白帽子講web安全電子版

白帽子（zǐ）講web安（ān）全pdf完整（zhěng）版是麵向（xiàng）web前端開發人員推出（chū）的一個免費電子圖書文（wén）檔（dàng）。從中國的黑客史、web前端安全維護、測試以及如何防黑客攻擊等方麵介紹了網站（zhàn）維護的詳細內容。相信（xìn）能（néng）夠為您帶來參考和幫助！大家在綠色資源（yuán）網下載後，需要借助於wps或者相關的pdf閱（yuè）讀器打開查（chá）閱！

《白帽子講web安全》電子書目錄：

第（dì）一（yī）篇 世界觀安全

第（dì）1章（zhāng） 我的安全世界觀 2

1.1 web安全簡史 2

1.1.1 中國黑客簡史 2

1.1.2 黑（hēi）客技（jì）術的發展曆程 3

1.1.3 web安全（quán）的興起 5

1.2 黑帽子，白帽子 6

1.3 返璞（pú）歸真，揭秘安全的本質 7

1.4 破除迷信，沒有（yǒu）銀彈 9

1.5 安全三（sān）要素 10

1.6 如何實施（shī）安全評估 11

1.6.1 資產等級劃分 12

1.6.2 威脅分析 13

1.6.3 風險分析 14

1.6.4 設計安全（quán）方案 15

1.7 白帽子兵法 16

1.7.1 secure by default原則 16

1.7.2 縱深防禦（yù）原則 18

1.7.3 數據與代碼（mǎ）分離原則 19

.1.7.4 不可預（yù）測性原則 21

1.8 小結 22

（附）誰來為漏洞買單？ 23

第二篇 客戶端腳本安全

第2章 瀏覽器安全 26

2.1 同源策略 26

2.2 瀏覽器沙箱（xiāng） 30

2.3 惡意網址攔截 33

2.4 高速發展的瀏（liú）覽器安（ān）全 36

2.5 小結 39

第3章 跨站腳本攻擊（jī）（xss） 40

3.1 xss簡介 40

3.2 xss攻擊（jī）進階 43

3.2.1 初探xss payload 43

3.2.2 強大的xss payload 46

3.2.3 xss 攻擊平台 62

3.2.4 終極武器：xss worm 64

3.2.5 調試javascript 73

3.2.6 xss構造技巧 76

3.2.7 變廢為（wéi）寶：mission impossible 82

3.2.8 容易被忽視的角落：flash xss 85

3.2.9 真的高枕（zhěn）無憂嗎：javascript開發框架 87

3.3 xss的防禦 89

3.3.1 四兩撥千斤：httponly 89

3.3.2 輸入（rù）檢查 93

3.3.3 輸出檢查 95

3.3.4 正確地防禦（yù）xss 99

3.3.5 處理富（fù）文本 102

3.3.6 防禦dom based xss 103

3.3.7 換個角度看xss的風險 107

3.4 小結 107

第4章（zhāng） 跨站點請求（qiú）偽（wěi）造（csrf） 109

4.1 csrf簡介 109

4.2 csrf進階 111

4.2.1 瀏覽器的cookie策略 111

4.2.2 p3p頭的副作用 113

4.2.3 get? post? 116

4.2.4 flash csrf 118

4.2.5 csrf worm 119

4.3 csrf的防禦 120

4.3.1 驗（yàn）證碼 120

4.3.2 referer check 120

4.3.3 anti csrf token 121

4.4 小結 124

第5章 點擊劫（jié）持（clickjacking） 125

5.1 什麽是（shì）點擊劫持 125

5.2 flash點擊劫持 127

5.3 圖片覆（fù）蓋攻擊 129

5.4 拖拽劫（jié）持與數據竊取 131

5.5 clickjacking 3.0：觸（chù）屏劫持 134

5.6 防禦clickjacking 136

5.6.1 frame busting 136

5.6.2 x-frame-options 137

5.7 小結（jié） 138

第6章 html 5 安全 139

6.1 html 5新標簽（qiān） 139

6.1.1 新標簽的xss 139

6.1.2 iframe的sandbox 140

6.1.3 link types: noreferrer 141

6.1.4 canvas的妙用 141

6.2 其他安全問題 144

6.2.1 cross-origin resource sharing 144

6.2.2 postmessage——跨窗（chuāng）口傳遞消息 146

6.2.3 web storage 147

6.3 小結 150

第三（sān）篇 服務器端應（yīng）用安全

第7章 注入攻（gōng）擊 152

7.1 sql注入 152

7.1.1 盲注（zhù）（blind injection） 153

7.1.2 timing attack 155

7.2 數（shù）據（jù）庫攻擊技（jì）巧 157

7.2.1 常見的（de）攻擊技巧 157

7.2.2 命令執（zhí）行 158

7.2.3 攻擊存儲過程 164

7.2.4 編碼問題 165

7.2.5 sql column truncation 167

7.3 正確地防禦sql注（zhù）入 170

7.3.1 使用預編譯語（yǔ）句 171

7.3.2 使（shǐ）用存儲（chǔ）過程 172

7.3.3 檢查（chá）數據類型（xíng） 172

7.3.4 使用安全函數 172

7.4 其他注入攻擊 173

7.4.1 xml注入 173

7.4.2 代碼注入（rù） 174

7.4.3 crlf注入 176

7.5 小結 179

第8章 文件上傳漏洞 180

8.1 文（wén）件上傳漏洞（dòng）概述 180

8.1.1 從fckeditor文（wén）件上傳漏洞談起 181

8.1.2 繞過文件（jiàn）上傳檢查功能 182

8.2 功能還是漏洞 183

8.2.1 apache文件解析問題 184

8.2.2 iis文件解析問題 185

8.2.3 php cgi路徑解析問（wèn）題 187

8.2.4 利用上傳文件釣魚 189

8.3 設計安全（quán）的文（wén）件上（shàng）傳功能 190

8.4 小結 191

第9章 認證與會話（huà）管理 192

9.1 who am i? 192

9.2 密碼的那些事兒 193

9.3 多因素認證 195

9.4 session與認證 196

9.5 session fixation攻擊 198

9.6 session保持攻擊 199

9.7 單點登（dēng）錄（sso） 201

9.8 小結 203

第10章 訪問控製 205

10.1 what can i do? 205

10.2 垂（chuí）直權限管理（lǐ） 208

10.3 水平權限管理 211

10.4 oauth簡介 213

10.5 小（xiǎo）結（jié） 219

第11章 加密算法與隨機數 220

11.1 概述 220

11.2 stream cipher attack 222

11.2.1 reused key attack 222

11.2.2 bit-flipping attack 228

11.2.3 弱隨機iv問題 230

11.3 wep 232

11.4 ecb模式的缺陷 236

11.5 padding oracle attack 239

11.6 密鑰（yào）管理 251

11.7 偽隨機數問題 253

11.7.1 弱偽隨機（jī）數（shù）的麻煩 253

11.7.2 時間真的隨機嗎 256

11.7.3 偽隨機數算法的種子 257

11.7.4 使用安全的隨機數（shù） 265

11.8 小結（jié） 265

（附）understanding md5 length extension attack 267

第12章 web框架（jià）安全 280

‍

12.1 mvc框架安全（quán） 280

12.2 模板引擎與xss防禦 282

12.3 web框架與csrf防禦 285

12.4 http headers管理 287

12.5 數據持（chí）久層與sql注入 288

12.6 還能想到什麽 289

12.7 web框架自身（shēn）安（ān）全 289

12.7.1 struts 2命（mìng）令執行（háng）漏洞 290

12.7.2 struts 2的問題補丁 291

12.7.3 spring mvc命令（lìng）執行漏洞 292

12.7.4 django命令（lìng）執行漏洞 293

12.8 小結 294

第13章 應用層拒絕服務攻擊 295

13.1 ddos簡介 295

13.2 應用層ddos 297

13.2.1 cc攻擊（jī） 297

13.2.2 限製請求頻率 298

13.2.3 道高一（yī）尺，魔高（gāo）一丈 300

13.3 驗證碼的那些（xiē）事兒 301

13.4 防禦應用層ddos 304

13.5 資源（yuán）耗盡攻擊 306

13.5.1 slowloris攻擊 306

13.5.2 http post dos 309

13.5.3 server limit dos 310

13.6 一個正則引發的血（xuè）案：redos 311

13.7 小結 315

第14章 php安全 317

14.1 文件包含漏洞 317

14.1.1 本地文件包含 319

14.1.2 遠程文（wén）件包含（hán） 323

14.1.3 本地文件包含的利用技巧 323

14.2 變量覆蓋漏洞 331

14.2.1 全局變量覆蓋 331

14.2.2 extract（）變量覆蓋 334

14.2.3 遍曆（lì）初始化變量 334

14.2.4 import_request_variables變量覆蓋 335

14.2.5 parse_str（）變量覆蓋 335

14.3 代碼執行漏洞 336

14.3.1 “危險函數”執行代碼 336

14.3.2 “文件寫入（rù）”執行代（dài）碼 343

14.3.3 其他執行代碼方式 344

14.4 定製安全的php環境（jìng） 348

14.5 小結 352

第15章 web server配置安（ān）全 353

15.1 apache安全 353

15.2 nginx安全 354

15.3 jboss遠程命令執行 356

15.4 tomcat遠程命令執行 360

15.5 http parameter pollution 363

15.6 小結 364

第四篇 互聯（lián）網公司安全（quán）運營

第16章 互聯網業務安全 366

16.1 產（chǎn）品需要什麽（me）樣的安全 366

16.1.1 互聯網產品對安全的需求 367

16.1.2 什麽是好的安全方案 368

16.2 業務邏輯安全 370

16.2.1 永遠改（gǎi）不掉的密（mì）碼 370

16.2.2 誰是大贏家 371

16.2.3 瞞天過海 372

16.2.4 關於密碼取回流程 373

16.3 賬戶是如何被盜的 374

16.3.1 賬戶被盜的途（tú）徑 374

16.3.2 分析賬戶被盜的原因 376

16.4 互聯網的垃圾 377

16.4.1 垃圾的（de）危害 377

16.4.2 垃（lā）圾處理 379

16.5 關於網（wǎng）絡（luò）釣魚 380

16.5.1 釣魚網站簡介 381

16.5.2 郵件釣魚 383

16.5.3 釣魚網站的防控 385

16.5.4 網購流程釣魚（yú） 388

16.6 用戶隱私保護 393

16.6.1 互聯（lián）網的用戶隱私挑（tiāo）戰 393

16.6.2 如何保護用戶隱私 394

16.6.3 do-not-track 396

16.7 小結 397

（附）麻（má）煩的終結者（zhě） 398

第17章 安全開發流程（sdl） 402

17.1 sdl簡介 402

17.2 敏捷sdl 406

17.3 sdl實戰經驗 407

17.4 需求（qiú）分析（xī）與（yǔ）設計階段 409

17.5 開發階段 415

17.5.1 提供安全的函數 415

17.5.2 代碼安全審計工具 417

17.6 測試階段 418

17.7 小結 420

......

《白帽子講Web安全》內容簡介：

在互聯網時代，數據安全與個人隱私受到了前所未（wèi）有的挑戰，各種新奇的攻擊技術層出不窮。如何才能更好地保護我們的（de）數據？《白（bái）帽子講Web安全（quán）》將帶你走進Web安全的世界，讓你了解Web安全的（de）方方麵麵（miàn）。黑客不再變（biàn）得神秘，攻擊技術原來我也（yě）可以會（huì），小（xiǎo）網站主自己也能找（zhǎo）到正確的安全道路。大公司是怎麽做（zuò）安全（quán）的，為什麽要選擇這樣的方案呢？你能在《白帽子講Web安全》中找到（dào）答案。詳細（xì）的剖析，讓你不僅能（néng）“知其然”，更能“知（zhī）其所以然”。