书名:PHP Web安全开发实战 作者:汤青松 出版:清华大学出版社
▍内容简介
本书结合在安全方面的开发经验,站在开发者的角度,循序渐进地介绍了大量实际发生的漏洞案例,并给出了技术解决方案,包括:常见的网络攻击、代码安全、前端脚本安全、后端应用安全、账户安全、加解密认证、SQL注入以及服务器配置等内容。通过阅读本书,读者能够对整个网络安全有一个全新的认识和深入的理解,从而成为一位懂安全、会防护的工程师,避免在工作中成为黑客攻击的对象。本书适合PHP开发人员、网络维护人员以及对网络安全攻防技术感兴趣的读者阅读。
▍本书内容
第1章 信息泄露
此书面向安全意识薄弱的开发者,因此在第1章中带领读者入门,主要介绍攻击者在攻击服务器时在前期如何探查服务器信息,攻击者有哪些手段来挖掘漏洞,让读者能够快速了解漏洞是如何被发现的。
第2章 常规漏洞
讲解开发者在编码过程中,因缺乏安全意识或遗漏而导致的安全问题;同时通过生动的案例分析来说明攻击者是如何发现此类安全问题的;最后在章节末尾会提到开发者如何规避这些编码导致的安全问题。
第3章 业务逻辑安全
在设计一些业务的时候,不仅编码会产生安全漏洞,业务同样会产生大问题,比如常见的越权漏洞、支付漏洞、验证码问题,这些问题其实在设计功能之初就应该考虑到项目计划中去。
第4章LANMP安全配置
对于PHP开发者来说,一定离不开Nginx、Apache、MySQL、PHP、Redis等配置,不过这些配置并不会经常用到,通常是配置一次,后面就不用再理会。这也导致了开发者因为对配置的陌生而出现不少安全问题,本章会总结出因为配置不当而带来的安全问题,同时也会给出正确的安全配置建议。
第5章 认证与加密
在进行业务开发的过程中,我们很频繁地使用加密与解密,但对其底层原理却了解得甚少,甚至部分开发者无法分清认证与加密的区别,本章主要介绍加密和认证的相关技术,以帮助开发人员了解其技术特点,从而开发出安全的应用。
第6章 其他Web安全主题
攻击者的攻击方式是多样的,我们在防范安全问题的同时,一定要有重点目标,所以本章会提到漏洞的危险等级划分、CMS引起的漏洞如何防御、对自身的业务如何安全测试、在测试的同时如何提升效率,本章还会介绍两款经典的安全检测工具:Burp Suite和SQLMap,让读者能够对自己开发的产品进行安全检测。
▍本书读者对象
这本书面向懂PHP开发但不擅长安全方面的开发者,可以通过此书让你在Web安全方面快速成长,在书中列出了很多互联网的漏洞案例,目的是让读者看了之后更加了解攻击者是如何发现漏洞的,从而让开发者在开发时能够对症下药。
由于编者水平有限,虽已尽力,但书中肯定还会存在许多不妥甚至谬误,敬请广大读者和专家不吝指教,非常感谢。