琅琊榜海宴小说,小说,古风

白帽子講web安全全書以攻——防——攻——防的脈絡將web安全的要點梳理了一遍，是一本講述網絡安全相關的書籍。書籍內容很有價值，方便更整體地了解安全這個水平領域。本節內容小編為大家整理帶來的這本白帽子講web安全電子書為epub格式免費完整版，需要查閱的朋友點擊本文相應的下載地址進行下載后即可查閱！

白帽子講web安全目錄

第一篇世界觀安全

第1章我的安全世界觀2

1.1 web安全簡史2

1.1.1 中國黑客簡史2

1.1.2 黑客技術的發展歷程3

1.1.3 web安全的興起5

1.2 黑帽子，白帽子6

1.3 返璞歸真，揭秘安全的本質7

1.4 破除迷信，沒有銀彈9

1.5 安全三要素10

1.6 如何實施安全評估11

1.6.1 資產等級劃分12

1.6.2 威脅分析13

1.6.3 風險分析14

1.6.4 設計安全方案15

1.7 白帽子兵法16

1.7.1 secure by default原則16

1.7.2 縱深防御原則18

1.7.3 數據與代碼分離原則19

.1.7.4 不可預測性原則21

1.8 小結22

（附）誰來為漏洞買單？23

第二篇客戶端腳本安全

第2章瀏覽器安全26

2.1 同源策略26

2.2 瀏覽器沙箱30

2.3 惡意網址攔截33

2.4 高速發展的瀏覽器安全36

2.5 小結39

第3章跨站腳本攻擊（xss）40

3.1 xss簡介40

3.2 xss攻擊進階43

3.2.1 初探xss payload43

3.2.2 強大的xss payload46

3.2.3 xss 攻擊平臺62

3.2.4 終極武器：xss worm64

3.2.5 調試javascript73

3.2.6 xss構造技巧76

3.2.7 變廢為寶：mission impossible82

3.2.8 容易被忽視的角落：flash xss85

3.2.9 真的高枕無憂嗎：javascript開發框架87

3.3 xss的防御89

3.3.1 四兩撥千斤：httponly89

3.3.2 輸入檢查93

3.3.3 輸出檢查95

3.3.4 正確地防御xss99

3.3.5 處理富文本102

3.3.6 防御dom based xss103

3.3.7 換個角度看xss的風險107

3.4 小結107

第4章跨站點請求偽造（csrf）109

4.1 csrf簡介109

4.2 csrf進階111

4.2.1 瀏覽器的cookie策略111

4.2.2 p3p頭的副作用113

4.2.3 get? post?116

4.2.4 flash csrf118

4.2.5 csrf worm119

4.3 csrf的防御120

4.3.1 驗證碼120

4.3.2 referer check120

4.3.3 anti csrf token121

4.4 小結124

第5章點擊劫持（clickjacking）125

5.1 什么是點擊劫持125

5.2 flash點擊劫持127

5.3 圖片覆蓋攻擊129

5.4 拖拽劫持與數據竊取131

5.5 clickjacking 3.0：觸屏劫持134

5.6 防御clickjacking136

5.6.1 frame busting136

5.6.2 x-frame-options137

5.7 小結138

第6章 html 5 安全139

6.1 html 5新標簽139

6.1.1 新標簽的xss139

6.1.2 iframe的sandbox140

6.1.3 link types: noreferrer141

6.1.4 canvas的妙用141

6.2 其他安全問題144

6.2.1 cross-origin resource sharing144

6.2.2 postmessage——跨窗口傳遞消息146

6.2.3 web storage147

6.3 小結150

第三篇服務器端應用安全

第7章注入攻擊152

7.1 sql注入152

7.1.1 盲注（blind injection）153

7.1.2 timing attack155

7.2 數據庫攻擊技巧157

7.2.1 常見的攻擊技巧157

7.2.2 命令執行158

7.2.3 攻擊存儲過程164

7.2.4 編碼問題165

7.2.5 sql column truncation167

7.3 正確地防御sql注入170

7.3.1 使用預編譯語句171

7.3.2 使用存儲過程172

7.3.3 檢查數據類型172

7.3.4 使用安全函數172

7.4 其他注入攻擊173

7.4.1 xml注入173

7.4.2 代碼注入174

7.4.3 crlf注入176

7.5 小結179

第8章文件上傳漏洞180

8.1 文件上傳漏洞概述180

8.1.1 從fckeditor文件上傳漏洞談起181

8.1.2 繞過文件上傳檢查功能182

8.2 功能還是漏洞183

8.2.1 apache文件解析問題184

8.2.2 iis文件解析問題185

8.2.3 php cgi路徑解析問題187

8.2.4 利用上傳文件釣魚189

8.3 設計安全的文件上傳功能190

8.4 小結191

第9章認證與會話管理192

9.1 who am i?192

9.2 密碼的那些事兒193

9.3 多因素認證195

9.4 session與認證196

9.5 session fixation攻擊198

9.6 session保持攻擊199

9.7 單點登錄（sso）201

9.8 小結203

第10章訪問控制205

10.1 what can i do?205

10.2 垂直權限管理208

10.3 水平權限管理211

10.4 oauth簡介213

10.5 小結219

第11章加密算法與隨機數220

11.1 概述220

11.2 stream cipher attack222

11.2.1 reused key attack222

11.2.2 bit-flipping attack228

11.2.3 弱隨機iv問題230

11.3 wep破解232

11.4 ecb模式的缺陷236

11.5 padding oracle attack239

11.6 密鑰管理251

11.7 偽隨機數問題253

11.7.1 弱偽隨機數的麻煩253

11.7.2 時間真的隨機嗎256

11.7.3 破解偽隨機數算法的種子257

11.7.4 使用安全的隨機數265

11.8 小結265

（附）understanding md5 length extension attack267

第12章 web框架安全280

12.1 mvc框架安全280

12.2 模板引擎與xss防御282

12.3 web框架與csrf防御285

12.4 http headers管理287

12.5 數據持久層與sql注入288

12.6 還能想到什么289

12.7 web框架自身安全289

12.7.1 struts 2命令執行漏洞290

12.7.2 struts 2的問題補丁291

12.7.3 spring mvc命令執行漏洞292

12.7.4 django命令執行漏洞293

12.8 小結294

第13章應用層拒絕服務攻擊295

13.1 ddos簡介295

13.2 應用層ddos297

13.2.1 cc攻擊297

13.2.2 限制請求頻率298

13.2.3 道高一尺，魔高一丈300

13.3 驗證碼的那些事兒301

13.4 防御應用層ddos304

13.5 資源耗盡攻擊306

13.5.1 slowloris攻擊306

13.5.2 http post dos309

13.5.3 server limit dos310

13.6 一個正則引發的血案：redos311

13.7 小結315

第14章 php安全317

14.1 文件包含漏洞317

14.1.1 本地文件包含319

14.1.2 遠程文件包含323

14.1.3 本地文件包含的利用技巧323

14.2 變量覆蓋漏洞331

14.2.1 全局變量覆蓋331

14.2.2 extract()變量覆蓋334

14.2.3 遍歷初始化變量334

14.2.4 import_request_variables變量覆蓋335

14.2.5 parse_str()變量覆蓋335

14.3 代碼執行漏洞336

14.3.1 “危險函數”執行代碼336

14.3.2 “文件寫入”執行代碼343

14.3.3 其他執行代碼方式344

14.4 定制安全的php環境348

14.5 小結352

第15章 web server配置安全353

15.1 apache安全353

15.2 nginx安全354

15.3 jboss遠程命令執行356

15.4 tomcat遠程命令執行360

15.5 http parameter pollution363

15.6 小結364

第四篇互聯網公司安全運營

第16章互聯網業務安全366

16.1 產品需要什么樣的安全366

16.1.1 互聯網產品對安全的需求367

16.1.2 什么是好的安全方案368

16.2 業務邏輯安全370

16.2.1 永遠改不掉的密碼370

16.2.2 誰是大贏家371

16.2.3 瞞天過海372

16.2.4 關于密碼取回流程373

16.3 賬戶是如何被盜的374

16.3.1 賬戶被盜的途徑374

16.3.2 分析賬戶被盜的原因376

16.4 互聯網的垃圾377

16.4.1 垃圾的危害377

16.4.2 垃圾處理379

16.5 關于網絡釣魚380

16.5.1 釣魚網站簡介381

16.5.2 郵件釣魚383

16.5.3 釣魚網站的防控385

16.5.4 網購流程釣魚388

16.6 用戶隱私保護393

16.6.1 互聯網的用戶隱私挑戰393

16.6.2 如何保護用戶隱私394

16.6.3 do-not-track396

16.7 小結397

（附）麻煩的終結者398

第17章安全開發流程（sdl）402

17.1 sdl簡介402

17.2 敏捷sdl406

17.3 sdl實戰經驗407

17.4 需求分析與設計階段409

17.5 開發階段415

17.5.1 提供安全的函數415

17.5.2 代碼安全審計工具417

17.6 測試階段418

17.7 小結420

第18章安全運營422

18.1 把安全運營起來422

18.2 漏洞修補流程423

18.3 安全監控424

18.4 入侵檢測425

18.5 緊急響應流程428

18.6 小結430

（附）談談互聯網企業安全的發展方向431

白帽子講web安全內容簡介

在互聯網時代，數據安全與個人隱私受到了前所未有的挑戰，各種新奇的攻擊技術層出不窮。如何才能更好地保護我們的數據？《白帽子講Web安全》將帶你走進Web安全的世界，讓你了解Web安全的方方面面。黑客不再變得神秘，攻擊技術原來我也可以會，小網站主自己也能找到正確的安全道路。大公司是怎么做安全的，為什么要選擇這樣的方案呢？你能在《白帽子講Web安全》中找到答案。詳細的剖析，讓你不僅能“知其然”，更能“知其所以然”。