Python全棧安全

第Ⅰ部分  密碼學(xué)基礎(chǔ)
第1章  縱深防御   3
1.1  攻擊面   4
1.2  什么是縱深防御   6
1.2.1  安全標(biāo)準(zhǔn)   7
1.2.2  最佳實(shí)踐   8
1.2.3  安全基本原則   9
1.3  工具   11
1.4  小結(jié)   15
第2章  散列   17
2.1  什么是散列函數(shù)   17
2.2  原型人物   22
2.3  數(shù)據(jù)完整性   23
2.4  選擇加密散列函數(shù)   24
2.4.1  哪些散列函數(shù)是安全的   24
2.4.2  哪些散列函數(shù)是不安全的   25
2.5  Python中的加密散列   27
2.6  校驗(yàn)和函數(shù)   30
2.7  小結(jié)   31
第3章  密鑰散列   33
3.1  數(shù)據(jù)身份驗(yàn)證   33
3.1.1  密鑰生成   34
3.1.2  什么是密鑰散列   37
3.2  HMAC函數(shù)   39
3.3  時(shí)序攻擊   43
3.4  小結(jié)   45
第4章  對(duì)稱加密   47
4.1  什么是加密   47
4.2  cryptography包   50
4.2.1  危險(xiǎn)品層   50
4.2.2  配方層   51
4.2.3  密鑰輪換   53
4.3  什么是對(duì)稱加密   54
4.3.1  分組密碼   54
4.3.2  流密碼   56
4.3.3  加密模式   57
4.4  小結(jié)   61
第5章  非對(duì)稱加密   63
5.1  密鑰分發(fā)問題   63
5.2  什么是非對(duì)稱加密   64
5.3  不可否認(rèn)性   69
5.3.1  數(shù)字簽名   70
5.3.2  RSA數(shù)字簽名   71
5.3.3  RSA數(shù)字簽名驗(yàn)證   72
5.3.4  橢圓曲線數(shù)字簽名   73
5.4  小結(jié)   76
第6章  傳輸層安全   77
6.1  SSL、TLS和HTTPS   77
6.2  中間人攻擊   78
6.3  TLS握手   80
6.3.1  密碼套件協(xié)商   80
6.3.2  密鑰交換   81
6.3.3  服務(wù)器身份驗(yàn)證   84
6.4  Django與HTTP   88
6.5  Gunicorn與HTTPS   91
6.5.1  自簽名公鑰證書   92
6.5.2  Strict-Transport-Security響應(yīng)頭   94
6.5.3  HTTPS重定向   95
6.6  TLS和requests包   96
6.7  TLS和數(shù)據(jù)庫(kù)連接   97
6.8  TLS和電子郵件   99
6.8.1  隱式TLS   99
6.8.2  電子郵件客戶端身份驗(yàn)證   100
6.8.3  SMTP身份驗(yàn)證憑據(jù)   100
6.9  小結(jié)   101
第Ⅱ部分  身份驗(yàn)證和授權(quán)
第7章  HTTP會(huì)話管理   105
7.1  什么是HTTP會(huì)話   105
7.2  HTTP cookie   107
7.2.1  Secure指令   108
7.2.2  Domain指令   108
7.2.3  Max-Age   109
7.2.4  瀏覽器長(zhǎng)度的會(huì)話   110
7.2.5  以編程方式設(shè)置cookie   110
7.3  會(huì)話狀態(tài)持久化   111
7.3.1  會(huì)話序列化程序   111
7.3.2  簡(jiǎn)單的基于緩存的會(huì)話   113
7.3.3  基于直寫式緩存的會(huì)話   116
7.3.4  基于數(shù)據(jù)庫(kù)的會(huì)話引擎   116
7.3.5  基于文件的會(huì)話引擎   117
7.3.6  基于cookie的會(huì)話引擎   117
7.4  小結(jié)   122
第8章  用戶身份驗(yàn)證   123
8.1  用戶注冊(cè)   124
8.1.1  模板   128
8.1.2  Bob注冊(cè)賬戶   131
8.2  什么是用戶身份驗(yàn)證   132
8.2.1  內(nèi)置Django視圖   133
8.2.2  創(chuàng)建一個(gè)Django應(yīng)用   134
8.2.3  Bob登錄和注銷   137
8.3  簡(jiǎn)明要求身份驗(yàn)證   139
8.4  測(cè)試身份驗(yàn)證   140
8.5  小結(jié)   142
第9章  用戶密碼管理   143
9.1  密碼變更工作流程   143
9.2  密碼存儲(chǔ)   149
9.2.1  加鹽散列   152
9.2.2  密鑰派生函數(shù)   154
9.3  配置密碼散列   158
9.3.1  原生密碼散列器   159
9.3.2  自定義密碼散列器   160
9.3.3  Argon2密碼散列   160
9.3.4  遷移密碼散列器   161
9.4  密碼重置工作流程   166
9.5  小結(jié)   169
第10章  授權(quán)   171
10.1  應(yīng)用程序級(jí)授權(quán)   172
10.1.1  權(quán)限   173
10.1.2  用戶和組管理   175
10.2  強(qiáng)制授權(quán)   180
10.2.1  低級(jí)困難方式   180
10.2.2  高級(jí)簡(jiǎn)單方式   183
10.2.3  條件渲染   185
10.2.4  測(cè)試授權(quán)   186
10.3  反模式和最佳實(shí)踐   187
10.4  小結(jié)   188
第11章  OAuth 2   189
11.1  給予類型   190
11.2  Bob授權(quán)Charlie   195
11.2.1  請(qǐng)求授權(quán)   196
11.2.2  給予授權(quán)   197
11.2.3  令牌交換   197
11.2.4  訪問受保護(hù)的資源   198
11.3  Django OAuth Toolkit   200
11.3.1  授權(quán)服務(wù)器職責(zé)   201
11.3.2  資源服務(wù)器職責(zé)   204
11.4  requests-oauthlib   209
11.5  小結(jié)   213
第Ⅲ部分  抵御攻擊 
第12章  使用操作系統(tǒng)   217
12.1  文件系統(tǒng)級(jí)授權(quán)   217
12.1.1  請(qǐng)求許可   218
12.1.2  使用臨時(shí)文件   219
12.1.3  使用文件系統(tǒng)權(quán)限   220
12.2  調(diào)用外部可執(zhí)行文件   222
12.2.1  用內(nèi)部API繞過shell   224
12.2.2  使用subprocess模塊   226
12.3  小結(jié)   228
第13章  永遠(yuǎn)不要相信輸入   229
13.1  使用Pipenv進(jìn)行包管理   229
13.2  YAML遠(yuǎn)程代碼執(zhí)行   232
13.3  XML實(shí)體擴(kuò)展   235
13.3.1  二次爆炸攻擊   235
13.3.2  十億笑攻擊   236
13.4  拒絕服務(wù)   238
13.5  Host標(biāo)頭攻擊   239
13.6  開放重定向攻擊   243
13.7  SQL注入   246
13.7.1  原始SQL查詢   247
13.7.2  數(shù)據(jù)庫(kù)連接查詢   248
13.8  小結(jié)   249
第14章  跨站腳本攻擊   251
14.1  什么是XSS   251
14.1.1  持久型XSS   252
14.1.2  反射型XSS   253
14.1.3  基于DOM的XSS   254
14.2  輸入驗(yàn)證   256
14.3  轉(zhuǎn)義輸出   263
14.3.1  內(nèi)置的渲染實(shí)用程序   264
14.3.2  HTML屬性引用   266
14.4  HTTP響應(yīng)標(biāo)頭   267
14.4.1  禁用對(duì)cookie的JavaScript訪問   267
14.4.2  禁用MIME類型嗅探   270
14.4.3  X-XSS-Protection標(biāo)頭   271
14.5  小結(jié)   272
第15章  內(nèi)容安全策略   273
15.1  編寫內(nèi)容安全策略   274
15.1.1  獲取指令   276
15.1.2  導(dǎo)航和文檔指令   280
15.2  使用django-csp部署策略   281
15.3  使用個(gè)性化策略   283
15.4  報(bào)告CSP違規(guī)   286
15.5  CSP Level 3   288
15.6  小結(jié)   289
第16章  跨站請(qǐng)求偽造   291
16.1  什么是請(qǐng)求偽造   291
16.2  會(huì)話ID管理   293
16.3  狀態(tài)管理約定   295
16.4  Referer標(biāo)頭驗(yàn)證   298
16.5  CSRF令牌   301
16.5.1  POST請(qǐng)求   301
16.5.2  其他不安全的請(qǐng)求方法   303
16.6  小結(jié)   304
第17章  跨源資源共享   307
17.1  同源策略   307
17.2  簡(jiǎn)單CORS請(qǐng)求   309
17.3  帶django-cors-headers的CORS   311
17.4  CORS預(yù)檢請(qǐng)求   314
17.4.1  發(fā)送預(yù)檢請(qǐng)求   314
17.4.2  發(fā)送預(yù)檢響應(yīng)   318
17.5  跨源發(fā)送cookie   319
17.6  CORS和CSRF抵御   321
17.7  小結(jié)   322
第18章  點(diǎn)擊劫持   323
18.1  X-Frame-Options標(biāo)頭   326
18.2  Content-Security-Policy標(biāo)頭   327
18.3  與Mallory同步   329
18.4  小結(jié)   330