内容简介
本书是一本专注于Web应用程序安全开发的实用指南,旨在帮助开发者从设计、编码到测试的全生命周期中有效防范安全漏洞。作者约翰·保罗·米勒结合多年实战经验,系统地讲解了Web安全的核心概念、常见威胁模型以及相应的防护策略。
书中内容涵盖了输入验证、会话管理、身份认证与授权、数据加密、安全日志记录等关键主题,并通过大量真实漏洞案例,深入剖析了SQL注入、跨站脚本攻击(XSS)、跨站请求伪造(CSRF)等典型攻击的原理与防御手段。此外,本书还介绍了安全开发生命周期(SDL)的实践方法,指导团队如何在敏捷开发环境中融入安全测试与代码评审流程。
无论是刚入门的Web开发者,还是希望提升系统安全性的技术主管,都能从本书中获得可操作的指导。书中不仅提供理论讲解,还附带了丰富的代码示例和检查清单,便于读者在实际项目中直接应用。
目录
O’Reilly Media, Inc. 介绍
业界评论
本书预览
阅读须知
开发环境
本书使用的图标
排版约定
获取更多信息
使用代码示例
Safari® Books Online
联系我们
电子书
第一部分 制订安全计划
第 1 章 定义应用环境
1.1 明确Web应用威胁
1.2 理解软件安全保障
1.3 探究与语言相关的问题
1.4 考虑端点的防御要素
1.5 处理云存储
1.6 使用外部代码和资源
1.7 允许他人访问
第 2 章 迎合用户需求与期望
2.1 从用户的视角看待应用程序
2.2 考虑自带设备的问题
2.3 设计密码的可选方案
2.4 聚焦用户期望
第 3 章 获取第三方帮助
3.1 发现第三方安全解决方案
3.2 考虑云安全方案
3.3 选择产品类型
第二部分 运用成功的编码实践
第 4 章 开发成功的界面
4.1 评估UI
4.2 提供受控制的选择
4.3 选择UI的解决方案级别
4.4 校验输入
4.5 期待意外
第 5 章 构建可靠的代码
5.1 区分可靠性和安全性
5.2 开发团队协议
5.3 创建经验教训的反馈回路
5.4 考虑成套解决方案的问题
第 6 章 包含库
6.1 考虑库的使用
6.2 区分内部存储库和外部存储库
6.3 定义库带来的安全威胁
6.4 安全地包含库
6.5 区分库和框架
第 7 章 慎用 API
7.1 区分API和库
7.2 用API扩展JavaScript
7.3 定义API带来的安全威胁
7.4 通过JavaScript安全访问API
第 8 章 考虑使用微服务
8.1 定义微服务
8.2 用JavaScript调用微服务
8.3 定义微服务带来的安全威胁
8.4 创建可替换的微服务路径
第三部分 创建有用及高效的测试策略
第 9 章 像黑客一样思考
9.1 定义Web安全扫描的需求
9.2 构建测试系统
9.3 定义最常见的漏洞源
9.4 在BYOD环境中进行测试
9.5 依靠用户测试
9.6 使用外部的安全测试人员
第 10 章 创建 API 安全区域
10.1 理解API安全区域的概念
10.2 定义API安全区域的需求
10.3 用API沙盒进行开发
10.4 考虑虚拟环境
第 11 章 检查库和 API 的漏洞
11.1 创建测试计划
11.2 单独测试库和API
11.3 执行集成测试
11.4 测试与语言相关的问题
第 12 章 使用第三方测试
12.1 找到第三方测试服务
12.2 创建测试计划
12.3 实施测试计划
12.4 使用结果报告
第四部分 实现维护周期
第 13 章 明确定义升级周期
13.1 制订详细的升级周期计划
13.2 制订升级测试计划
13.3 将升级移到生产环境
第 14 章 考虑更新选项
14.1 区分升级和更新
14.2 确定何时更新
14.3 更新语言套件
14.4 执行紧急更新
14.5 制订更新测试计划
第 15 章 考虑报告的需要
15.1 使用报告以做出改变
15.2 创建内部报告
15.3 依靠外部生成的报告
15.4 提供用户反馈
第五部分 查找安全资源
第 16 章 跟踪当前的安全威胁
16.1 发现安全威胁信息的来源
16.2 避免信息泛滥
16.3 为基于威胁的升级制订计划
16.4 为基于威胁的更新制订计划
第 17 章 获取必需的培训
17.1 制订内部的安全培训计划
17.2 获取第三方对开发人员的培训
17.3 确保用户有安全意识
关于作者
看完了
您当前的等级为
登录后免费下载登录
小黑屋反思中,不准下载!
评论后刷新页面下载评论
支付¥以后下载
请先登录
您今天的下载次数(次)用完了,请明天再来
支付积分以后下载立即支付
支付以后下载立即支付
您当前的用户组不允许下载升级会员
您已获得下载权限
您可以每天下载资源次,今日剩余次
免责申明:
1. 本站分享的所有书籍均来源于自互联网,我们只进行收集整理,并不对书籍内容进行更改。
2. 部分书籍中可能有书籍压制者放置的广告,这并不是本站所为,请注意甄别。
3. 我们分享这些书籍,纯粹是出于知识分享的热情,以及对互联网分享精神的高度认同和践行,不以盈利为目的。
4. 本站分享的所有书籍,仅供个人学习研究使用,请勿用于任何商业用途,否则产生的一切法律纠纷与本站无关。
5. 如果这些书籍让你有所收获,在条件允许的情况下,请一定购买正版书籍,这是对创作者最好的支持。
6. 如果您是此书籍的版权所有者,且您不希望此作品出现在本站,请联系我们,我们将在收到您的请求后48小时内予以删除。