Web安全越来越成为互联网时代的一个重要因素,很不容易的,终于看到了一本web安全方面的新书。最近一年来,我本人也一直在研究web安全的相关内容,也有了一定的了解和认识。相关的书读了不少,包括黑客攻防类的,0day安全类的,再看此书的试读章节,难免会与其他书做个比较。本书相对于其他同类型书来说,最大的特点就是作者喜欢用实例说话,在讲解每个关键点的时候都会举出恰到好处的例子来帮助我们理解,这方面在第十章和第十二章最为明显,更加有利于大家的学习。
接下来我就结合我自身的知识将试读章节中的内容总结概括下:
首先,书的副标题告诉我们本书的web安全是基于OWASP Top10的安全威胁。很多朋友都不太知道owasp top10的威胁都包含什么。我先在这里做个简单介绍:
Owasp全称是Open Web Application Security Project,即开放式Web应用程序安全项目。它是一个非盈利组织,主要提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。具体关于这个组织的一些信息请各位移步baidu。我这里主要介绍下top10;
所谓的top10是指The top 10 most critical web application security risks(Web应用的十大关键风险),目前的十大安全隐患包括:
注入
跨站脚本(XSS)
错误的认证和会话管理
不正确的直接对象引用
伪造跨站请求(CSRF)
安全性误配置
限制远程访问失败
未验证的重定向和传递
不安全的加密存储
不足的传输层保护
所以,最近两到三年,基于上述10个安全隐患的web攻击是最多且不断进化的,作为一个web开发者,或是测试人员、安全工作者、项目经理都需要将安全重视起来。
接下来我将试读章节的内容做个简单的总结。
第六章为我们介绍的是三个安全扫描工具:WebInspect、w3af和Ratproxy。目前比较流行的安全扫描工具还有一个与WebInspect齐名的AppScan,除此之外还有一个轻量级开源的Paros,上面的工具各有所长,概括来说HP的Webinspect和IBM的AppScan是基于企业级web应用,做出最详尽的安全测试审计报告,相对适合安全工作者使用参考;w3af和paros同样作为自动安全扫描工具则相对较轻量级,更便于使用和与项目集成,相对是更加适合于开发人员使用;Ratproxy的最大特点是被动扫描,即你在测试功能同时完成扫描,所以更加适用于测试人员。当然,上述工具对于大家来说更多了解就更好了。同样,不可避免的,所有的工具都存在错报和漏报的问题,这时候需要我们运用自己的安全知识来“火眼金睛”的辨识漏洞的真实性。
第十章主要介绍的是失效的身份认证和会话管理。从10年开始,会话令牌作为互联网一个重要的因素就被不断的攻击。章节中为我们介绍了攻击的方法和防治的措施,已经非常详尽,有兴趣的朋友可以阅读参考。对于我而言,我最本章最感兴趣的是双因子认证。
双因子认证是基于HMAC-based One-time Password Algorithm,也就是HMAC一次性密码算法的安全认证服务。
因为secret key 的QR Code 只会发在各个用户的手机上,并且每个用户都知晓自己的密码,从而实现了双因子认证。这样,即使别人知道了你的密码,但他不会有你的手机,无法登录;即使别人不小心拾到了你的手机,但是他不知道你的密码,也无法登录。这就是双因子验证的强大功能。目前双因子验证虽然安全,但却并不十分便捷,所以在大多数网站中没有使用其作为登录模式,但是现在的支付接口却很多运用了此项技术,相信我这么一说,大家就可以想象到了。
第十二章为我们介绍的是CSRF,跨站请求伪造。听起来很像XSS,但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
CSRF的常见特性:
l 依靠用户标识危害网站
l 利用网站对用户标识的信任
l 欺骗用户的浏览器发送HTTP请求给目标站点
介绍就到这里,具体的原理和测试方法、防范方法都在章节中结合例子和工具有更细致的讲解,我就不在这里赘述了,总体来说,CSRF虽然攻击较少,但防范难度更大,网站中的任何图片、链接都有可能带你走向万丈深渊,所以也是所有it安全工作者需要防范的一个环节。
介绍了这么多,这貌似是我写的较长的一篇读书笔记了,主要也是对安全方面有一定的了解,所以洋洋洒洒写了如此多的内容。互联网需要一个安全的环境,而安全的环境需要每个it工作者为之努力奋斗,所以,让我们努力,别让谁动了我们的web安全!
相关推荐
### Web组件分离:构建高性能Web站点的关键策略 在探索如何构建高性能Web站点的过程中,一个核心的概念不断浮出水面——Web组件分离。这一理念的核心在于理解并利用不同Web组件的特性,通过合理的设计与优化,最大...
除了Web应用开发常用的模块库之外,Node.js也支持许多与前端相关的工具,如Webpack、Babel等。Webpack可以帮助开发者打包JavaScript模块,优化前端资源;Babel则允许开发者使用新版本JavaScript的语法,提高开发效率...
压缩包中的文件名“Web应用安全威胁与防治——基于OWASP_Top_10与ESAPI_试读样章.pdf”揭示了这份资料可能来源于一本书的一部分,书中可能会详细探讨Web应用面临的十大安全威胁(OWASP Top 10),这是由OWASP(开放...
8. **威胁模型与安全策略**:为了保护系统,需要了解潜在的攻击方式和应对策略。书中的这部分可能涉及常见的攻击模型,如缓冲区溢出、权限提升等,并给出防范措施。 9. **漏洞分析与修复**:可能会分析一些实际的...
JavaScript模式(英文版)+基于MVC的JavaScript Web富应用开发(试读) 基于MVC的JavaScript Web富应用开发(构建下一代互联网富应用之最前沿技术),面向jQuery开发者的客户端应用开发指南,本书教你如何构建先进的富...
### USB应用开发实例详解——上位机程序开发 #### 知识点概览 - **章节概述**:《USB应用开发实例详解》一书中的第10章专注于上位机程序开发,涵盖在Visual C++、Visual C# 和 LabVIEW 环境下如何与USB设备进行交互...
《Web开发秘方》是一本专门探讨Web开发技术的专业书籍,其试读样章提供了对全书内容的初步了解。样章通常包含书籍的目录、前言以及每一章节的开头部分,让潜在读者能够评估书中的主题覆盖范围、作者的写作风格以及...
### 寒江独钓——Windows内核编程与信息安全(免费试读版) #### 知识点解析 **一、书籍概述** 《寒江独钓——Windows内核编程与信息安全(免费试读版)》是一本深入探讨Windows内核模块开发的技术书籍。作者楚...
Java Web开发技术是构建互联网应用程序的关键领域,涵盖了服务器端编程、网页交互以及数据库管理等多个方面。本书《Java Web开发技术大全》无疑是深入学习这一领域的宝贵资源。以下将详细阐述Java Web开发中的核心...
试读-Docker 容器与容器云(第2版)-P469-浙大-人邮-2016.10
作者根据自己的亲身经历和某些大型企业的案例,讲述了如何创建高稳定性的软件系统,分析设计和实现中导致系统出现问题的原因。本书分为四个部分,每部分内容都由一个研究案例引出。第一部分介绍了如何保证系统的生存...
根据提供的文件信息,我们可以了解到关于"CompleteWebMonitoring"一书的几项关键知识点。首先,这本书是针对网站全面监控的英文版本,对于中文版定价较高的情况,读者可以获取试读版来一窥书籍内容。从内容描述中...
总结来说,"sunxin-Struts2试读"资料将带领读者逐步了解Struts2的基本架构、核心组件的使用方法,以及如何利用Struts2实现高效、灵活的Web应用开发。通过学习这些章节,开发者可以掌握Struts2的基础,并为进一步深入...
试读样章可能包含了书中的关键章节,如第一章、第五章和附录B,分别以02.pdf、06.pdf和附录B .pdf的形式提供。 在Windows驱动开发领域,开发者需要掌握以下几个重要的知识点: 1. **驱动程序概述**:Windows驱动...
《多云安全风险图谱》是一本专注于探讨企业在采用多云策略时可能面临的各类安全挑战的书籍。在当今数字化转型的浪潮中,多云已成为许多企业的首选架构,它提供了资源的弹性扩展、数据备份与恢复、跨地域系统构建等...