XSS跨站脚本攻击剖析与防御

XSS跨站脚本攻击剖析与防御

暂无评价综合评分的显示会考虑用户真实性等多项因素,每部作品出现综合评分的时间不定。
7.368 评价豆瓣读书
免费试读

作品简介

《XSS跨站脚本攻击剖析与防御》是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS的攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做了深入的剖析,这些攻击往往基于客户端,从挂马、窃取Cookies、会话劫持到钓鱼欺骗,各种攻击都不容忽视。第3章 XSS测试和利用工具,介绍了一些常见的XSS测试工具。第4章 发掘XSS漏洞,着重以黑盒和白盒的角度介绍如何发掘XSS漏洞,以便帮助读者树立安全意识。第5章 XSS Worm,讲解了Web 2.0的最大威胁——跨站脚本蠕虫,剖析了Web 2.0相关概念和其核心技术,这些知识对于理解和预防XSS Worm十分重要。第6章 Flash应用安全,就当前的Flash应用安全做出了深入阐述。第7章 深入XSS原理,讨论一些比较深入的XSS理论。第8章 防御XSS攻击,介绍了一些防范XSS攻击的方法,例如,运用XSS Filter进行输入过滤和输出编码,使用Firefox浏览器的Noscript插件抵御XSS攻击,使用HTTP-only的Cookies同样能起到保护敏感数据的作用。

《XSS跨站脚本攻击剖析与防御》适合网站管理人员、信息/网络安全或相关工作从业者、软件开发工程师,以及任何对Web安全技术感兴趣的读者。

作者:邱永华。

作品目录

  1. 前言
  2. 第1章 XSS初探
  3. 1.1 跨站脚本介绍
  4. 1.1.1 什么是XSS跨站脚本
  5. 1.1.2 XSS跨站脚本实例
  6. 1.1.3 XSS漏洞的危害
  7. 1.2 XSS的分类
  8. 1.2.1 反射型XSS
  9. 1.2.2 持久型XSS
  10. 1.3 XSS的简单发掘
  11. 1.3.1 搭建测试环境
  12. 1.3.2 发掘反射型的XSS
  13. 1.3.3 发掘持久型的XSS
  14. 1.4 XSS Cheat Sheet
  15. 1.5 XSS构造剖析
  16. 1.5.1 绕过XSS-Filter
  17. 1.5.2 利用字符编码
  18. 1.5.3 拆分跨站法
  19. 1.6 Shellcode的调用
  20. 1.6.1 动态调用远程 JavaScript
  21. 1.6.2 使用window.location.hash
  22. 1.6.3 XSS Downloader
  23. 1.6.4 备选存储技术
  24. 第2章 XSS利用方式剖析
  25. 2.1 Cookie窃取攻击剖析
  26. 2.1.1 Cookie基础介绍
  27. 2.1.2 Cookie会话攻击原理剖析
  28. 2.1.3 Cookie欺骗实例剖析
  29. 2.2 会话劫持剖析
  30. 2.2.1 了解Session机制
  31. 2.2.2 XSS实现权限提升
  32. 2.2.3 获取网站Webshell
  33. 2.3 网络钓鱼
  34. 2.3.1 XSS Phishing
  35. 2.3.2 XSS钓鱼的方式
  36. 2.3.3 高级钓鱼技术
  37. 2.4 XSS History Hack
  38. 2.4.1 链接样式和getComputedStyle()
  39. 2.4.2 JavaScript/CSS history hack
  40. 2.4.3 窃取搜索查询
  41. 2.5 客户端信息刺探
  42. 2.5.1 JavaScript实现端口扫描
  43. 2.5.2 截获剪贴板内容
  44. 2.5.3 获取客户端 IP地址
  45. 2.6 其他恶意攻击剖析
  46. 2.6.1 网页挂马
  47. 2.6.2 DOS和DDOS
  48. 2.6.3 XSS Virus/Worm
  49. 第3章 XSS测试和工具剖析
  50. 3.1 Firebug
  51. 3.2 Tamper Data
  52. 3.3 Live HTTP Headers
  53. 3.4 Fiddler
  54. 3.5 XSS-Proxy
  55. 3.6 XSS Shell
  56. 3.7 AttackAPI
  57. 3.8 Anehta
  58. 第4章 发掘XSS漏洞
  59. 4.1 黑盒工具测试
  60. 4.2 黑盒手动测试
  61. 4.3 源代码安全审计
  62. 4.4 JavaScript代码分析
  63. 4.4.1 DOM简介
  64. 4.4.2 第三种XSS——DOM XSS
  65. 4.4.3 发掘基于DOM的XSS
  66. 4.5 发掘 Flash XSS
  67. 4.6 巧用语言特性
  68. 4.6.1 PHP 4 phpinfo() XSS
  69. 4.6.2 $_SERVER[PHP_SELF]
  70. 4.6.3 变量覆盖
  71. 第5章 XSS Worm剖析
  72. 5.1 Web 2.0应用安全
  73. 5.1.1 改变世界的Web 2.0
  74. 5.1.2 浅谈Web 2.0的安全性
  75. 5.2 Ajax技术指南
  76. 5.2.1 使用Ajax
  77. 5.2.2 XMLHttpRequest对象
  78. 5.2.3 HTTP请求
  79. 5.2.4 HTTP响应
  80. 5.3 浏览器安全
  81. 5.3.1 沙箱
  82. 5.3.2 同源安全策略
  83. 5.4 XSS Worm介绍
  84. 5.4.1 蠕虫病毒剖析
  85. 5.4.2 XSS Worm攻击原理剖析
  86. 5.4.3 XSS Worm剖析
  87. 5.4.4 运用DOM技术
  88. 5.5 新浪微博蠕虫分析
  89. 第6章 Flash应用安全
  90. 6.1 Flash简介
  91. 6.1.1 Flash Player 与SWF
  92. 6.1.2 嵌入Flash文件
  93. 6.1.3 ActionScript语言
  94. 6.2 Flash安全模型
  95. 6.2.1 Flash安全沙箱
  96. 6.2.2 Cross Domain Policy
  97. 6.2.3 设置管理器
  98. 6.3 Flash客户端攻击剖析
  99. 6.3.1 getURL() & XSS
  100. 6.3.2 Cross Site Flashing
  101. 6.3.3 Flash参数型注入
  102. 6.3.4 Flash钓鱼剖析
  103. 6.4 利用Flash进行XSS攻击剖析
  104. 6.5 利用Flash进行CSRF
  105. 第7章 深入XSS原理
  106. 7.1 深入浅出CSRF
  107. 7.1.1 CSRF原理剖析
  108. 7.1.2 CSRF实例讲解剖析
  109. 7.1.3 CSRF的应用剖析
  110. 7.2 Hacking JSON
  111. 7.2.1 JSON概述
  112. 7.2.2 跨域 JSON注入剖析
  113. 7.2.3 JSON Hijacking
  114. 7.3 HTTP Response Splitting
  115. 7.3.1 HTTP Header
  116. 7.3.2 CRLF Injection原理
  117. 7.3.3 校内网HRS案例
  118. 7.4 MHTML协议的安全
  119. 7.5 利用Data URIs进行 XSS剖析
  120. 7.5.1 Data URIs介绍
  121. 7.5.2 Data URIs XSS
  122. 7.5.3 vBulletin Data URIs XSS
  123. 7.6 UTF-7 BOM XSS
  124. 7.7 浏览器插件安全
  125. 7.7.1 Flash后门
  126. 7.7.2 来自PDF的XSS
  127. 7.7.3 QuickTime XSS
  128. 7.8 特殊的XSS应用场景剖析
  129. 7.8.1 基于Cookie的XSS
  130. 7.8.2 来自RSS的XSS
  131. 7.8.3 应用软件中的XSS
  132. 7.9 浏览器差异
  133. 7.9.1 跨浏览器的不兼容性
  134. 7.9.2 IE嗅探机制与XSS
  135. 7.9.3 浏览器差异与XSS
  136. 7.10 字符集编码隐患
  137. 第8章 防御XSS攻击
  138. 8.1 使用 XSS Filter
  139. 8.1.1 输入过滤
  140. 8.1.2 输出编码
  141. 8.1.3 黑名单和白名单
  142. 8.2 定制过滤策略
  143. 8.3 Web安全编码规范
  144. 8.4 防御DOM-Based XSS
  145. 8.5 其他防御方式
  146. 8.5.1 Anti_XSS
  147. 8.5.2 HttpOnly Cookie
  148. 8.5.3 Noscript
  149. 8.5.4 WAF
  150. 8.6 防御CSRF攻击
  151. 8.6.1 使用POST替代GET
  152. 8.6.2 检验HTTP Referer
  153. 8.6.3 验证码
  154. 8.6.4 使用Token
  155. 参考文献
载入中

热门划线

喜欢这本书的人也喜欢