图书介绍

Ajax安全技术PDF|Epub|txt|kindle电子书版本网盘下载

Ajax安全技术
  • 比利·霍夫曼,布莱恩·苏里沃著 著
  • 出版社: 北京:电子工业出版社
  • ISBN:9787121079306
  • 出版时间:2009
  • 标注页数:403页
  • 文件大小:84MB
  • 文件页数:424页
  • 主题词:计算机网络-程序设计-安全技术

PDF下载


点此进入-本书在线PDF格式电子书下载【推荐-云解压-方便快捷】直接下载PDF格式图书。移动端-PC端通用
种子下载[BT下载速度快]温馨提示:(请使用BT下载软件FDM进行下载)软件下载地址页直链下载[便捷但速度慢]  [在线试读本书]   [在线获取解压码]
点击复制MD5值:c51648e12006a7f768186155aa84234a

下载说明

Ajax安全技术PDF格式电子书版下载

下载的文件为RAR压缩包。需要使用解压软件进行解压得到PDF格式图书。

点击复制85GB完整离线版磁力链接到迅雷FDM等BT下载工具进行下载  详情点击-查看共享计划
建议使用BT下载工具Free Download Manager进行下载,简称FDM(免费,没有广告,支持多平台)。本站资源全部打包为BT种子。所以需要使用专业的BT下载软件进行下载。如BitComet qBittorrent uTorrent等BT下载工具。迅雷目前由于本站不是热门资源。不推荐使用!后期资源热门了。安装了迅雷也可以迅雷进行下载!

(文件页数 要大于 标注页数,上中下等多册电子书除外)

注意:本站所有压缩包均有解压码: 点击下载压缩包解压工具

图书目录

第1章 AJAX安全介绍1

1.1 AJAX基础知识2

1.1.1什么是AJAX2

1.1.2动态HTML(DHTML)10

1.2 AJAX架构(Architecture)的转变过程11

1.2.1胖客户端架构11

1.2.2瘦客户端架构12

1.2.3 AJAX:最适合的架构14

1.2.4从安全角度看胖客户端应用程序15

1.2.5从安全角度看瘦客户端应用程序15

1.2.6从安全角度看AJAX架构17

1.3一场完美的攻击风暴17

1.3.1不断增加的复杂度、透明度及代码量18

1.3.2社会学问题20

1.3.3 AJAX应用程序:富有吸引力的、战略上的目标21

1.4本章小结22

第2章 劫持23

2.1攻击HighTechVactions.net24

2.1.1攻击票务系统24

2.1.2攻击客户端数据绑定30

2.1.3攻击AJAX API34

2.2黑夜中的盗窃39

第3章 Web攻击41

3.1基本攻击分类41

3.1.1资源枚举41

3.1.2参数操纵45

3.2其他攻击66

3.2.1跨站请求伪造攻击66

3.2.2钓鱼攻击68

3.2.3拒绝服务(Denial-of-Service,DoS)68

3.3保护Web应用程序免受资源枚举和参数操作的攻击69

3.4本章小结70

第4章 AJAX攻击层面71

4.1什么是攻击层面71

4.2传统Web应用程序的攻击层面72

4.2.1表单输入73

4.2.2 cookie74

4.2.3报头75

4.2.4隐藏的表单输入75

4.2.5请求参数76

4.2.6上传文件78

4.3传统的Web应用程序攻击:一份成绩单79

4.4 Web服务的攻击层面81

4.4.1 Web服务的方法81

4.4.2 Web服务的定义82

4.5 AJAX应用程序的攻击层面83

4.5.1 AJAX应用程序攻击层面的来源84

4.5.2黑客的最爱86

4.6正确的输入验证86

4.6.1有关黑名单及其他补丁的问题87

4.6.2治标不治本90

4.6.3白名单输入验证93

4.6.4正则表达式96

4.6.5关于输入验证的其他想法96

4.7验证富客户端的用户输入98

4.7.1验证标记语言98

4.7.2验证二进制文件100

4.7.3验证JavaScript 源代码100

4.7.4验证序列化数据106

4.8关于由用户提供的内容109

4.9本章小结110

第5章 AJAX代码的复杂性111

5.1多种语言和架构111

5.1.1数组索引112

5.1.2字符串操作113

5.1.3代码注释115

5.1.4事不关己,高高挂起115

5.2 JavaScript的怪异之处117

5.2.1解释,而不是编译117

5.2.2弱类型118

5.3异步性120

5.3.1竞争条件120

5.3.2死锁及哲学家用餐问题124

5.3.3客户端同步化127

5.3.4留意你所采纳的建议128

5.4本章小结129

第6章 AJAX应用程序的透明度131

6.1黑盒对白盒131

6.1.1示例:mylocalweatherforecast.com133

6.1.2示例:用AJAX实现的mylocalweatherforecast.com135

6.1.3对比结果139

6.2像API一样的Web应用程序140

6.3.些特殊的安全错误141

6.3.1不恰当的身份认证141

6.3.2过度细化服务端API143

6.3.3在JavaScript中存储会话状态146

6.3.4与用户相关的敏感数据147

6.3.5包含在客户端的注释及文档148

6.3.6在客户端进行的数据转换149

6.4通过隐藏来保证安全152

6.5本章小结154

第7章 劫持AJAX应用程序155

7.1劫持AJAX框架155

7.1.1意外的方法冲突156

7.1.2人为的方法冲突158

7.2劫持“即时”的AJAX163

7.3劫持JSON API167

7.3.1劫持对象定义172

7.3.2 JSON劫持的根源173

7.3.3如何防范JSON劫持173

7.4本章小结176

第8章 攻击客户端存储179

8.1客户端存储系统概述179

8.2 HTTP cookies181

8.2.1 cookie访问控制规则183

8.2.2 HTTP cookie的存储能力188

8.2.3 cookie的生命期191

8.2.4 cookie存储的其他安全问题192

8.2.5 cookie存储总结193

8.3 Flash本地共享对象194

8.4 DOM存储201

8.4.1会话存储202

8.4.2全局存储204

8.4.3 DOM存储的细节讨论205

8.4.4 DOM存储安全207

8.4.5 DOM存储总结208

8.5 Internet Explorer userData209

8.6一般客户端存储的攻击和防范方法214

8.6.1跨域攻击214

8.6.2跨目录攻击215

8.6.3跨端口攻击216

8.7本章小结216

第9章 离线AJAX应用程序219

9.1离线AJAX应用程序219

9.2 Google Gears220

9.2.1 Google Gears内置的安全特性及其缺点221

9.2.2探索工作者池224

9.2.3泄露并篡改本地服务器(Local Server)中的数据226

9.2.4直接访问Google Gears数据库229

9.2.5 SQL注入和Google Gears230

9.2.6客户端SQL注入有多危险234

9.3 Dojo Offline236

9.3.1保证密钥安全237

9.3.2保证数据安全238

9.3.3可作为密钥的良好密码239

9.4再论客户端输入验证240

9.5创建离线应用程序的其他方式241

9.6本章小结242

第10章 请求来源问题243

10.1 Robots、Spiders、Browsers及其他网络爬虫243

10.2请求来源不确定性和JavaScript245

10.2.1从Web服务器的角度看AJAX请求246

10.2.2是你自己,还是貌似你的某人249

10.2.3使用JavaScript发送HTTP请求251

10.2.4在AJAX出现之前的JavaScript HTTP攻击252

10.2.5通过XMLHttpRequest窃取其他内容254

10.2.6实战结合XSS/XHR进行攻击258

10.3防范措施260

10.4本章小结261

第11章 Web Mashup和聚合程序263

11.1互联网上计算机可以使用的数据263

11.1.1 20世纪90年代早期:人类Web的黎明263

11.1.2 20世纪90年代中期:机器Web的诞生264

11.1.3 2000年左右:机器Web逐渐成熟266

11.1.4可公用的Web服务266

11.2 Mashup:Web中的弗兰肯斯坦268

11.2.1 ChicagoCrime.org269

11.2.2 HousingMaps.com270

11.2.3其他的Mashup应用程序270

11.3创建Mashup应用程序271

11.4桥接、代理及网关274

11.5攻击AJAX代理275

11.6 Mashup程序中的输入验证279

11.7聚合网站282

11.8安全性和可信度的降低287

11.9本章小结290

第12章 攻击表现层291

12.1从内容信息中分离表现信息291

12.2攻击表现层294

12.3对级联样式表的数据挖掘295

12.4外观篡改297

12.5嵌入程序逻辑305

12.6目标级联样式表306

12.7防范表现层攻击311

12.8本章小结312

第13章 JavaScript蠕虫313

13.1 JavaScript蠕虫概述313

13.1.1传统的计算机病毒314

13.1.2 JavaScript蠕虫316

13.2创建JavaScript蠕虫318

13.2.1 JavaScript的局限性319

13.2.2传播JavaScript蠕虫320

13.2.3 JavaScript蠕虫携带的恶意代码320

13.2.4 JavaScript中的信息窃取321

13.3关于内网322

13.3.1窃取浏览器历史记录326

13.3.2窃取搜索引擎的查询结果327

13.3.3总结328

13.4案例学习:Samy蠕虫329

13.4.1工作原理330

13.4.2病毒携带的程序333

13.4.3关于Samy蠕虫的结论334

13.5案例学习:Yamanner蠕虫(JS/Yamanner-A)336

13.5.1工作原理337

13.5.2病毒携带的程序339

13.5.3关于Yamanner蠕虫的结论340

13.6从实际JavaScript蠕虫中能学到的经验342

13.7本章小结343

第14章 测试AJAX应用程序345

14.1黑魔法345

14.2并不是所有人都使用浏览器来查看网页349

14.3两手都要抓,两手都要硬351

14.4安全测试工具352

14.4.1生成网站目录353

14.4.2漏洞检测354

14.4.3分析工具:Sprajax356

14.4.4分析工具:Paros Proxy357

14.4.5分析工具:LAPSE(Eclipse中轻量级的程序安全分析工具)359

14.4.6分析工具:WebInspectTM360

14.5其他一些关于安全测试的想法361

第15章 AJAX框架分析363

15.1 ASP.NET363

15.1.1 ASP.NET AJAX(以前被称为Atlas)363

15.1.2 ScriptService367

15.1.3安全缺点:UpdatePanel对ScriptService368

15.1.4 ASP.NET和WSDL369

15.1.5 ValidateRequest373

15.1.6 ViewStateUserKey374

15.1.7 ASP.NET配置和调试375

15.2 PHP376

15.2.1 Sajax376

15.2.2 Sajax和跨站请求伪造378

15.3 Java EE380

15.4 JavaScript框架382

15.4.1对客户端代码的一个警告383

15.4.2 Prototype383

15.5本章小结385

附录A Samy蠕虫源代码387

附录B Yamanner蠕虫源代码397

热门推荐