AJAX安全技術(shù)

定　價：￥55.00

作　者：	（美）霍夫曼（Hoffman，B.），（美）蘇里沃（Sullivan，B.）著，張若飛，王錚譯
出版社：	電子工業(yè)出版社
叢編項：	網(wǎng)絡(luò)安全專家
標(biāo)　簽：	信息安全

購買這本書可以去

ISBN：	9787121079306	出版時間：	2009-01-01	包裝：	平裝
開本：	16開	頁數(shù)：	403	字?jǐn)?shù)：

內(nèi)容簡介

　　一本防范AJAX安全漏洞的實用指南。如今，越來越多的網(wǎng)站都被改寫成AJAX應(yīng)用程序，甚至傳統(tǒng)的桌面軟件也通過AJAX，迅速轉(zhuǎn)向了Web領(lǐng)域。但是在這個過程中，人們通常都沒有考慮到安全的問題。如果不恰當(dāng)?shù)卦O(shè)計、編寫了AJAX應(yīng)用程序，那么它們會比傳統(tǒng)桌面程序存在更多的安全漏洞。AJAX開發(fā)人員無時無刻都希望有一本指南，能夠指導(dǎo)他們?nèi)绾蝸肀Ｗo(hù)自己的應(yīng)用程序——他們終于等到了這一天?！禔JAX安全技術(shù)》—書，系統(tǒng)地分析了當(dāng)今最危險的AJAX漏洞用現(xiàn)實中的代碼闡述了大量關(guān)鍵性的安全理念，并對實際中的案例，例如MySpace的Samy蠕蟲病毒，進(jìn)行了詳盡分析。更重要的是，不管你使用何種主流的Web編程語言和環(huán)境，例如.NET、Java或PHP，本書都給出了許多具體、前沿的建議。通過本書你將了解到以下幾點(diǎn)：如何剛氐A(chǔ)JAX特有的安全風(fēng)險，包}舌過度細(xì)分的Web服務(wù)、應(yīng)用程序控制流程篡改以及對程序邏輯的操控。如何預(yù)防針對AJAX的攻擊手段，包括JavaScript劫持、持久化存儲竊取以及對mashup程序的滲透。如何避免基于XSS和SQL注入的攻擊，包括由AJAX衍生出來的SQL注入攻擊（只需要兩次請求就可以暴露整個后臺數(shù)據(jù)庫）。如何使用Google Gears和Doj0開發(fā)安全的離線AJAX應(yīng)用程序。如何發(fā)現(xiàn)Prototype、DWR及ASRNET AJAX等AJAX框架中的安全問題以及我們自己仍需實現(xiàn)哪些功能。如何更安全地編寫AJAX代碼，如何確定并修改已有代碼中的安全缺陷。不管是編寫或者維護(hù)AJAX應(yīng)用程序的開發(fā)人員、架構(gòu)師，還是打算或正在設(shè)計新AJAX程序的項目經(jīng)理，以及包括QA和滲透測試人員在內(nèi)的所有軟件安全人士，（AJAX安全技術(shù)》—書都是必不可少的。

作者簡介

　　Billy Hoffman是惠普安全實驗室的首席安全研究員，專注于如何自動發(fā)掘Web應(yīng)用程序中的漏洞。他經(jīng)常在Black Hat、RSA、Toorcon、Shmoocon、Infosec及AJAXWorld等會議上發(fā)表演講，也曾受到過FBI的邀請進(jìn)行演講。

圖書目錄

第1章 AJAX安全介紹
1.1 AJAx基礎(chǔ)知識
1.1.1 什么是AJAX
1.1.2 動態(tài)HTML（DHTML）
1.2 AJAX架構(gòu)（Architecture）的轉(zhuǎn)變過程
1.2.1 胖客戶端架構(gòu)
1.2.2 瘦客戶端架構(gòu)
1.2.3 AJAX：最適合的架構(gòu)
1.2.4 從安全角度看胖客戶端應(yīng)用程序
1.2.5 從安全角度看瘦客戶端應(yīng)用程序
1.2.6 從安全角度看AJAX架構(gòu)
1.3 一場完美的攻擊風(fēng)暴
1.3.1 不斷增加的復(fù)雜度、透明度及代碼量
1.3.2 社會學(xué)問題
1.3.3 AJAX應(yīng)用程序：富有吸引力的、戰(zhàn)略上的目標(biāo)
1.4 本章小結(jié)
第2章劫持
2.1 攻擊HighTechVactions.net
2.1.1 攻擊票務(wù)系統(tǒng)
2.1.2 攻擊客戶端數(shù)據(jù)綁定
2.1.3 攻擊AJAX APl
2.2 黑夜中的盜竊
第3章 Web攻擊
3.1 基本攻擊分類
3.1.1 資源枚舉
3.1.2 參數(shù)操縱
3.2 其他攻擊
3.2.1 跨站請求偽造攻擊
3.2.2 釣魚攻擊
3.2.3 拒絕服務(wù)（Denial.of-Service，DoS）
3.3 保護(hù)Web應(yīng)用程序免受資源枚舉和參數(shù)操作的攻擊
3.4 本章小結(jié)
第4章 AJAX攻擊層面
4.1 什么是攻擊層面
4.2 傳統(tǒng)W曲應(yīng)用程序的攻擊層面
4.2.1 表單輸入
4.2.2 cookie-
4.2.3 報頭
4.2.4 隱藏的表單輸入
4.2.5 請求參數(shù)
4.2.6 上傳文件
4.3 傳統(tǒng)的web應(yīng)用程序攻擊：一份成績單
4.4 Web服務(wù)的攻擊層面
4.4.1 Web服務(wù)的方法
4.4.2 Web服務(wù)的定義
4.5 AJAx應(yīng)用程序的攻擊層面
4.5.1 AJAX應(yīng)用程序攻擊層面的來源
4.5.2 黑客的最愛
4.6 正確的輸入驗證
4.6.1 有關(guān)黑名單及其他補(bǔ)丁的問題
4.6.2 治標(biāo)不治本
4.6.3 白名單輸入驗證
4.6.4 正則表達(dá)式
4.6.5 關(guān)于輸入驗證的其他想法
4.7 驗證富客戶端的用戶輸入
4.7.1 驗證標(biāo)記語言
4.7.2 驗證二進(jìn)制文件
4.7.3 驗證JavaScfipt源代碼
4.7.4 驗證序列化數(shù)據(jù)
4.8 關(guān)于由用戶提供的內(nèi)容
4.9 本章小結(jié)
……
第5章 AJAX代碼的復(fù)雜性
第6章 AJAX應(yīng)用程序的透明度
第7章劫持AJAX應(yīng)用程序
第8章攻擊客戶儲存儲
第9章離線AJAX應(yīng)用程序
第10章請求來源問題
第11章 Web Mashup和聚合程序
第12章攻擊表現(xiàn)層
第13章 JavaScript蠕蟲
第14章測試AJAX應(yīng)用程序
第15章 AJAX框架分析
附錄A Samy蠕蟲源代碼
附錄B Yamanner蠕蟲源代碼