Web前端黑客技术揭秘PDF电子书下载
- 电子书积分:13 积分如何计算积分?
- 作 者:钟晨鸣,徐少培编著
- 出 版 社:北京:电子工业出版社
- 出版年份:2013
- ISBN:9787121192036
- 页数:362 页
第1章 Web安全的关键点 1
1.1 数据与指令 1
1.2 浏览器的同源策略 4
1.3 信任与信任关系 7
1.4 社会工程学的作用 9
1.5 攻防不单一 9
1.6 场景很重要 10
1.7 小结 11
第2章 前端基础 12
2.1 W3C的世界法则 12
2.2 URL 14
2.3 HTTP协议 15
2.4 松散的HTML世界 19
2.4.1 DOM树 20
2.4.2 iframe内嵌出一个开放的世界 21
2.4.3 HTML内嵌脚本执行 22
2.5 跨站之魂——JavaScript 23
2.5.1 DOM树操作 23
2.5.2 AJAX风险 25
2.5.3 模拟用户发起浏览器请求 30
2.5.4 Cookie安全 33
2.5.5 本地存储风险 43
2.5.6 E4X带来的混乱世界 48
2.5.7 JavaScript函数劫持 49
2.6 一个伪装出来的世界——CSS 51
2.6.1 CSS容错性 51
2.6.2 样式伪装 52
2.6.3 CSS伪类 52
2.6.4 CSS3的属性选择符 53
2.7 另一个幽灵——ActionScript 55
2.7.1 Flash安全沙箱 55
2.7.2 HTML嵌入Flash的安全相关配置 59
2.7.3 跨站Flash 61
2.7.4 参数传递 64
2.7.5 Flash里的内嵌HTML 65
2.7.6 与JavaScript通信 67
2.7.7 网络通信 71
2.7.8 其他安全问题 71
第3章 前端黑客之XSS 72
3.1 XSS概述 73
3.1.1 “跨站脚本”重要的是脚本 73
3.1.2 一个小例子 74
3.2 XSS类型 76
3.2.1 反射型XSS 76
3.2.2 存储型XSS 77
3.2.3 DOM XSS 78
3.3 哪里可以出现XSS攻击 80
3.4 有何危害 81
第4章 前端黑客之CSRF 83
4.1 CSRF概述 84
4.1.1 跨站点的请求 84
4.1.2 请求是伪造的 84
4.1.3 一个场景 84
4.2 CSRF类型 89
4.2.1 HTML CSRF攻击 89
4.2.2 JSON HiJacking攻击 90
4.2.3 Flash CSRF攻击 94
4.3 有何危害 96
第5章 前端黑客之界面操作劫持 97
5.1 界面操作劫持概述 97
5.1.1 点击劫持(Clickjacking) 98
5.1.2 拖放劫持(Drag&Dropjacking) 98
5.1.3 触屏劫持(Tapjacking) 99
5.2 界面操作劫持技术原理分析 99
5.2.1 透明层+iframe 99
5.2.2 点击劫持技术的实现 100
5.2.3 拖放劫持技术的实现 101
5.2.4 触屏劫持技术的实现 103
5.3 界面操作劫持实例 106
5.3.1 点击劫持实例 106
5.3.2 拖放劫持实例 111
5.3.3 触屏劫持实例 119
5.4 有何危害 121
第6章 漏洞挖掘 123
6.1 普通XSS漏洞自动化挖掘思路 124
6.1.1 URL上的玄机 125
6.1.2 HTML中的玄机 127
6.1.3 请求中的玄机 134
6.1.4 关于存储型XSS挖掘 135
6.2 神奇的DOM渲染 135
6.2.1 HTML与JavaScript自解码机制 136
6.2.2 具备HtmlEncode功能的标签 140
6.2.3 URL编码差异 142
6.2.4 DOM修正式渲染 145
6.2.5 一种DOM fuzzing技巧 146
6.3 DOM XSS挖掘 150
6.3.1 静态方法 150
6.3.2 动态方法 151
6.4 Flash XSS挖掘 153
6.4.1 XSF挖掘思路 153
6.4.2 Google Flash XSS挖掘 156
6.5 字符集缺陷导致的XSS 159
6.5.1 宽字节 编码带来的安全问题 160
6.5.2 UTF-7问题 161
6.5.3 浏览器处理字符集编码BUG带来的安全问题 165
6.6 绕过浏览器XSS Filter 165
6.6.1 响应头CRLF注入绕过 165
6.6.2 针对同域的白名单 166
6.6.3 场景依赖性高的绕过 167
6.7 混淆的代码 169
6.7.1 浏览器的进制常识 169
6.7.2 浏览器的编码常识 175
6.7.3 HTML中的代码注入技巧 177
6.7.4 CSS中的代码注入技巧 190
6.7.5 JavaScript中的代码注入技巧 196
6.7.6 突破URL过滤 201
6.7.7 更多经典的混淆CheckList 202
6.8 其他案例分享——Gmail Cookie XSS 204
第7章 漏洞利用 206
7.1 渗透前的准备 206
7.2 偷取隐私数据 208
7.2.1 XSS探针:xssprobe 208
7.2.2 Referer惹的祸 214
7.2.3 浏览器记住的明文密码 216
7.2.4 键盘记录器 219
7.2.5 偷取黑客隐私的一个小技巧 222
7.3 内网渗透技术 223
7.3.1 获取内网IP 223
7.3.2 获取内网IP端口 224
7.3.3 获取内网主机存活状态 225
7.3.4 开启路由器的远程访问能力 226
7.3.5 内网脆弱的Web应用控制 227
7.4 基于CSRF的攻击技术 228
7.5 浏览器劫持技术 230
7.6 一些跨域操作技术 232
7.6.1 IE res:协议跨域 232
7.6.2 CSS String Injection跨域 233
7.6.3 浏览器特权区域风险 235
7.6.4 浏览器扩展风险 237
7.6.5 跨子域:document.domain技巧 240
7.6.6 更多经典的跨域索引 245
7.7 XSS Proxy技术 246
7.7.1 浏览器<script>请求 247
7.7.2 浏览器跨域AJAX请求 248
7.7.3 服务端WebSocket推送指令 249
7.7.4 postMessage方式推送指令 251
7.8 真实案例剖析 254
7.8.1 高级钓鱼攻击之百度空间登录DIV层钓鱼 254
7.8.2 高级钓鱼攻击之Gmail正常服务钓鱼 261
7.8.3 人人网跨子域盗取MSN号 265
7.8.4 跨站获取更高权限 267
7.8.5 大规模XSS攻击思想 275
7.9 关于XSS利用框架 276
第8章 HTML5安全 277
8.1 新标签和新属性绕过黑名单策略 278
8.1.1 跨站中的黑名单策略 278
8.1.2 新元素突破黑名单策略 280
8.2 History API中的新方法 282
8.2.1 pushState()和 replaceState() 282
8.2.2 短地址+History新方法=完美隐藏URL恶意代码 283
8.2.3 伪造历史记录 284
8.3 HTML5下的僵尸网络 285
8.3.1 Web Worker的使用 286
8.3.2 CORS向任意网站发送跨域请求 287
8.3.3 一个HTML5僵尸网络实例 287
8.4 地理定位暴露你的位置 290
8.4.1 隐私保护机制 290
8.4.2 通过XSS盗取地理位置 292
第9章 Web蠕虫 293
9.1 Web蠕虫思想 294
9.2 XSS蠕虫 295
9.2.1 原理+一个故事 295
9.2.2 危害性 297
9.2.3 SNS社区XSS蠕虫 300
9.2.4 简约且原生态的蠕虫 304
9.2.5 蠕虫需要追求原生态 305
9.3 CSRF蠕虫 307
9.3.1 关于原理和危害性 307
9.3.2 译言CSRF蠕虫 308
9.3.3 饭否CSRF蠕虫——邪恶的Flash游戏 314
9.3.4 CSRF蠕虫存在的可能性分析 320
9.4 ClickJacking蠕虫 324
9.4.1 ClickJacking蠕虫的由来 325
9.4.2 ClickJacking蠕虫技术原理分析 325
9.4.3 Facebook的LikeJacking蠕虫 327
9.4.4 GoogleReader的ShareJacking蠕虫 327
9.4.5 ClickJacking蠕虫爆发的可能性 335
第10章 关于防御 336
10.1 浏览器厂商的防御 336
10.1.1 HTTP响应的X-头部 337
10.1.2 迟到的CSP策略 338
10.2 Web厂商的防御 341
10.2.1 域分离 341
10.2.2 安全传输 342
10.2.3 安全的Cookie 343
10.2.4 优秀的验证码 343
10.2.5 慎防第三方内容 344
10.2.6 XSS防御方案 345
10.2.7 CSRF防御方案 348
10.2.8 界面操作劫持防御 353
10.3 用户的防御 357
10.4 邪恶的SNS社区 359
- 《钒产业技术及应用》高峰,彭清静,华骏主编 2019
- 《现代水泥技术发展与应用论文集》天津水泥工业设计研究院有限公司编 2019
- 《异质性条件下技术创新最优市场结构研究 以中国高技术产业为例》千慧雄 2019
- 《Prometheus技术秘笈》百里燊 2019
- 《中央财政支持提升专业服务产业发展能力项目水利工程专业课程建设成果 设施农业工程技术》赵英编 2018
- 《药剂学实验操作技术》刘芳,高森主编 2019
- 《林下养蜂技术》罗文华,黄勇,刘佳霖主编 2017
- 《脱硝运行技术1000问》朱国宇编 2019
- 《催化剂制备过程技术》韩勇责任编辑;(中国)张继光 2019
- 《信息系统安全技术管理策略 信息安全经济学视角》赵柳榕著 2020
- 《市政工程基础》杨岚编著 2009
- 《家畜百宝 猪、牛、羊、鸡的综合利用》山西省商业厅组织技术处编著 1959
- 《《道德经》200句》崇贤书院编著 2018
- 《高级英语阅读与听说教程》刘秀梅编著 2019
- 《计算机网络与通信基础》谢雨飞,田启川编著 2019
- 《看图自学吉他弹唱教程》陈飞编著 2019
- 《法语词汇认知联想记忆法》刘莲编著 2020
- 《培智学校义务教育实验教科书教师教学用书 生活适应 二年级 上》人民教育出版社,课程教材研究所,特殊教育课程教材研究中心编著 2019
- 《国家社科基金项目申报规范 技巧与案例 第3版 2020》文传浩,夏宇编著 2019
- 《流体力学》张扬军,彭杰,诸葛伟林编著 2019
- 《电子测量与仪器》人力资源和社会保障部教材办公室组织编写 2009
- 《少儿电子琴入门教程 双色图解版》灌木文化 2019
- 《指向核心素养 北京十一学校名师教学设计 英语 七年级 上 配人教版》周志英总主编 2019
- 《北京生态环境保护》《北京环境保护丛书》编委会编著 2018
- 《指向核心素养 北京十一学校名师教学设计 英语 九年级 上 配人教版》周志英总主编 2019
- 《通信电子电路原理及仿真设计》叶建芳 2019
- 《高等院校旅游专业系列教材 旅游企业岗位培训系列教材 新编北京导游英语》杨昆,鄢莉,谭明华 2019
- 《电子应用技术项目教程 第3版》王彰云 2019
- 《中国十大出版家》王震,贺越明著 1991
- 《近代民营出版机构的英语函授教育 以“商务、中华、开明”函授学校为个案 1915年-1946年版》丁伟 2017