书名:Web安全防护指南-基础篇 作者:蔡晶晶 张兆心 林天翔 出版:机械工业出版社
■作者介绍
蔡晶晶:北京永信至诚科技有限公司创始人、董事长。从事网络安全相关工作 17 年,是国内资深互联网安全专家之一。多年活跃于攻防一线,培养出许多安全专家。担任中国国家信息安全漏洞库特聘专家、互联网网络安全应急专家组委员,2008 年曾担任奥运安保互联网应急处置技术支援专家,并担任反黑客组组长。目前专注于网络空间安全学科人才的培养、企业安全能力的提高及公众安全意识的提升,创办的 i 春秋学院已成为国内极具影响力的信息安全教育机构,e 春秋网络安全实验室已成为国内优秀信安赛事的支持平台。
张兆心:哈尔滨工业大学教授、博导,哈尔滨工业大学(威海)网络与信息安全技术研究中心常务副主任,永信至诚公司特聘专家,中国网络空间安全协会会员。师从方滨兴院士,奋斗在网络安全教育、科研一线近 20 年。关注网络空间安全研究热点,目前专注在域名体系安全、网络攻防等研究领域。承担科研项目近 40 项,发表论文 60 余篇,SCI/EI 检索 40 余篇,授权专利 4 项。
林天翔:现任哈尔滨工业大学(威海)网络与信息安全技术研究中心攻防技术研究室负责人,永信至诚公司特聘安全专家。具有多年的一线安全技术工作经历,目前主要针对 Web 应用漏洞挖掘及业务流程安全体系的适应性构建研究。擅长将各类攻防技术及安全事件根据类型及原理进行分项总结,并尝试建立安全体系来为相关教学课程及专项人才培养提供内容支持。
■内容介绍
第一部分(第 1 章):Web 安全基础:抽取了与 Web 安全关系密切的协议等方面的基础知识,如 HTTP 协议、HTTPS 协议、Web 应用中的编码与加密等,这些知识对后续理解 Web 攻防技术极为关键。
第二部分(第 2-8 章):网络攻击的基本防护方法:重点讲解 Web 应用中的基础漏洞,从用户端到服务器端依次开展分析。包括 XSS 攻击、请求伪造漏洞与防护、SQL 注入、文件上传攻击、Web 木马的原理、文件包含攻击、命令执行攻击与防御等,详细介绍了这些漏洞的原理、分类、利用方式、测试流程以及防护手段等。
第三部分(第 9-15 章):业务逻辑安全:重点讲解 Web 应用的业务逻辑层面的基础安全问题。从用户的未登录状态入手,讲解用户注册行为中潜在的安全隐患,然后对用户登录过程中的安全问题进行整理,并对常见的用户身份识别技术进行原理说明,最后对用户登录后的基本功能及用户权限处理方式进行讲解。
第四部分(第 16-19 章):Web 应用整体防护:主要讲解在实际 Web 站点上线之后的基础防护方式,并从 Web 整体应用的视角展示攻防对抗过程中的技术细节。重点针对 Web 服务潜在的基础信息泄漏方面及对应处理方法进行总结,最后提供可解决大部分问题的简单防护方案。
第五部分(第 20-23 章):Web 安全防护体系建设:在前几部分的基础上总结 Web 安全防护体系建设的基本方法。先从 Web 安全中常见的防护类设备入手,分析各类安全防护设备的特点及适用范围,之后对目前业界权威的安全开发体系进行基本介绍,并对安全服务中的渗透测试的主要流程进行说明,最后以实例的形式展示如何进行快速的代码审计。