豆瓣评分8.5!世界顶级黑客写的这本Web安全指南一定要看《Web之困:现代Web应用安全指南》

程序员书库(ID:OpenSourceTop) 编译

书单来自:https://www.ethicalhacker.net/features/book-reviews/book-review-the-tangled-web/

由于网络技术日趋成熟,黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击。对于web攻击也是非常简单的,随着各大企业对安全的重视,Web安全也就越来越重要了。


被誉为IT安全领域最有影响力的11位黑客之一的Michal Zalewski写过很多有关现代Web应用程序安全的文章,还写了一本相关的书籍——《Web之困:现代Web应用安全指南》



这些应用程序应用基于各种各样的技术构建,久而久之必然出现许多漏洞,Michal Zalewski详细分析了Web应用程序的各个层次,从HTTP通信到浏览器和服务器端脚本,并剖析了web应用程序和浏览器代码可能会带来的安全隐患等,然后,作者将介绍开发人员如何解决这些问题,以及如何通过新的和修改后的代码来解决这些问题。


本书从浏览器设计的角度切入,以探讨浏览器的各主要特性和由此衍生出来的各种安全相关问题,但实际上目前并没有没有一个基本的框架来评估现代软件的安全性。因此,让我们更深入地研究这本书,看看扎Zalewski是如何解决这些问题的,如何帮助开发者理清这一团乱摊子。



阅读路线


本书主要由三大部分组成:


第一部分:网络解剖学讨论的主题,诸如众所周知的主题包括url、HTTP和CSS等。作者不仅详细介绍了每种技术的细节,并详细解释了由于最初设计方法的不足,每种技术中的漏洞是如何存在的,在这之前还简要概述了web的发展,以及这么多的安全问题如何产生的。


Michal Zalewski 揭示了这样一个事实:多数浏览器用户对计算机技术不熟练;因此,他们根本不知道如何以安全的方式使用网络。正是这一现象导致了当前的困境,Michal Zalewski详细介绍了一些基础的知识,比如如何解析相对url;事实上,这并非易事。不同浏览器解析URL时的不一致性和对特殊URL模式的错误解析都会导致出现安全问题,从而影响到用户。


第二部分:主要介绍浏览器的安全特性。作者探讨了内容隔离逻辑、解释dom的同源策略以及localhost带来的非一般风险等主题。


第9章至第11章将介绍如何在Flash、cookie、插件、JavaScript限制之间正确使用同源策略,以及如何解决这些限制。这一部分代表了本书的核心内容,并以轻松的方式描述,在这点上我只能说Zalewski的写作方式真是厉害


第三部分:浏览器安全机制的未来趋势,他实际上描绘了一幅积极的未来蓝图。本节将讨论内容安全策略(CSP)、沙盒框架(CORS)、严格传输安全(HSTS)以及对现代浏览器的其他调整。


第三部分的最后一章专门讨论了Web应用程序的一些常见漏洞,这些漏洞对于Web应用程序渗透测试人员来说是一个很好的资源。


在每一章的末尾都有一个“安全工程”备忘单。任何想要扩展渗透测试工具包的渗透测试人员都应该仔细阅读,不仅如此,任何一个需要设计Web应用程序编程的开发者都应该阅读这本书。


这并不是一本能让你一下子掌握所有Web安全知识的书,但是它却可以让你深度思考Web安全性方面的问题,同时还会提醒你一些你从未想过/碰到过的问题


详细的目录如下:



读者书评:

@会心:序言说的对,这书很多地方举重若轻,一句话的时候其实查起来背景知识很复杂。不过翻译的有的地方有点乱。。


@hblf:没基础的暂时先别读这本书,内容有深度,不适宜初学者。


@伊朗:书本结构完整体系化,内容讲解详实且深入浅出,非常赞的一本书

推荐↓↓↓
程序员书库
上一篇:AI算法太难入门?看完《AI 算法工程师手册》这本书你就不会这么想 下一篇:算法与数据结构必备书单!还能免费下载