|
|
* 這是一本專門探討XSS漏洞攻防 & 剖析的專書 *
2014年1月份某大學招生網站存在XSS安全漏洞,網友發現向校方反應並於網頁嵌入動漫招生廣告來示範相關漏洞,卻意外立刻在網路上引發討論熱潮,甚至一度傳出遭受駭客入侵的八卦。這類的新聞層出不窮,恰恰反映了網站與網頁工程師對於資安的輕視程度。
設置網站來行銷公司與組織在這個時代是最基本的,但大多數的網站往往忽略掉最重要的資訊安全,而背後所隱藏的威脅也就更令人難以恭維。因此在網頁設計、整體後端管理及個人使用上,都該加強注意並執行安全審核,避免整體資源、形象遭受無辜的竊取及傷害;尤其是在個資法實施後,企業主及使用者更應謹慎注意,以免成為下一位冤大頭或加害人。
本書是一本實用性極高的好書,適合與資安有關係的所有IT人員,也適用於所有對網路安全有興趣的愛好者;透過基礎知識的導入及實際案例的示範,深入剖析網頁安全的常見資安問題。內容則涵蓋了AJAX、FLASH、DHTML…等等各種網路安全的議題。
作者有條理地闢述其獨到的見解及實務經驗,讓讀者重新認知Web的危險性並具備提升網路安全強度的能力,讓你的網站徹底與駭客無情攻擊說掰掰!
本書特色
.認清資訊安全的重要
.實際案例式教學
.徹底掌握XSS核心技術 & 原理
.深入剖析資安的漏洞
.全面構築強固的資安堡壘
第1章 XSS初探
帶讀者走進XSS跨網站腳本的世界,此章主要闡述了XSS的基礎知識,包括XSS的攻擊原理、危害以及一些常用技巧,理解本章對學習後面的內容非常重要。
第2章 XSS利用方式剖析
就當前比較流行的XSS利用方式來進行深入闡述,這些攻擊往往基於使用者端,從木馬、竊取Cookies、Session劫持到釣魚欺騙,各種攻擊都不容忽視。
第3章 XSS測試和工具剖析
介紹了一些常見的XSS測試和利用的工具,前面4節主要講述可測試XSS的工具,後面4節講述XSS的利用平台。
第4章 發掘XSS漏洞
著重以黑盒和白盒的角度來介紹如何發掘XSS漏洞,黑盒環境下可手動發掘XSS漏洞,也可以利用一些自動化測試工具;白盒環境下則可以透過分析程式碼的方式來發掘XSS漏洞。
第5章 XSS Worm剖析
講解了XSS的終極使用方式,也是Web 2.0的最大威脅——跨網站腳本蠕蟲,此章還介紹了Web 2.0相關概念及其核心技術、瀏覽器的安全等,這些知識對理解XSS Worm十分重要。
第6章 Flash應用安全
就當前的Flash應用安全來進行深入闡述。儘管安全社群需要經常修補一些XSS、CSRF和其他入侵漏洞,但是,Flash的應用中提供了一種新的攻擊類型,尤其是那些毫無防備的和未經嚴格測試的Flash應用程式。
第7章 深入XSS原理
討論一些比較深入的XSS理論,其中涉及許多特殊的XSS技巧和應用場景,這些XSS將會對傳統的跨網站防禦方案提出挑戰。同時,此章還會講到其他類型的Web安全性漏洞,這些漏洞均與XSS息息相關。
第8章 防禦XSS攻擊
介紹了一些防範XSS攻擊的方法,例如運用XSS Filter進行輸入過濾和輸出編碼、使用Firefox瀏覽器的Noscript外掛程式抵禦XSS攻擊等,而使用HTTPOnly的Cookies同樣能達到保護敏感性資料的作用。
