩解措施3：使用間接文件引用 108
11.3.6　緩解措施4：凈化文件引用 108
11.4　小結(jié) 109
第12章　信息泄露 111
12.1　緩解措施1：禁用Telltale Server標(biāo)頭 111
12.2　緩解措施2：使用干凈的URL 111
12.3　緩解措施3：使用通用cookie參數(shù) 112
12.4　緩解措施4：禁用客戶端錯(cuò)誤報(bào)告 112
12.5　緩解措施5：縮小或模糊處理JavaScript文件 113
12.6　緩解措施6：清理客戶端文件 113
12.7　始終關(guān)注安全公告 114
12.8　小結(jié) 114
第13章　加密 115
13.1　Internet協(xié)議中的加密 115
13.1.1　加密算法、哈希和消息身份認(rèn)證代碼 116
13.1.2　TLS握手 118
13.2　啟用HTTPS 120
13.2.1　數(shù)字證書 120
13.2.2　獲取數(shù)字證書 121
13.2.3　安裝數(shù)字證書 123
13.3　攻擊HTTP（和HTTPS） 126
13.3.1　無線路由器 126
13.3.2　Wi-Fi熱點(diǎn) 127
13.3.3　互聯(lián)網(wǎng)服務(wù)提供商 127
13.3.4　政府機(jī)構(gòu) 127
13.4　小結(jié) 128
第14章　第三方代碼 129
14.1　保護(hù)依賴項(xiàng) 129
14.1.1　知道你正在運(yùn)行什么代碼 130
14.1.2　能夠快速部署新版本 132
14.1.3　對(duì)安全問題保持警惕