图书推荐:《Web前端黑客技术揭秘》
编辑推荐
在Web技术飞速演变、电子商务蓬勃发展的今天,企业开发的很多新应用程序都是Web应用程序,而且Web服务也被越来越频繁地用于集成Web应用程序或与其进行交互,这些趋势带来的问题就是web应用系统的安全风险达到了前所未有的高度,在安全缺陷被利用时可能会出现灾难性后果。
SQL注入+上传Webshell这样的攻击成为了业界主流,几乎对动态Web服务无往不利。大中型企业和机构纷纷增加了80端口的检查和封堵。看到一些SQL注入攻击被挡住的日志,他们脸上露出了满意的微笑……
可是,厉害的Web攻击方式,就只有一个SQL注入吗?
如果把SQL注入算做Web后端攻击方式的话。那XSS和CSRF、ClickJacking等前端攻击方式的运用则更为复杂。
在这本书中,作者向大家阐述了“草木竹石,均可为剑”的道理。在他们的眼中URL、HTML、JavaScript、CSS、ActionScript……几乎每个地方都可以暗藏杀机。
作者简介
钟晨鸣,毕业于北京化工大学,网名:余弦。国内著名Web安全团队xeye成员,除了爱好Web Hacking外,还对宇宙学、人类学等保持着浓厚兴趣。2008年加入北京知道创宇信息技术有限公司,现任研究部总监,团队致力于Web安全与海量数据研究,并进行相关超酷平台的实现。
徐少培,毕业于河北工业大学。网名:xisigr。国内著名Web安全团队xeye成员。2008年加入北京天融信公司,现任北京天融信资深安全专家,重点负责安全研究工作,主要研究领域包括:WEB安全、HTML5安全、浏览器安全、协议分析等。同时也是国内信息安全大会常见的演讲者。
内容提要
Web 前端的黑客攻防技术是一门非常新颖且有趣的黑客技术,主要包含Web 前端安全的跨站脚本(XSS)、跨站请求伪造(CSRF)、界面操作劫持这三大类,涉及的知识点涵盖信任与信任关系、Cookie安全、Flash 安全、DOM 渲染、字符集、跨域、原生态攻击、高级钓鱼、蠕虫思想等,这些都是研究前端安全的人必备的知识点。本书作者深入剖析了许多经典的攻防技巧,并给出了许多独到的安全见解。
本书适合前端工程师阅读,同时也适合对 Web 前端各类安全问题或黑客攻防过程充满好奇的读者阅读,书中的内容可以让读者重新认识到Web 的危险,并知道该如何去保护自己以免受黑客的攻击。
媒体评论
《Web前端黑客技术揭秘》是每名Web前端工程师都必备的安全参考书。钟晨鸣先生与徐少培先生是我多年的好友,他们在Web安全领域有着很深的造诣。这本书是他们多年经验的总结,深入剖析了Web前端安全的方方面面,很多独特的见解发人深省。对于安全从业者和对互联网安全关心的读者,这本书是不容错过的上上之选。
——吴翰清《白帽子讲Web安全》作者,安全宝联合产品副总裁,
前阿里巴巴集团高级安全专家
通过Web前端应用对Web用户个人敏感信息进行攻击已经成为当前主流的攻击手段之一。本书作者是国内Web前端安全研究的资深专家,本书也是国内迄今为止在这一领域内最为全面和深刻的专著。作者用生动诙谐的语言为我们全面刨析了当前Web前端黑客的各种技术,对专业的安全工作者、浏览器开发人员、Web开发人员具有很好的参考价值,对提升广大Web用户自身的安全防范意识和知识也有很好的借鉴意义,推荐大家阅读。
——姚崎北京天融信公司副总裁
时至今日,我已经拥有过万的信息安全学员,但每逢学员让我推荐实战技术参考书时,都为推荐好书发愁,而这本书的诞生带来了攻防实战技术耀眼的光芒。本书既讲解了先进的XSS精粹,又展示了“借刀杀人、杀人不见血”的CSRF威力,通过研读该书,渗透测试与应急响应工程师将能收获详尽的理论知识和最新实践指南;风险评估与安全审计工程师阅读后将能透彻了解到Web2.0的新威胁,他们将不得不扩展评估和审计的技术标准;IT运维安全工程师们阅读后,将会意识到新的噩梦已经到来,为避免更多网站成为攻击目标,唯一做的就是积极学习、与时俱进!
——张胜生 CISSP/CISP/CISA/攻防技术资深讲师,
网络犯罪重现与侦查云端平台总设计师
随着Web 2.0的发展,Web前端攻击已逐渐成为主流攻击方式之一,但目前业界对Web前端安全方面的研究成果并没有系统的输出。今日有幸能优先拜读《Web前端黑客技术揭秘》一书,才发现原来已经有人在进行这方面的工作了。通读下来发现该书是两位作者对Web安全技术多年的系统研究和技术沉淀,涵盖了Web前端安全的方方面面,是一本能提升业界整体Web安全水平的得力之作。力荐!此外,两位作者钟晨鸣先生与徐少培先生都凭借深厚的Web安全技术功底多次帮助腾讯提升产品的安全质量,在此一并表示感谢。
——lake2 腾讯安全应急响应中心经理
钟晨鸣先生和徐少培先生是我多年来的挚友,很高兴终于看到这本书的面世,在我所熟悉的Web领域里,本书绝对是国内Web安全书籍中的首选,书中许多经典的case和思路,都是二位多年宝贵经验的总结,对于喜爱Web安全的同学和相关从业人员来说,细细研读该书一定能使读者对Web安全领域达到一个更深层的认识。
——罗诗尧《黑客攻防实战》系列图书作者,
新浪微博应用安全技术专家、微博安全中心负责人,前百度高级工程师
阅读(1466) | 评论(0) | 转发(0) |