《Web之困：现代Web应用安全指南》有奖试读活动|活动&兑奖区

孤独雪狼

总版主

发帖: 25214

黑豆: 4634

威望: 96186

贡献值: 0

交易币: 0

红豆: 0

只看楼主倒序阅读 0 发表于: 2013-10-25

— 本帖被 buffoon 执行锁定操作(2014-07-20) —

本活动由华章图书发起，奖品在第一时间发出

现代的Web应用往往是架构在一堆历经时日、胡乱拼凑的技术根基之上。在Web应用的每个领域，从HTTP请求到浏览器端脚本，都包含着各种严重又隐蔽的安全漏洞。为保障用户的安全，开发人员对Web安全的整体把握就变得至关重要了。
在本书中，世界知名的浏览器安全专家 Michal Zalewski为我们娓娓道来，他深入剖析了浏览器的工作机制，并解释了为什么从根本上来说，浏览器运行机制并不安全的原因。Zalewski 并非简单地针对每个漏洞泛泛地给出应对之策，而是着眼于揭示现有Web机制的弱点，为加固Web应用安全提供可用的关键信息。

讨论话题：
1、常见的Web安全漏洞有哪些？
2、如何处理某些常见但又异常复杂的编程任务，如URL解析和HTML清理？
3、试读图书章节后谈谈您的感想
活动时间：
2013年10月 25日——11月 15 日
活动规则：
1、针对以上其中任意一个问题跟帖回答，活动结束后我们从回贴中择优选出四位网友，赠送《Web之困：现代Web应用安全指南》
2、同时特设抢楼环节，在99楼参与讨论的网友将获得本期图书一本作为奖励（99楼的网友必须有效参与以上三个话题讨论，否则奖品会进行顺延）
3、只要跟贴的网友均可获得20黑豆作为活动奖励

样章试读： http://book.2cto.com/201309/33535.html

购买地址：点击进入当当网购买
图书简介:

本书在Web安全领域有“圣经”的美誉，在世界范围内被安全工作者和Web从业人员广为称道，由来自Google Chrome浏览器团队的世界顶级黑客、国际一流安全专家撰写，是目前唯一深度探索现代Web浏览器安全技术的专著。本书从浏览器设计的角度切入，以探讨浏览器的各主要特性和由此衍生出来的各种安全相关问题为主线，深入剖析了现代Web浏览器的技术原理、安全机制和设计上的安全缺陷，为Web安全工作者和开发工程师们应对各种基于浏览器的安全隐患提供了应对措施。

本书开篇回顾了Web的发展历程和安全风险的演化；第一部分解剖了现代浏览器的工作原理，包括URL、HTTP协议、HTML语言、CSS、文档格式、浏览器插件等内容；第二部分从浏览器的设计角度深入分析了各种现代Web浏览器（Firefox、Chrome、IE等）所引入的重点安全机制，例如同源策略、源的继承、窗口和框架的交互、安全边界、内容识别、应对恶意脚本、外围的网站特权等，并分析了这些机制存在的安全缺陷，同时为Web应用开发者提供了如何避免攻击和隐私泄露的应对措施；第三部分对浏览器安全机制的未来趋势进行了展望，包括新的浏览器特性与安全展望、其他值得注意的浏览器、常见的Web安全漏洞等。

作译者简介：

Michal Zalewski 国际一流信息安全技术专家，被誉为IT安全领域最有影响力的11位黑客之一。曾发现过数以百计的网络安全漏洞，并发表了多篇具有重大影响的研究论文。对现代Web浏览器有非常深入的研究，目前就职于Google，利用他在Web安全方面的经验帮助Google增强包括Chrome浏览器在内的一系列产品的安全性。此外，他还是一位开源软件贡献者，是著名开源软件p0f、skipfish、ratproxy等的开发者。

译者简介：

朱筱丹 毕业于华南理工大学无线电系，某信息安全公司工程师。在安全技术领域摸爬滚打多年，热爱读书与美食。
审校者简介
殷钧钧 资深安全架构师，知名白帽子，Web开发者

阿峰

菜鸟(发帖需审核,请升级)

发帖: 12

黑豆: 15

威望: 12

贡献值: 0

交易币: 0

红豆: 0

只看该作者 2 发表于: 2013-10-25

讨论话题：
常见的Web安全漏洞有哪些？
一、注入攻击
这主要是网站的程序本身，没有过滤一些危险字符造成的。
SQL盲注
OS 命令注入
cookie SQL注入
SQL错误信息注入
LDAP注入
XPath注入
JSON注入
框架注入
链接注入
……等

二、XSS跨站攻击
XSS也是一种网站应用程序的安全漏洞攻击
大体上分三类：
反射型XSS
存储型XSS
DOM XSS
详细划分还可以划分为：
mhtml跨站、宽字符集跨站等等

其他的还有伪造跨站点请求、会话劫持，留给其他小伙伴了

T_conner

中级菜鸟

发帖: 16

黑豆: 0

威望: 5

贡献值: 0

交易币: 0

红豆: 0

只看该作者 3 发表于: 2013-10-25

楼上这只菜鸟比我知道的多很多啊

im小威

菜鸟(发帖需审核,请升级)

发帖: 4

黑豆: 3

威望: 0

贡献值: 0

交易币: 0

红豆: 0

只看该作者 4 发表于: 2013-10-25

雪狼 MJJ

yangwu4

菜鸟(发帖需审核,请升级)

发帖: 57

黑豆: 43

威望: 62

贡献值: 0

交易币: 0

红豆: 0

只看该作者 5 发表于: 2013-10-25

好大一只青蛙哦怎么可以随街跳的

阿布军

菜鸟(发帖需审核,请升级)

发帖: 16

黑豆: 3

威望: 0

贡献值: 0

交易币: 0

红豆: 0

只看该作者 6 发表于: 2013-10-26

这里,我非常希望获得这本书,借着红黑论坛发表一下读后感以及个人实践的经验
首先,此书从历史角度介绍了浏览器的发展,以及演变过程.以及web安全的格局与困惑,浏览器发展的协同与c/s架构的日渐模糊化
其次,第二章介绍了一切从url开始以及ascii编码,以及第三方应用插件与 web协议.以及浏览器的filter(过滤器) 并说明了安全方法:在很罕见的情况下，可能还需要检查URL里的IDNA、IPv6括号表示法、端口号或HTTP验证授权信息等。如果确实需要，必须对整个URL进行彻底的解析，验证各个部分，拒绝不正常的值，重新把整个URL序列化成一个没有歧义，符合规范，经过恰当转义的表达形式。
第三章介绍了http基本请求,post与get请求,持续会话缓存机制,作者并介绍了一些小技巧 (在很罕见的情况下，可能还需要检查URL里的IDNA、IPv6括号表示法、端口号或HTTP验证授权信息等。如果确实需要，必须对整个URL进行彻底的解析，验证各个部分，拒绝不正常的值，重新把整个URL序列化成一个没有歧义，符合规范，经过恰当转义的表达形式。)
下面我介绍一下自己了解的与实践的经验
如wooyun的许多例子,比如left.php或者manage.php等文件没有验证限制
如 wooyun的

复制代码

http://www.wooyun.org/bugs/wooyun-2010-032582

再就是后台一些逻辑问题如万能密码或者弱密码
如:

复制代码

http://www.wooyun.org/bugs/wooyun-2010-019394

还有比如x-forword 验证的(可以用ff的一个插件绕过)
还有user-agent绕过(插件),http editor绕过(查看源代码直接绕过)
再比如现在程序员对get的sql inj防护的比较好,而对 post往往是忽视的,抓包,然后构造,往往会事半功倍.
以及(用户可操作的变量都是"有害的")
以上就是读后感以及自己的一些牢骚...
另外:
谢谢作者以及出版社提供这么好的书谢谢红黑提供论坛平台 , 希望获得书