AJAX安全技術(shù)

定　價(jià)：￥55.00

作　者：	（美）霍夫曼（Hoffman，B.），（美）蘇里沃（Sullivan，B.）著，張若飛，王錚譯
出版社：	電子工業(yè)出版社
叢編項(xiàng)：	網(wǎng)絡(luò)安全專家
標(biāo)　簽：	信息安全

購(gòu)買這本書可以去

ISBN：	9787121079306	出版時(shí)間：	2009-01-01	包裝：	平裝
開本：	16開	頁(yè)數(shù)：	403	字?jǐn)?shù)：

內(nèi)容簡(jiǎn)介

　　一本防范AJAX安全漏洞的實(shí)用指南。如今，越來(lái)越多的網(wǎng)站都被改寫成AJAX應(yīng)用程序，甚至傳統(tǒng)的桌面軟件也通過AJAX，迅速轉(zhuǎn)向了Web領(lǐng)域。但是在這個(gè)過程中，人們通常都沒有考慮到安全的問題。如果不恰當(dāng)?shù)卦O(shè)計(jì)、編寫了AJAX應(yīng)用程序，那么它們會(huì)比傳統(tǒng)桌面程序存在更多的安全漏洞。AJAX開發(fā)人員無(wú)時(shí)無(wú)刻都希望有一本指南，能夠指導(dǎo)他們?nèi)绾蝸?lái)保護(hù)自己的應(yīng)用程序——他們終于等到了這一天?！禔JAX安全技術(shù)》—書，系統(tǒng)地分析了當(dāng)今最危險(xiǎn)的AJAX漏洞用現(xiàn)實(shí)中的代碼闡述了大量關(guān)鍵性的安全理念，并對(duì)實(shí)際中的案例，例如MySpace的Samy蠕蟲病毒，進(jìn)行了詳盡分析。更重要的是，不管你使用何種主流的Web編程語(yǔ)言和環(huán)境，例如.NET、Java或PHP，本書都給出了許多具體、前沿的建議。通過本書你將了解到以下幾點(diǎn)：如何剛氐A(chǔ)JAX特有的安全風(fēng)險(xiǎn)，包}舌過度細(xì)分的Web服務(wù)、應(yīng)用程序控制流程篡改以及對(duì)程序邏輯的操控。如何預(yù)防針對(duì)AJAX的攻擊手段，包括JavaScript劫持、持久化存儲(chǔ)竊取以及對(duì)mashup程序的滲透。如何避免基于XSS和SQL注入的攻擊，包括由AJAX衍生出來(lái)的SQL注入攻擊（只需要兩次請(qǐng)求就可以暴露整個(gè)后臺(tái)數(shù)據(jù)庫(kù)）。如何使用Google Gears和Doj0開發(fā)安全的離線AJAX應(yīng)用程序。如何發(fā)現(xiàn)Prototype、DWR及ASRNET AJAX等AJAX框架中的安全問題以及我們自己仍需實(shí)現(xiàn)哪些功能。如何更安全地編寫AJAX代碼，如何確定并修改已有代碼中的安全缺陷。不管是編寫或者維護(hù)AJAX應(yīng)用程序的開發(fā)人員、架構(gòu)師，還是打算或正在設(shè)計(jì)新AJAX程序的項(xiàng)目經(jīng)理，以及包括QA和滲透測(cè)試人員在內(nèi)的所有軟件安全人士，（AJAX安全技術(shù)》—書都是必不可少的。

作者簡(jiǎn)介

　　Billy Hoffman是惠普安全實(shí)驗(yàn)室的首席安全研究員，專注于如何自動(dòng)發(fā)掘Web應(yīng)用程序中的漏洞。他經(jīng)常在Black Hat、RSA、Toorcon、Shmoocon、Infosec及AJAXWorld等會(huì)議上發(fā)表演講，也曾受到過FBI的邀請(qǐng)進(jìn)行演講。

圖書目錄

第1章 AJAX安全介紹
1.1 AJAx基礎(chǔ)知識(shí)
1.1.1 什么是AJAX
1.1.2 動(dòng)態(tài)HTML（DHTML）
1.2 AJAX架構(gòu)（Architecture）的轉(zhuǎn)變過程
1.2.1 胖客戶端架構(gòu)
1.2.2 瘦客戶端架構(gòu)
1.2.3 AJAX：最適合的架構(gòu)
1.2.4 從安全角度看胖客戶端應(yīng)用程序
1.2.5 從安全角度看瘦客戶端應(yīng)用程序
1.2.6 從安全角度看AJAX架構(gòu)
1.3 一場(chǎng)完美的攻擊風(fēng)暴
1.3.1 不斷增加的復(fù)雜度、透明度及代碼量
1.3.2 社會(huì)學(xué)問題
1.3.3 AJAX應(yīng)用程序：富有吸引力的、戰(zhàn)略上的目標(biāo)
1.4 本章小結(jié)
第2章劫持
2.1 攻擊HighTechVactions.net
2.1.1 攻擊票務(wù)系統(tǒng)
2.1.2 攻擊客戶端數(shù)據(jù)綁定
2.1.3 攻擊AJAX APl
2.2 黑夜中的盜竊
第3章 Web攻擊
3.1 基本攻擊分類
3.1.1 資源枚舉
3.1.2 參數(shù)操縱
3.2 其他攻擊
3.2.1 跨站請(qǐng)求偽造攻擊
3.2.2 釣魚攻擊
3.2.3 拒絕服務(wù)（Denial.of-Service，DoS）
3.3 保護(hù)Web應(yīng)用程序免受資源枚舉和參數(shù)操作的攻擊
3.4 本章小結(jié)
第4章 AJAX攻擊層面
4.1 什么是攻擊層面
4.2 傳統(tǒng)W曲應(yīng)用程序的攻擊層面
4.2.1 表單輸入
4.2.2 cookie-
4.2.3 報(bào)頭
4.2.4 隱藏的表單輸入
4.2.5 請(qǐng)求參數(shù)
4.2.6 上傳文件
4.3 傳統(tǒng)的web應(yīng)用程序攻擊：一份成績(jī)單
4.4 Web服務(wù)的攻擊層面
4.4.1 Web服務(wù)的方法
4.4.2 Web服務(wù)的定義
4.5 AJAx應(yīng)用程序的攻擊層面
4.5.1 AJAX應(yīng)用程序攻擊層面的來(lái)源
4.5.2 黑客的最愛
4.6 正確的輸入驗(yàn)證
4.6.1 有關(guān)黑名單及其他補(bǔ)丁的問題
4.6.2 治標(biāo)不治本
4.6.3 白名單輸入驗(yàn)證
4.6.4 正則表達(dá)式
4.6.5 關(guān)于輸入驗(yàn)證的其他想法
4.7 驗(yàn)證富客戶端的用戶輸入
4.7.1 驗(yàn)證標(biāo)記語(yǔ)言
4.7.2 驗(yàn)證二進(jìn)制文件
4.7.3 驗(yàn)證JavaScfipt源代碼
4.7.4 驗(yàn)證序列化數(shù)據(jù)
4.8 關(guān)于由用戶提供的內(nèi)容
4.9 本章小結(jié)
……
第5章 AJAX代碼的復(fù)雜性
第6章 AJAX應(yīng)用程序的透明度
第7章劫持AJAX應(yīng)用程序
第8章攻擊客戶儲(chǔ)存儲(chǔ)
第9章離線AJAX應(yīng)用程序
第10章請(qǐng)求來(lái)源問題
第11章 Web Mashup和聚合程序
第12章攻擊表現(xiàn)層
第13章 JavaScript蠕蟲
第14章測(cè)試AJAX應(yīng)用程序
第15章 AJAX框架分析
附錄A Samy蠕蟲源代碼
附錄B Yamanner蠕蟲源代碼