登入帳戶　 |　訂單查詢　 |　購物車/收銀台( 0 )　|　在線留言板　 |　付款方式　 |　聯絡我們　 |　運費計算　 |　幫助中心　|　 加入書簽
	全部範圍 - 圖書 - 　- 中文簡體書(大陸書) - 　- 英文書（原版） - - 音碟 - 　- 音樂 - 　- 影視 - - 雜誌 - 全文 精確	會員登入 新註冊 |　新用戶登記

HOME新書上架暢銷書架好書推介特價區會員書架精選月讀2023年度TOP分類閱讀雜誌

香港／國際用戶

最新/最熱/最齊全的簡體書網

品種：超過100萬種書，正品正价，放心網購，悭钱省心

送貨：速遞 / EMS，時效：出貨後2-3日

新書推薦： 《 数据资产管理——体系、方法与实践 》 售價：NT$ 411.0 《 别太着急啦 名取芳彦讲述“放慢”哲学 》 售價：NT$ 260.0 《 旗袍的灵魂是优雅 》 售價：NT$ 1030.0 《 近代日本在长江流域的扩张（1862-1937） 》 售價：NT$ 822.0 《 经纬度丛书·曾经的王者：阿育王与孔雀王朝 》 售價：NT$ 406.0 《 道教史（中华现代学术名著5） 》 售價：NT$ 218.0 《 （守望者·传记）洛尔迦，被诅咒的诗人 》 售價：NT$ 406.0 《 经纬度丛书·隋唐帝国权力结构及制度演进 》 售價：NT$ 666.0

建議一齊購買： + NT$ 621 《 线上幽灵：世界头号黑客米特尼克自传（体验头号黑客传奇人生，洞悉头号黑客思维模式！启明，绿盟，安天，安全宝，百度，腾讯，阿里……众全专家一致推荐！） 》 + NT$ 921 《 Rootkit：系统灰色地带的潜伏者（原书第2版）（Amazon五星级畅销书，rootkit领域的重要著作，计算机安全领域公认经典） 》 + NT$ 828 《 黑客免杀攻防（全方位揭示黑客免杀技术的常用方法、技术细节和思想原理，为反病毒工程师剖析恶意软件和遏制免杀技术提供具体方法和应对策略） 》 + NT$ 456 《 XSS跨站脚本攻击剖析与防御 》 + NT$ 549 《 Web 前端黑客技术揭秘（国内第一本专注Web前端的黑客书） 》 編輯推薦： 如何你要了解应用安全，请看OWASP； 如果你要了解OWASP，请看OWASP Top 10； 如果你要了解OWASP Top 10，请看《Web应用安全威胁与防治——基于OWASP Top 10与ESAPI》。 它以浅显的故事，详实的理论，易懂的代码，带你去遨游应用安全的世界。 读罢，让我们忽然明白，搞应用安全，原来是可以这么简单。 內容簡介： 本书是一本讲解Web应用中最常见的安全风险以及解决方案的实用教材。它以当今公认的安全权威机构OWASP（Open Web Application Security Project）制定的OWASP Top 10为蓝本，介绍了十项最严重的Web应用程序安全风险，并利用ESAPI（Enterprise Security API）提出了解决方案。本书共有五篇，第1篇通过几个故事引领读者进入安全的世界；第2篇是基础知识篇，读者可以了解基本的Web应用安全的技术和知识；第3篇介绍了常用的安全测试和扫描工具；第4篇介绍了各种威胁以及测试和解决方案；第5篇在前几篇的基础上，总结在设计和编码过程中的安全原则。 本书各章以一个生动的小故事或者实例开头，让读者快速了解其中的安全问题，然后分析其产生的原因和测试方法并提出有效的解决方案，最后列出处理相关问题的检查列表，帮助读者在以后的工作和学习中更好地理解和处理类似的问题。读完本书之后，相信读者可以将学过的内容应用到Web应用安全设计、开发、测试中，提高Web应用程序的安全，也可以很有信心地向客户熟练地讲解Web应用安全威胁和攻防，并在自己的事业发展中有更多的收获。 本书适用于Web开发人员、设计人员、测试人员、架构师、项目经理、安全咨询顾问等。本书也可以作为对Web应用安全有兴趣的高校学生的教材，是一本实用的讲解Web应用安全的教材和使用手册。 目錄： 第1篇 引子 故事一：家有一IT，如有一宝 故事二：微博上的蠕虫 故事三：明文密码 故事四：IT青年VS禅师 第2篇 基础篇 第1章 Web应用技术 1.1 HTTP简介 1.2 HTTPS简介 1.3 URI 1.3.1 URL 1.3.2 URIURLURN 1.3.3 URI比较 1.4 HTTP消息 1.4.1 HTTP方法 1.4.2 HTTP状态码 1.5 HTTP Cookie 1.5.1 HTTP Cookie的作用 1.5.2 HTTP Cookie的缺点 1.6 HTTP session 1.7 HTTP的安全 第2章 OWASP 2.1 OWASP简介 2.2 OWASP风险评估方法 2.3 OWASP Top 10 2.4 ESAPI（Enterprise Security API） 第3篇 工具篇 第3章 Web服务器工具简介 3.1 Apache 3.2 其他Web服务器 第4章 Web浏览器以及调试工具 4.1 浏览器简介 4.1.1 基本功能 4.1.2 主流浏览器 4.1.3 浏览器内核 4.2 开发调试工具 第5章 渗透测试工具 5.1 Fiddler 5.1.1 工作原理 5.1.2 如何捕捉HTTPS会话 5.1.3 Fiddler功能介绍 5.1.4 Fiddler扩展功能 5.1.5 Fiddler第三方扩展功能 5.2 ZAP 5.2.1 断点调试 5.2.2 编码解码 5.2.3 主动扫描 5.2.4 Spider 5.2.5 暴力破解 5.2.6 端口扫描 5.2.7 Fuzzer 5.2.8 API 5.3 WebScrab 5.3.1 HTTP代理 5.3.2 Manual Request 5.3.3 Spider 5.3.4 Session ID分析 5.3.5 Bean Shell的支持 5.3.6 Web编码和解码 第6章 扫描工具简介 6.1 万能的扫描工具——WebInspect 6.1.1 引言 6.1.2 WebInspect特性 6.1.3 环境准备 6.1.4 HP WebInspect总览 6.1.5 Web网站测试 6.1.6 企业测试 6.1.7 生成报告 6.2 开源扫描工具——w3af 6.2.1 w3af概述 6.2.2 w3af环境配置 6.2.3 w3af使用示例 6.3 被动扫描的利器——Ratproxy 6.3.1 Ratproxy概述 6.3.2 Ratproxy环境配置 6.3.3 Ratproxy运行 第7章 漏洞学习网站 7.1 WebGoat 7.2 DVWA 7.3 其他的漏洞学习网站 第4篇 攻防篇 第8章 代码注入 8.1 注入的分类 8.1.1 OS命令注入 8.1.2 XPath注入 8.1.3 LDAP注入 8.1.4 SQL注入 8.1.5 JSON注入 8.1.6 URL参数注入 8.2 OWASP ESAPI与注入问题的预防 8.2.1 命令注入的ESAPI预防 8.2.2 XPath注入的ESAPI预防 8.2.3 LDAP注入的ESAPI预防 8.2.4 SQL注入的ESAPI预防 8.2.5 其他注入的ESAPI预防 8.3 注入预防检查列表 8.4 小结 第9章 跨站脚本（XSS） 9.1 XSS简介 9.2 XSS分类 9.2.1 反射式XSS 9.2.2 存储式XSS 9.2.3 基于DOM的XSS 9.2.4 XSS另一种分类法 9.3 XSS危害 9.4 XSS检测 9.4.1 手动检测 9.4.2 半自动检测 9.4.3 全自动检测 9.5 XSS的预防 9.5.1 一刀切 9.5.2 在服务器端预防 9.5.3 在客户端预防 9.5.4 富文本框的XSS预防措施 9.5.5 CSS 9.5.6 FreeMarker 9.5.7 OWASP ESAPI与XSS的预防 9.6 XSS检查列表 9.7 小结 第10章 失效的身份认证和会话管理 10.1 身份认证和会话管理简介 10.2 谁动了我的琴弦——会话劫持 10.3 请君入瓮——会话固定 10.4 我很含蓄——非直接会话攻击 10.5 如何测试 10.5.1 会话固定测试 10.5.2 用Web Scrab分析会话ID 10.6 如何预防会话攻击 10.6.1 如何防治固定会话 10.6.2 保护你的会话令牌 10.7 身份验证 10.7.1 双因子认证流程图 10.7.2 双因子认证原理说明 10.7.3 隐藏在QR Code里的秘密 10.7.4 如何在服务器端实现双因子认证 10.7.5 我没有智能手机怎么办 10.8 身份认证设计的基本准则 10.8.1 密码长度和复杂性策略 10.8.2 实现一个安全的密码恢复策略 10.8.3 重要的操作应通过HTTPS传输 10.8.4 认证错误信息以及账户锁定 10.9 检查列表 10.9.1 身份验证和密码管理检查列表 10.9.2 会话管理检查列表 10.10 小结 第11章 不安全的直接对象引用 11.1 坐一望二——直接对象引用 11.2 不安全直接对象引用的危害 11.3 其他可能的不安全直接对象引用 11.4 不安全直接对象引用的预防 11.5 如何使用OWASP ESAPI预防 11.6 直接对象引用检查列表 11.7 小结 第12章 跨站请求伪造（CSRF） 12.1 CSRF简介 12.2 谁动了我的奶酪 12.3 跨站请求伪造的攻击原理 12.4 剥茧抽丝见真相 12.5 其他可能的攻击场景 12.5.1 家用路由器被CSRF攻击 12.5.2 别以为用POST你就躲过了CSRF 12.5.3 写一个自己的CSRF Redirector 12.5.4 利用重定向欺骗老实人 12.6 跨站请求伪造的检测 12.6.1 手工检测 12.6.2 半自动CSRFTester 12.7 跨站请求伪造的预防 12.7.1 用户需要知道的一些小技巧 12.7.2 增加一些确认操作 12.7.3 重新认证 12.7.4 加入验证码（CAPTCHA） 12.7.5 ESAPI解决CSRF 12.7.6 CSRFGuard 12.8 CSRF检查列表 12.9 小结 第13章 安全配置错误 13.1 不能说的秘密——Google hacking 13.2 Tomcat那些事 13.3 安全配置错误的检测与预防 13.3.1 系统配置 13.3.2 Web应用服务器的配置 13.3.3 数据库 13.3.4 日志配置 13.3.5 协议 13.3.6 开发相关的安全配置 13.3.7 编译器的安全配置 13.4 安全配置检查列表 13.5 小结 第14章 不安全的加密存储 14.1 关于加密 14.1.1 加密算法简介 14.1.2 加密算法作用 14.1.3 加密分类 14.2 加密数据分类 14.3 加密数据保护 14.3.1 密码的存储与保护 14.3.2 重要信息的保护 14.3.3 密钥的管理 14.3.4 数据的完整性 14.3.5 云系统存储安全 14.3.6 数据保护的常犯错误 14.4 如何检测加密存储数据的安全性 14.4.1 审查加密内容 14.4.2 已知答案测试（Known Answer Test） 14.4.3 自发明加密算法的检测 14.4.4 AES加密算法的测试 14.4.5 代码审查 14.5 如何预防不安全的加密存储的数据 14.6 OWASP ESAPI与加密存储 14.6.1 OWASP ESAPI与随机数 14.6.2 OWASP ESAPI 与FIPS 140-2 14.7 加密存储检查列表 14.8 小结 第15章 没有限制的URL访问 15.1 掩耳盗铃——隐藏（Disable）页面按钮 15.2 权限认证模型 15.2.1 自主型访问控制 15.2.2 强制型访问控制 15.2.3 基于角色的访问控制 15.3 绕过认证 15.3.1 网络嗅探 15.3.2 默认或者可猜测用户账号 15.3.3 直接访问内部URL 15.3.4 修改参数绕过认证 15.3.5 可预测的SessionID 15.3.6 注入问题 15.3.7 CSRF 15.3.8 绕过认证小结 15.4 绕过授权验证 15.4.1 水平越权 15.4.2 垂直越权 15.5 文件上传与下载 15.5.1 文件上传 15.5.2 文件下载和路径遍历 15.6 静态资源 15.7 后台组件之间的认证 15.8 SSO 15.9 OWASP ESAPI与授权 15.9.1 AccessController的实现 15.9.2 一个AccessController的代码示例 15.9.3 我们还需要做些什么 15.10 访问控制检查列表 15.11 小结 第16章 传输层保护不足 16.1 卧底的故事——对称加密和非对称加密 16.2 明文传输问题 16.3 有什么危害 16.3.1 会话劫持 16.3.2 中间人攻击 16.4 预防措施 16.4.1 密钥交换算法 16.4.2 对称加密和非对称加密结合 16.4.3 SSLTLS 16.5 检查列表 16.6 小结 第17章 未验证的重定向和转发 17.1 三角借贷的故事——转发和重定向 17.1.1 URL转发 17.1.2 URL重定向 17.1.3 转发与重定向的区别 17.1.4 URL 重定向的实现方式 17.2 危害 17.3 如何检测 17.4 如何预防 17.4.1 OWASP ESAPI与预防 17.5 重定向和转发检查列表 17.6 小结 第5篇 安全设计、编码十大原则 第18章 安全设计十大原则 设计原则1——简单易懂 设计原则2——最小特权 设计原则3——故障安全化 设计原则4——保护最薄弱环节 设计原则5——提供深度防御 设计原则6——分隔 设计原则7——总体调节 设计原则8——默认不信任 设计原则9——保护隐私 设计原则10——公开设计，不要假设隐藏秘密就是安全 第19章 安全编码十大原则 编码原则1——保持简单 编码原则2——验证输入 编码原则3——注意编译器告警 编码原则4——框架和设计要符合安全策略 编码原则5——默认拒绝 编码原则6——坚持最小权限原则 编码原则7——净化发送到其他系统的数据 编码原则8——深度预防 编码原则9——使用有效的质量保证技术 编码原则10——采用一个安全编码规范

書城介紹　 |　合作申請　|　索要書目　 |　新手入門　|　聯絡方式　 |　幫助中心　|　找書說明　 |　送貨方式　|　付款方式	香港用户　 |　台灣用户　|　海外用户
megBook.com.tw
Copyright (C) 2013 - 2024 （香港）大書城有限公司　All Rights Reserved.