译者序前 言第1章 HTML51.1 新的文档对象模型1.2 跨域资源共享1.3 Websocket1.3.1 传输数据1.3.2 数据帧1.3.3 安全性考虑1.4 Web存储1.5 Web Worker1.6 杂七杂八1.6.1 History API1.6.2 API草案1.7 小结第2章 HTML注入及跨站脚本攻击2.1 理解HTML注入2.1.1 确定注入点2.1.2 确定反射类型2.1.3 确定注入呈现位置的上下文2.1.4 攻击汇总2.1.5 利用字符集2.1.6 利用失效模式2.1.7 绕过弱的排除列表2.1.8 利用浏览器的怪异模式2.1.9 不寻常的攻击载体2.1.10 XSS的影响2.2 部署应对措施2.2.1 确定静态字符集2.2.2 规范化字符集及编码2.2.3 对输出进行编码2.2.4 当心排除列表和正则表达式2.2.5 重用代码,不要重新实现代码2.2.6 JavaScript沙盒2.2.7 浏览器内置XSS防御2.3 小结第3章 跨站请求伪造3.1 理解跨站请求伪造3.1.1 CSRF实现机制3.1.2 借助强制浏览的请求伪造3.1.3 无需密码攻击已认证动作3.1.4 危险关系:CSRF和HTML注入3.1.5 当心错综复杂的Web3.1.6 相关主题:点击劫持3.2 部署应对措施3.2.1 朝着正确方向努力3.2.2 保卫Web浏览器3.2.3 脆弱性和似真性3.3 小结第4章 SQL注入攻击及数据存储操纵4.1 理解SQL注入4.1.1 攻击路线:数学和语法4.1.2 攻击SQL语句4.1.3 剖析数据库4.1.4 其他攻击向量4.1.5 真实世界中的SQL注入攻击4.1.6 HTML5的Web存储API4.1.7 不使用SQL的SQL注入攻击4.2 部署应对措施4.2.1 验证输入4.2.2 对语句进行保护4.2.3 保护信息4.2.4 给数据库打最新的补丁4.3 小结第5章 攻破身份认证模式5.1 理解身份认证攻击5.1.1 重放会话令牌5.1.2 暴力破解5.1.3 网络嗅探5.1.4 重置密码5.1.5 跨站脚本攻击5.1.6 SQL注入5.1.7 诈骗和易受骗性5.2 部署应对措施5.2.1 保护会话cookie5.2.2 使用安全认证方案5.2.3 借助用户的力量5.2.4 骚扰用户5.2.5 请求限制5.2.6 日志与三角测量5.2.7 击败钓鱼攻击5.2.8 保护密码5.3 小结第6章 利用设计缺陷6.1 理解逻辑攻击和设计攻击6.1.1 利用工作流6.1.2 漏洞利用的策略及做法6.1.3 归纳法6.1.4 拒绝服务6.1.5 不安全的设计模式6.1.6 加密中的实现错误6.1.7 信息泄露6.2 部署应对措施6.2.1 记录需求6.2.2 创建强健的测试用例6.2.3 把策略映射到控制6.2.4 防御性编程6.2.5 验证客户端6.2.6 加密指南6.3 小结第7章 利用平台弱点7.1 攻击是如何实现的7.1.1 识别模式、数据结构以及开发者癖好7.1.2 以操作系统为攻击目标7.1.3 攻击服务器7.1.4 拒绝服务7.2 部署应对措施7.2.1 限制文件访问7.2.2 使用对象引用7.2.3 将不安全函数列入到黑名单7.2.4 强制授权7.2.5 限制网络连接7.3 小结第8章 攻击浏览器和隐私8.1 理解恶意软件和浏览器攻击8.1.1 恶意软件8.1.2 插入到浏览器插件中8.1.3 DNS和域8.1.4 HTML58.1.5 隐私8.2 部署应对措施8.2.1 安全地配置SSL/TLS8.2.2 更加安全地浏览网页8.2.3 隔离浏览器8.2.4 Tor8.2.5 DNSSEC8.3 小结
^ 收 起 
缺书网
扫码进群