这本书,不仅仅是针对web开发者,同时也适用经常浏览网页的人。
和市面上大多web安全类图书一样,这本书主要用Java为web开发语言,虽没使用目前web开发最为流行的PHP(本人是PHP开发者),但编程,主要就是个思想,学得懂思想才是最重要的。
这本书关注了我们常常忽略,甚至从来没有了解过的东西。如很多人没有注意过甚至没能了解request headers。其实在读这本书之前,除使用ajx外,几乎没有关注过request headers,阅读了书中实例,也了解到很多平时没有了解到的东西,如多窗口浏览器(第10章),只有一个进程,而进程中掌握了所有的会话信息,通过一些手段,便可以使用这些会话。
书中,总是先介绍安全隐患及其原理,然后在逐步地实行解决。如书中第12章,此书作者首先减少了什么是跨站请求伪造,紧接着分析了跨站请求的手段,之后又从用户角度讲解如何避免这种欺骗。
在预览版中,主要有三章内容:第6章、扫描工具简介,第10章、失效的身份认证和会话管理,第12章、跨站请求伪造(CSRF)。
第6章 扫描工具简介
这一章节,主要介绍了三种工具的使用。第一个为WebInspect,此款工具不仅可以对网站进行扫面,而且可以对框架进行优化分析,而且可以选择与数据服务器上的已知漏洞进行分析。第一款工具为开源的w3af,功能虽稍逊色于WebInspect,但其功能同样十分强大,主要功能:支持代理、代理身份验证、网站身份验证、超时处理、伪造用户代理、新增自定义标题的请求、Cookie处理、本地缓存GET和头部、本地DNS缓存、保持和支持HTTP和HTTPS连接、使用多POS请求文件上传、支持SSL证书。对于w3af介绍的篇幅,也少于WebInspect,但了解了前文,w3af的使用也不成问题。与前两款主动监测工具不同,第三款软件为被动扫描软件Ratproxy。
第10章 失效的身份认证和会话管理
对于cookie这种对浏览器和用户都问同名的文本文件,对于攻击者,若获得了cookie信息,便可伪造cookie。章节中介绍了最常见的非直接会话攻击的原理,及防范策略。最后又介绍了几种动态的身份验证方式,几种方式更适合在线支付。
第12章 跨站请求伪造(CSRF)
章节首先介绍了常见的跨站请求伪造的手段,接着介绍了集中常用易用的检测工具,最后又介绍了csrf攻击的预防思路。