目錄
前言 .1
第1 章 軟件安全歷程 .21
1.1 黑客的起源 . 21
1.2 Enigma 密碼機(jī)，約1930 年 22
1.3 自動(dòng)Enigma 密碼破解，約1940 年 26
1.4 電話“Phreaking”，約1950 年 . 29
1.5 防Phreaking 技術(shù)，約1960 年 31
1.6 計(jì)算機(jī)黑客的起源，約1980 年 32
1.7 互聯(lián)網(wǎng)的興起，約2000 年 . 34
1.8 現(xiàn)時(shí)代的黑客，約2015 年之后 36
1.9 小結(jié) 40
第一部分 偵察
第2 章 Web 應(yīng)用偵察簡(jiǎn)介 43
2.1 信息收集 43
2.2 Web 應(yīng)用程序構(gòu)圖 46
2.3 小結(jié) 48
第3 章 現(xiàn)代Web 應(yīng)用程序的結(jié)構(gòu) 49
3.1 現(xiàn)代的與傳統(tǒng)的Web 應(yīng)用程序 49
3.2 REST API 52
3.3 JS 對(duì)象標(biāo)記 55
3.4 JavaScript. 57
3.4.1 變量和作用域 58
3.4.2 函數(shù) 61
3.4.3 上下文 . 62
3.4.4 原型繼承. 63
3.4.5 異步模型. 66
3.4.6 瀏覽器DOM . 69
3.5 SPA 框架 71
3.6 認(rèn)證和授權(quán)系統(tǒng) 72
3.6.1 認(rèn)證 73
3.6.2 授權(quán) 74
3.7 Web 服務(wù)器 . 74
3.8 服務(wù)器端數(shù)據(jù)庫(kù) 76
3.9 客戶端數(shù)據(jù)存儲(chǔ) 77
3.10 小結(jié) . 78
第4 章 尋找子域 79
4.1 單域多應(yīng)用程序 79
4.2 瀏覽器內(nèi)置的網(wǎng)絡(luò)分析工具 80
4.3 公開(kāi)信息利用 83
4.3.1 搜索引擎緩存 84
4.3.2 存檔信息利用 86
4.3.3 社交媒體快照 88
4.4 域傳送攻擊 . 92
4.5 暴力破解子域 94
4.6 字典攻擊 101
4.7 小結(jié) . 103
第5 章 API 分析 105
5.1 端點(diǎn)探索 105
5.2 認(rèn)證機(jī)制 109
5.3 端點(diǎn)的模型 111
5.3.1 常見(jiàn)模型 111
5.3.2 特定于應(yīng)用的模型 112
5.4 小結(jié) . 114
第6 章 識(shí)別第三方依賴 . 115
6.1 探測(cè)客戶端框架 115
6.1.1 探測(cè)SPA 框架 116
6.1.2 探測(cè)JavaScript 庫(kù) 118
6.1.3 探測(cè)CSS 庫(kù) 120
6.2 探測(cè)服務(wù)器端框架 121
6.2.1 標(biāo)頭探測(cè) 121
6.2.2 默認(rèn)錯(cuò)誤信息和404 頁(yè)面 122
6.2.3 探測(cè)數(shù)據(jù)庫(kù) . 125
6.3 小結(jié) . 127
第7 章 定位應(yīng)用架構(gòu)中的薄弱點(diǎn) 128
7.1 安全架構(gòu)與不安全架構(gòu)的標(biāo)志 129
7.2 多層安全機(jī)制 . 134
7.3 采納和重構(gòu) 135
7.4 小結(jié) . 137
第8 章 第一部分總結(jié) 139
第二部分 攻擊
第9 章 Web 應(yīng)用入侵簡(jiǎn)介 143
9.1 黑客的心態(tài) 143
9.2 運(yùn)用偵察 145
第10 章 XSS 攻擊 147
10.1 XSS 的發(fā)現(xiàn)和利用 148
10.2 儲(chǔ)存型XSS 152
10.3 反射型XSS 154
10.4 DOM 型XSS 157
10.5 突變型XSS 160
10.6 小結(jié) 162
第11 章 CSRF 攻擊 . 163
11.1 查詢參數(shù)篡改 164
11.2 替換GET 的有效載荷 169
11.3 針對(duì)POST 端點(diǎn)的CSRF 170
11.4 小結(jié) 172
第12 章 XXE 攻擊 173
12.1 直接型XXE 174
12.2 間接型XXE 177
12.3 小結(jié) 179
第13 章 注入攻擊 . 181
13.1 SQL 注入攻擊 181
13.2 代碼注入 . 186
13.3 命令注入 . 191
13.4 小結(jié) 195
第14 章 DoS 攻擊 196
14.1 ReDoS（Regex DoS）攻擊 197
14.2 邏輯DoS 攻擊 . 200
14.3 DDoS（分布式DoS）攻擊 204
14.4 小結(jié) 205
第15 章 第三方依賴漏洞利用 206
15.1 集成的方法 208
15.1.1 分支和復(fù)制 209
15.1.2 自托管的應(yīng)用程序集成 . 210
15.1.3 源代碼集成 211
15.2 軟件包管理器 212
15.2.1 JavaScript 包管理器 . 212
15.2 2 Java 包管理器 . 214
15.2.3 其他語(yǔ)言的包管理器 215
15.3 CVE（公共漏洞和披露）數(shù)據(jù)庫(kù) 216
15.4 小結(jié) 217
第16 章 第二部分總結(jié) 219
第三部分 防御
第17 章 現(xiàn)代Web 應(yīng)用加固 223
17.1 防御性軟件架構(gòu) 224
17.2 全面的代碼審查 225
17.3 漏洞發(fā)現(xiàn) . 225
17.4 漏洞分析 . 226
17.5 漏洞管理 . 227
17.6 回歸測(cè)試 . 228
17.7 緩解策略 . 228
17.8 應(yīng)用偵察和攻擊技術(shù) 229
第18 章 安全的應(yīng)用架構(gòu) 230
18.1 分析功能需求 231
18.2 認(rèn)證和授權(quán) 232
18.2.1 SSL 和TLS 232
18.2.2 安全的憑證 234
18.2.3 散列憑證信息 . 235
18.2.4 2FA 認(rèn)證 238
18.3 PII 和財(cái)務(wù)數(shù)據(jù) 239
18.4 搜索 240
18.5 小結(jié) 240
第19 章 代碼安全審查 243
19.1 如何開(kāi)始代碼審查 . 244
19.2 原型漏洞與自定義邏輯漏洞 . 245
19.3 代碼安全審查起步 . 247
19.4 安全編碼的反面模式 249
19.4.1 黑名單 250
19.4.2 模板代碼 251
19.4.3 默認(rèn)信任反模式 252
19.4.4 客戶端/ 服務(wù)器分離 252
19.5 小結(jié) 253
第20 章 漏洞發(fā)現(xiàn) . 255
20.1 安全自動(dòng)化 255
20.1.1 靜態(tài)分析 256
20.1.2 動(dòng)態(tài)分析 258
20.1.3 漏洞回歸測(cè)試 . 259
20.2 責(zé)任披露計(jì)劃 262
20.3 漏洞賞金計(jì)劃 263
20.4 第三方滲透測(cè)試 264
20.5 小結(jié) 265
第21 章 漏洞管理 . 266
21.1 漏洞重現(xiàn) . 266
21.2 漏洞嚴(yán)重等級(jí) 267
21.3 通用漏洞評(píng)分系統(tǒng) . 268
21.3.1 CVSS：基礎(chǔ)評(píng)分 . 269
21.3.2 CVSS：時(shí)間評(píng)分 . 271
21.3.3 CVSS：環(huán)境評(píng)分 . 272
21.4 高級(jí)漏洞評(píng)分 273
21.5 分揀、評(píng)分之后 274
21.6 小結(jié) 275
第22 章 防御XSS 攻擊 . 276
22.1 防御XSS 編碼最佳實(shí)踐 . 276
22.2 凈化用戶輸入 279
22.2.1 DOM 解析接收器 . 280
22.2.2 SVG 接收器 . 281
22.2.3 Blob 接收器 . 281
22.2.4 超鏈接凈化 282
22.2.5 HTML 實(shí)體編碼 283
22.3 CSS 284
22.4 阻止XSS 的CSP 285
22.4.1 腳本源 285
22.4.2 Unsafe Eval 和Unsafe Inline 選項(xiàng) 287
22.4.3 實(shí)現(xiàn)CSP 288
22.5 小結(jié) 288
第23 章 防御CSRF 攻擊 290
23.1 標(biāo)頭驗(yàn)證 . 290
23.2 CSRF 令牌 . 292
23.3 防CRSF 編碼最佳實(shí)踐 294
23.3.1 無(wú)狀態(tài)GET 請(qǐng)求 294
23.3.2 應(yīng)用級(jí)CSRF 緩解 296
23.4 小結(jié) 297
第24 章 防御XXE 攻擊 . 299
24.1 評(píng)估其他數(shù)據(jù)格式 . 300
24.2 高級(jí)XXE 風(fēng)險(xiǎn) 301
24.3 小結(jié) 302
第25 章 防御注入攻擊 303
25.1 緩解SQL 注入攻擊 303
25.1.1 SQL 注入檢測(cè) . 304
25.1.2 預(yù)編譯語(yǔ)句 306
25.1.3 特定于數(shù)據(jù)庫(kù)的防御 308
25.2 通用注入防御 308
25.2.1 潛在的注入目標(biāo) 309
25.2.2 最小權(quán)限原則 . 310
25.2.3 命令白名單化 . 311
25.3 小結(jié) 312
第26 章 防御DoS 攻擊 . 314
26.1 防范Regex DoS 攻擊 315
26.2 防范邏輯DoS 攻擊 315
26.3 防范DDoS 攻擊 . 316
26.4 緩解DDoS 攻擊 . 317
26.5 小結(jié) 318
第27 章 加固第三方依賴 320
27.1 評(píng)估依賴關(guān)系樹(shù) 320
27.1.1 依賴關(guān)系樹(shù)建模 321
27.1.2 依賴關(guān)系樹(shù)實(shí)例 322
27.1.3 自動(dòng)評(píng)估 322
27.2 安全集成技術(shù) 323
27.2.1 關(guān)注點(diǎn)分離 323
27.2.2 安全包管理 324
27.3 小結(jié) 325
第28 章 第三部分小結(jié) 327
28.1 軟件安全的歷史 327
28.2 Web 應(yīng)用偵察 329
28.3 攻擊 331
28.4 防御 332
第29 章 總結(jié) . 336
作者介紹 339
封面介紹 339