立即购买:Web前端黑客技术揭秘
内容推荐
Web前端的黑客攻防技术是一门非常新颖且有趣的黑客技术,主要包含Web前端安全的跨站脚本(XSS)、跨站请求伪造(CSRF)、界面操作劫持这三大类,涉及的知识点涵盖信任与信任关系、Cookie安全、Flash安全、DOM渲染、字符集、跨域、原生态攻击、高级钓鱼、蠕虫思想等,这些都是研究前端安全的人必备的知识点。本书作者深入剖析了许多经典的攻防技巧,并给出了许多独到的安全见解。
媒体评论
《Web前端黑客技术揭秘》是每名Web前端工程师都必备的安全参考书。钟晨鸣先生与徐少培先生是我多年的好友,他们在Web安全领域有着很深的造诣。这本书是他们多年经验的总结,深入剖析了Web前端安全的方方面面,很多独特的见解发人深省。对于安全从业者和对互联网安全关心的读者,这本书是不容错过的上上之选。
——吴翰清 《白帽子讲Web安全》作者,安全宝联合产品副总裁,
前阿里巴巴集团高级安全专家
通过Web前端应用对Web用户个人敏感信息进行攻击已经成为当前主流的攻击手段之一。本书作者是国内Web前端安全研究的资深专家,本书也是国内迄今为止在这一领域内最为全面和深刻的专著。作者用生动诙谐的语言为我们全面刨析了当前Web前端黑客的各种技术,对专业的安全工作者、浏览器开发人员、Web开发人员具有很好的参考价值,对提升广大Web用户自身的安全防范意识和知识也有很好的借鉴意义,推荐大家阅读。
——姚崎 北京天融信公司副总裁
时至今日,我已经拥有过万的信息安全学员,但每逢学员让我推荐实战技术参考书时,都为推荐好书发愁,而这本书的诞生带来了攻防实战技术耀眼的光芒。本书既讲解了先进的XSS精粹,又展示了“借刀杀人、杀人不见血”的CSRF威力,通过研读该书,渗透测试与应急响应工程师将能收获详尽的理论知识和最新实践指南;风险评估与安全审计工程师阅读后将能透彻了解到Web2.0的新威胁,他们将不得不扩展评估和审计的技术标准;IT运维安全工程师们阅读后,将会意识到新的噩梦已经到来,为避免更多网站成为攻击目标,唯一做的就是积极学习、与时俱进!
——张胜生 CISSP/CISP/CISA/攻防技术资深讲师,
网络犯罪重现与侦查云端平台总设计师
随着Web2.0的发展,Web前端攻击已逐渐成为主流攻击方式之一,但目前业界对Web前端安全方面的研究成果并没有系统的输出。今日有幸能优先拜读《Web前端黑客技术揭秘》一书,才发现原来已经有人在进行这方面的工作了。通读下来发现该书是两位作者对Web安全技术多年的系统研究和技术沉淀,涵盖了Web前端安全的方方面面,是一本能提升业界整体Web安全水平的得力之作。力荐!此外,两位作者钟晨鸣先生与徐少培先生都凭借深厚的Web安全技术功底多次帮助腾讯提升产品的安全质量,在此一并表示感谢。
——lake2 腾讯安全应急响应中心经理
钟晨鸣先生和徐少培先生是我多年来的挚友,很高兴终于看到这本书的面世,在我所熟悉的Web领域里,本书绝对是国内Web安全书籍中的首选,书中许多经典的case和思路,都是二位多年宝贵经验的总结,对于喜爱Web安全的同学和相关从业人员来说,细细研读该书一定能使读者对Web安全领域达到一个更深层的认识。
——罗诗尧 《黑客攻防实战》系列图书作者,
新浪微博应用安全技术专家、微博安全中心负责人,前百度高级工程师
在线试读部分章节
有人说互联网是由人组成的,也有人说互联网是由代码组成的。如果说互联网是由代码组成的,那么Web前端代码占据着互联网至少半壁江山;如果说互联网是由人组成的,那么有人的地方就有江湖,江湖中总是有剑客高手,互联网中也总是有技术黑客高手。
剑客也好,黑客也好,他们总是用各种让人叹为观止的奇妙招数让人在还未反应过来时就已经中招。一个人要在江湖中畅意行走,就要会点武功。同理,要在互联网上快意冲浪,就需要了解黑客的知识。只有做到知己知彼,才能“笑傲江湖”。
非常感谢钟晨鸣邀请我写这个序言,钟晨鸣是少有的理论+实战的天才型“黑客”,我非常佩服他在Web安全方面的造诣。更难能可贵的是,他和徐少培将自己的知识精华毫无保留地整理出来,写成“剑谱”公诸于世。“练练武功”不但可以防身,更能强身健体,这本书是我看到他们一路写成的,前后用了一年多的时间,花费了无数心血,写得非常细致,我预先读了本书,不敢独藏,与君共享。
顺便提一下,当前Web 2.0和HTML5已经渗透到了互联网及我们生活的方方面面,例如:
腾讯的Q+和Web QQ上拥有近10万个Web应用。
Google的Chrome网上应用商店提供了7万多个应用,拥有数亿人次的应用用户。
4399.com拥有数万个在线网页游戏。
安卓和苹果上当前17%的应用都是使用HTML 5开发的,而且这个比例还在不断上升。
SAAS的普及,使大量网站应用服务于我们的方方面面。
……
可以说,未来的互联网在很大程度上将由HTML+JavaScript+CSS构成,而安全是互联网发展的基础,互联网安全将在很大程度上取决于Web前端安全,如果前端失陷,我们的个人隐私、在线支付信息等都将受到莫大的挑战。
本书非常系统地讲解了Web相关的安全问题,图文并茂,理论和实战面面俱到,而且非常难得的是,书中有很多意想不到的“黑客”思路,这些思路非常具有实战性和前瞻性。
如果你是开发人员,保护客户的隐私是第一天职,那么看看这本书吧,它能教你如何编写安全的应用。
如果你是普通网民,要保障自己的安全,需要看看我们都面临什么挑战,那么看看这本书吧,它能让你明白平常应该注意什么。
如果你是善意的黑客,想换换思路,看看这本书吧,它能给你意想不到的视角和思路。
知道创宇CTO 杨冀龙
2012年10月8日
序2
网络安全永远伴随着业务的变化而变化。十几年前,互联网的兴起把Web服务推到了浪潮之巅。从此步入Web1.0时代,伴随Web业务而来的Web安全也逐渐兴起,Web1.0时代的安全主要体现在服务端动态脚本及Web服务器的安全问题上。到了2004年,Web2.0的诞生标志着又一次互联网革命到来!而这个时候的Web安全随着2005年由当时年仅19岁的天才SamyKamkar在MySpace上爆发了历史上第一个XSS Worm震惊了整个世界,由此也宣告Web安全正式步入Web2.0时代。这个时代的安全关注点已经由服务端全面转向了客户(前)端,浏览器替换Web服务器成为安全战争的主要战场,而前端常用的HTML、JavaScript、CSS、Flash等则成为安全战场的有力武器,浏览器挂马、XSS、CSRF、ClickJacking等成了主流的攻击手段。有攻击就有防御,面对Web2.0时代的安全问题,Web1.0时代的防御体系显得力不从心,很多安全从业者们都在思考和尝试新的防御手段,一场基于前端黑客攻防战就此拉开序幕……
作为一名资深的“脚本小子”,我有幸经历了Web安全由Web 1.0向Web 2.0转变的整个过程,也目睹了很多致力于Web2.0安全技术研究的公司诞生及发展的过程,并结识了一大群优秀的Web安全研究者,其中就有本书的两位作者:钟晨鸣先生和徐少培先生。
认识钟晨鸣先生缘于他所在的北京知道创宇信息技术有限公司。该公司于2007年成立,是国内最早关注Web2.0时代安全防御的公司之一,并在Web2.0安全防御领域里取得了巨大的成绩。而钟晨鸣先生早在2008年就加入了该公司,并积极加入到Web2.0的各种攻防技术研究中,后来逐步成为公司技术的中流砥柱。也是在这些官方对抗的实战中,成就了他对Web2.0时代安全技术的独特认识,并逐步完善了自己的技术体系。
而徐少培先生所在的北京天融信科技有限公司,是一家经历了Web 1.0时代的传统的信息安全公司,随着Web2.0时代的安全挑战,也使他们的研究人员投身于这个领域,由此培养了一大批技术精湛的安全研究者。徐少培先生就是其中之一,他对Web2.0安全技术有着深入的研究,尤其是在HTML 5的安全领域,他一直处于领先的地位。
如果说技术积累是本书诞生的“硬件”基础,那么乐于分享的精神就是本书诞生的必要的“软件”基础。有幸的是,钟晨鸣先生和徐少培先生都具有这样的分享精神,他们一直在通过Blog及参加各种技术峰会等不断分享着他们的研究成果。
所以,本书的诞生是他们对技术研究的总结及乐于分享精神的结合的成果。而我有幸成了该书的第一位读者,接到这本书的时候,我很惊讶,因为写书在我看来是一件很“痛苦”的事情。另外,对于Web2.0安全技术题材的书,在中国图书市场上是不多见的,纯技术分享的书籍更是寥寥无几,而他们的尝试显然是成功的!
本书是一本纯技术的关于Web2.0时代安全的专业书籍,从浏览器战场到前端的各种武器及攻击手段,再转到防御技术,都做了专业详细的展示。最后,我要说的只有一句话:本书值得您期待!
superhei
2012年10月18日
作者简介
钟晨鸣,毕业于北京化工大学,网名:余弦。国内著名Web安全团队xeye成员,除了爱好WebHacking外,还对宇宙学、人类学等保持着浓厚兴趣。2008年加入北京知道创宇信息技术有限公司,现任研究部总监,团队致力于Web安全与海量数据研究,并进行相关超酷平台的实现。如果大家想和我交流,可以私信我微博:weibo.com/evilcos,同时本书的最新动态也会发布在我的微博上。
徐少培,毕业于河北工业大学。网名:xisigr。国内著名Web安全团队xeye成员。2008年加入北京天融信公司,现任北京天融信资深安全专家,重点负责安全研究工作,主要研究领域包括:WEB安全、HTML5安全、浏览器安全、协议分析等。同时也是国内信息安全大会常见的演讲者。我的微博:weibo.com/xisigr,希望可以和大家交流。
立即购买:Web前端黑客技术揭秘