Web应用安全权威指南[试读]
1.1 安全隐患即“能用于作恶的Bug”
本章将对“安全隐患”这一贯穿全书的主题加以概述,包 括什么是安全隐患,安全隐患会带来哪些问题,安全隐患 是如何产生的,等等。本章最后会给出全书的结构和学习方法。 1.1 安全隐患即“能用于作恶的Bug” 程序Bug对于开发者来说如同家常便饭。应用程序有了Bug,就会出现各种不正常的现象。例如,显示出错误的结果、需要进行的处理迟迟不能结束、网页布局错乱、响应速度极为缓慢等。而这其中,有一种Bug能被恶意利用。此类Bug被称为安全隐患(Vulnerability),有时也被称为安全性Bug。 以下是一些恶意利用的常见案例。 未经许可浏览用户个人信息等隐私信息 ... 查看全部[ 1.1 安全隐患即“能用于作恶的Bug” ]
1.2 为什么存在安全隐患会有问题
为什么存在安全隐患会有问题,这是个越思考就越深入的课题。接下来,就让我们从几个方面来探讨一下必须杜绝安全隐患的原因。 ◆经济损失 应杜绝安全隐患的原因之一为,假如网站的安全隐患被恶意利用,网站的经营者将会蒙受经济损失。典型的损失为以下几项。 赔偿用户的经济损失 给用户寄送代金券作为补偿时的花销 网站暂停运营造成的机会损失 信誉度下降造成的营业额减少 此类经济损失的总额有时会高达数十亿日元。 然而,或许有人会有这样的疑问。如果网站的营销规模并不大,上述列举的各项经济损失就会变得相对较小。所以可能有些网站运营方就会采取这种思路:事前不做相应对... 查看全部[ 1.2 为什么存在安全隐患会有问题 ]
1.3 产生安全隐患的原因
接下来本节将说明安全隐患产生的原因,据此就可以理解为何笔者之前会说“Web应用程序开发者对安全隐患已经司空见惯”。 首先,产生安全隐患的原因可分为以下两类。 (A)由Bug造成 (B)由检验功能不完善造成 情况(A)包含SQL注入(SQL Injection)和跨站脚本(Cross Site Scripting,简称XSS)等极具影响力的著名的安全隐患。此类隐患不仅发生场所与安全性毫不相关,而且波及范围能扩散至整个应用程序,着实让人头疼。因此,开发团队的每一个成员在编写应用程序时就必须具有极强的安全意识,但可惜目前还有很多开发团队并未这么做。 另一方面,目录遍历(... 查看全部[ 1.3 产生安全隐患的原因 ]
1.4 安全性Bug与安全性功能
本章开头我们提到安全隐患是一种Bug,但有时即使修正了所有Bug也不能保证应用程序绝对安全。举例来说,没有使用HTTPS协议(超文本传输安全协议)来加密传输的状态并不能算作是Bug,这种情况下,虽然不存在(狭义的)安全隐患,但是传输的内容却存在被窃听的可能性。 如同使用HTTPS来对传输内容进行加密那样,积极主动地加强安全性的措施在本书中被称为“安全性功能”。安全性功能实为应用程序的一种需求,所以也被称为安全性需求。 从开发管理这一层面上来说,将应用程序安全性方面的Bug和需求这两者整理清楚也是至关重要的。如同Bug必须被消除一样,消除安全隐患也应当是理所当然的。另一方面,是否将安... 查看全部[ 1.4 安全性Bug与安全性功能 ]
1.5 本书的结构
本书结构如下。 第1章,引入安全隐患这个概念,介绍安全隐患是如何产生的,说明安全性Bug和安全性功能的区别。 第2章,搭建本书的试验环境。本书通过VMware的虚拟机提供了可以实际体验安全隐患的环境。该章会介绍搭建此虚拟机环境和安装诊断用工具的方法。 第3章,讲述HTTP、Cookie、会话(Session)管理等Web应用安全方面的基础知识,还会介绍同源策略。 第4章,全书的核心章节。针对Web应用的每一个功能中易产生的安全隐患模式,对其原理及对策等各个方面加以详细说明。 第5章,讲述认证、账号管理、授权、日志输出等典型的安全性功能。 第6章,讲述字符编... 查看全部[ 1.5 本书的结构 ]
书名: Web应用安全权威指南
作者: 德丸浩
出版社: 人民邮电出版社
译者: 赵文 | 刘斌
出版年: 2014-10
页数: 378
定价: 79
装帧: 平装
ISBN: 9787115370471