《web应用安全 威胁与防治》 读书笔记

这本书，不仅仅是针对web开发者，同时也适用经常浏览网页的人。

和市面上大多web安全类图书一样，这本书主要用Java为web开发语言，虽没使用目前web开发最为流行的PHP（本人是PHP开发者），但编程，主要就是个思想，学得懂思想才是最重要的。

这本书关注了我们常常忽略，甚至从来没有了解过的东西。如很多人没有注意过甚至没能了解request headers。其实在读这本书之前，除使用ajx外，几乎没有关注过request headers，阅读了书中实例，也了解到很多平时没有了解到的东西，如多窗口浏览器（第10章），只有一个进程，而进程中掌握了所有的会话信息，通过一些手段，便可以使用这些会话。

 

 

书中，总是先介绍安全隐患及其原理，然后在逐步地实行解决。如书中第12章，此书作者首先减少了什么是跨站请求伪造，紧接着分析了跨站请求的手段，之后又从用户角度讲解如何避免这种欺骗。

在预览版中，主要有三章内容：第6章、扫描工具简介，第10章、失效的身份认证和会话管理，第12章、跨站请求伪造（CSRF）。

第6章 扫描工具简介

这一章节，主要介绍了三种工具的使用。第一个为WebInspect，此款工具不仅可以对网站进行扫面，而且可以对框架进行优化分析，而且可以选择与数据服务器上的已知漏洞进行分析。第一款工具为开源的w3af，功能虽稍逊色于WebInspect，但其功能同样十分强大，主要功能：支持代理、代理身份验证、网站身份验证、超时处理、伪造用户代理、新增自定义标题的请求、Cookie处理、本地缓存GET和头部、本地DNS缓存、保持和支持HTTP和HTTPS连接、使用多POS请求文件上传、支持SSL证书。对于w3af介绍的篇幅，也少于WebInspect，但了解了前文，w3af的使用也不成问题。与前两款主动监测工具不同，第三款软件为被动扫描软件Ratproxy。

第10章 失效的身份认证和会话管理

对于cookie这种对浏览器和用户都问同名的文本文件，对于攻击者，若获得了cookie信息，便可伪造cookie。章节中介绍了最常见的非直接会话攻击的原理，及防范策略。最后又介绍了几种动态的身份验证方式，几种方式更适合在线支付。

 

 

第12章 跨站请求伪造（CSRF）

章节首先介绍了常见的跨站请求伪造的手段，接着介绍了集中常用易用的检测工具，最后又介绍了csrf攻击的预防思路。