书名:XSS跨站脚本攻击剖析与防御(完整版) 作者:邱永华 出版:人民邮电出版社
▍本书结构
全书总共8章,读者可以通过浏览目录以进一步了解各章的内容。在本书结尾,附上相关资料以及参考文献。
第1章XSS初探带读者走进XSS跨站脚本的世界,此章主要阐述了XSS的基础知识,包括XSS的攻击原理、危害以及一些常用技巧,理解本章对学习后面的内容至关重要。
第2章XSS利用方式剖析就当前比较流行的XSS利用方式进行深入阐述,这些攻击往往基于客户端,从挂马、窃取Cookies、会话劫持到钓鱼欺骗,各种攻击都不容忽视。
第3章XSS测试和工具剖析介绍了一些常见的XSS测试和利用的工具,前面4节主要讲述可测试XSS的工具,后面4节讲述XSS的利用平台。
第4章发掘XSS漏洞着重以黑盒和白盒的角度介绍如何发掘XSS漏洞,黑盒环境下可手动发掘XSS漏洞,也可以利用一些自动化测试工具;白盒环境下则可以通过分析代码的方式发掘XSS漏洞。
第5章XSS Worm剖析讲解了XSS的终极利用方式,也是Web 2.0的最大威胁——跨站脚本蠕虫,此章还介绍了Web 2.0相关概念及其核心技术、浏览器的安全等,这些知识对理解XSSWorm十分重要。
第6章Flash应用安全就当前的Flash应用安全进行深入阐述。尽管安全社区需经常修补一些XSS、CSRF和其他注入漏洞,但是,Flash的应用中提供了一种新的攻击类型,尤其是那些无防备的和未经严格测试的Flash应用程序。
第7章深入XSS原理讨论一些比较深入的XSS理论,其中涉及许多特殊的XSS技巧和应用场景,这些XSS将会对传统的跨站防御方案提出挑战。同时,此章还会讲到其他类型的Web安全漏洞,这些漏洞均与XSS息息相关。
第8章防御XSS攻击介绍了一些防范XSS攻击的方法,例如运用XSS Filter进行输入过滤和输出编码、使用Firefox浏览器的Noscript插件抵御XSS攻击等,而使用HTTPOnly的Cookies同样能起到保护敏感数据的作用。
内容全面系统:从 XSS 基础概念到复杂攻击手段,再到各类工具、发掘方法、防御策略等,进行全方位覆盖。既讲解了 XSS 的基本原理、分类 ,又深入剖析多种利用方式,如 Cookie 窃取、会话劫持等,还介绍了不同角度发掘漏洞的方法以及防御措施,形成完整知识体系,帮助读者全面掌握 XSS 相关知识 。
理论与实践结合:不仅阐述 XSS 理论知识,如跨站脚本蠕虫、Flash 应用安全等深入理论,还列举大量实际测试工具与利用方式。介绍 Firebug、Tamper Data 等常见测试工具,以及黑盒、白盒发掘漏洞的实际操作方法,让读者能将理论应用于实践,提升应对 XSS 攻击的实际能力。
紧跟技术热点:关注 Web 技术发展中的安全问题,针对当时流行的 Web2.0 技术,探讨其面临的 XSS 蠕虫威胁,剖析 Web2.0 核心技术与 XSS 蠕虫的关联。同时,对 Flash 应用安全进行深入阐述,契合当时互联网应用中 Flash 广泛使用的实际情况,使读者了解新技术带来的安全挑战。
针对性与实用性强:专为关注 Web 安全的人群编写,如网站管理人员、安全从业者、软件开发工程师等。内容紧密围绕 XSS 攻击与防御,所提供的方法和策略具有直接的实践指导意义,帮助相关人员在实际工作中有效防范 XSS 攻击,保障 Web 应用安全。