AJAX安全技术
点击看大图基本信息
- 原书名: Ajax Security
- 原出版社: Addison-Wesley Professional
- 作者: (美)Billy Hoffman Bryan Sullivan [作译者介绍]
- 译者: 张若飞 王铮
- 丛书名: 网络安全专家
- 出版社:电子工业出版社
- ISBN:9787121079306
- 上架时间:2009-1-7
- 出版日期:2009 年1月
- 开本:16开
- 页码:403
- 版次:1-1
- 所属分类:
计算机 > 软件与程序设计 > AJAX
编辑推荐
本书是一本为专业人士提供预防Ajax安全漏洞一手实践的入门指导书。众所周知,Ajax具备变革互联网的潜力,但危险的新安全威胁同样随之而来。本书揭示Ajax框架与生俱来的安全弱点密集区域,为开发人员创造安全应用提供指导。每一章由一个Ajax安全谬误开始,随后即将其揭穿。通读本书你将看到很多用于阐述关键知识点的真实Ajax安全漏洞案例。在书中还讲到保护Ajax应用的特殊方法,包括每种主要Web编程语言(.NET、Java和PHP)及流行新语言Ruby on Rails。
《AJAX安全技术》一书对AJAX安全这一未开发领域进行了非常严谨、彻底的探讨。每个AJAX工程师都应该去掌握本书中的知识——至少应该明白其中的原理。
——Jesse James Garrett——Adaptive PATH公司主席及创始人
内容简介回到顶部↑
一本防范ajax安全漏洞的实用指南。
如今,越来越多的网站都被改写成ajax应用程序,甚至传统的桌面软件也通过ajax,迅速转向了web领域。但是在这个过程中,人们通常都没有考虑到安全的问题。如果不恰当地设计、编写了ajax应用程序,那么它们会比传统桌面程序存在更多的安全漏洞。ajax开发人员无时无刻都希望有一本指南,能够指导他们如何来保护自己的应用程序——他们终于等到了这一天。
《ajax安全技术》—书,系统地分析了当今最危险的ajax漏洞用现实中的代码阐述了大量关键性的安全理念,并对实际中的案例,例如myspace的samy蠕虫病毒,进行了详尽分析。更重要的是,不管你使用何种主流的web编程语言和环境,例如
.net、java或php,本书都给出了许多具体、前沿的建议。通过本书你将了解到以下几点:
如何刚氐ajax特有的安全风险,包}舌过度细分的web服务、应用程序控制流程篡改以及对程序逻辑的操控。
如何预防针对ajax的攻击手段,包括javascript劫持、持久化存储窃取以及对mashup程序的渗透。
如何避免基于xss和sql注入的攻击,包括由ajax衍生出来的sql注入攻击(只需要两次请求就可以暴露整个后台数据库)。
如何使用google gears和doj0开发安全的离线ajax应用程序。
如何发现prototype、dwr及asrnet ajax等ajax框架中的安全问题以及我们自己仍需实现哪些功能。
如何更安全地编写ajax代码,如何确定并修改已有代码中的安全缺陷。
不管是编写或者维护ajax应用程序的开发人员、架构师,还是打算或正在设计新ajax程序的项目经理,以及包括qa和渗透测试人员在内的所有软件安全人士,(ajax安全技术》—书都是必不可少的。
如今,越来越多的网站都被改写成ajax应用程序,甚至传统的桌面软件也通过ajax,迅速转向了web领域。但是在这个过程中,人们通常都没有考虑到安全的问题。如果不恰当地设计、编写了ajax应用程序,那么它们会比传统桌面程序存在更多的安全漏洞。ajax开发人员无时无刻都希望有一本指南,能够指导他们如何来保护自己的应用程序——他们终于等到了这一天。
《ajax安全技术》—书,系统地分析了当今最危险的ajax漏洞用现实中的代码阐述了大量关键性的安全理念,并对实际中的案例,例如myspace的samy蠕虫病毒,进行了详尽分析。更重要的是,不管你使用何种主流的web编程语言和环境,例如
.net、java或php,本书都给出了许多具体、前沿的建议。通过本书你将了解到以下几点:
如何刚氐ajax特有的安全风险,包}舌过度细分的web服务、应用程序控制流程篡改以及对程序逻辑的操控。
如何预防针对ajax的攻击手段,包括javascript劫持、持久化存储窃取以及对mashup程序的渗透。
如何避免基于xss和sql注入的攻击,包括由ajax衍生出来的sql注入攻击(只需要两次请求就可以暴露整个后台数据库)。
如何使用google gears和doj0开发安全的离线ajax应用程序。
如何发现prototype、dwr及asrnet ajax等ajax框架中的安全问题以及我们自己仍需实现哪些功能。
如何更安全地编写ajax代码,如何确定并修改已有代码中的安全缺陷。
不管是编写或者维护ajax应用程序的开发人员、架构师,还是打算或正在设计新ajax程序的项目经理,以及包括qa和渗透测试人员在内的所有软件安全人士,(ajax安全技术》—书都是必不可少的。
作译者回到顶部↑
本书提供作译者介绍
Billy Hoffman是惠普安全实验室的首席安全研究员,专注于如何自动发掘Web应用程序中的漏洞。他经常在Black Hat、RSA、Toorcon、Shmoocon、Infosec及AJAXWorld等会议上发表演讲,也曾受到过FBI的邀请进行演讲。
.. << 查看详细
.. << 查看详细
目录回到顶部↑
第1章 ajax安全介绍
1.1 ajax基础知识
1.1.1 什么是ajax
1.1.2 动态html(dhtml)
1.2 ajax架构(architecture)的转变过程
1.2.1 胖客户端架构
1.2.2 瘦客户端架构
1.2.3 ajax:最适合的架构
1.2.4 从安全角度看胖客户端应用程序
1.2.5 从安全角度看瘦客户端应用程序
1.2.6 从安全角度看ajax架构
1.3 一场完美的攻击风暴
1.3.1 不断增加的复杂度、透明度及代码量
1.3.2 社会学问题
1.3.3 ajax应用程序:富有吸引力的、战略上的目标
1.4 本章小结
第2章 劫持
2.1 攻击hightechvactions.net
2.1.1 攻击票务系统
2.1.2 攻击客户端数据绑定
1.1 ajax基础知识
1.1.1 什么是ajax
1.1.2 动态html(dhtml)
1.2 ajax架构(architecture)的转变过程
1.2.1 胖客户端架构
1.2.2 瘦客户端架构
1.2.3 ajax:最适合的架构
1.2.4 从安全角度看胖客户端应用程序
1.2.5 从安全角度看瘦客户端应用程序
1.2.6 从安全角度看ajax架构
1.3 一场完美的攻击风暴
1.3.1 不断增加的复杂度、透明度及代码量
1.3.2 社会学问题
1.3.3 ajax应用程序:富有吸引力的、战略上的目标
1.4 本章小结
第2章 劫持
2.1 攻击hightechvactions.net
2.1.1 攻击票务系统
2.1.2 攻击客户端数据绑定
前言回到顶部↑
AJAX已经完全改变了我们构建、部署Web应用程序的方式。对于那些运行在服务端的强大应用程序来说,浏览器只能作为其简单终端的日子已经一去不复返了。如今,不管是在客户端还是服务端,AJAX应用程序已经能够在用户的浏览器中,实现与桌面程序一样的功能了。从Google和Yahoo!这样的公司,以及那些推行用AJAX实现客户端存储、离线应用程序和富WebAPI的开源社区中,便可窥其—斑。.
作为Web开发者以及安全研究者,我们都在马不停蹄、尽可能地学习这些新的应用程序和技术。但是,在为AJAX带来的新功能感到激动的同时,我们不禁又有一些困扰:从没有人讨论过这项新应用架构的安全问题。我们不断能看见网络上的一些资源,以及AJAX领域所谓的专家,给出的却都是一些很差的建议和代码示例,其中到处都是容易引起SQL注入或者跨站脚本攻击的安全漏洞。再往深处探索,我们发现除了这些通常被忽视的Web漏洞之外,在开发AJAX应用程序时还存在着更大的安全隐患。例如过度划分的Web服务(即Web Service)、应用程序控制流程篡改、开发mashup程序时的不良习惯,以及容易让人忽视的身份认证(Authentication)机制。也许,AJAX同时继承了桌面及Web应用程序的优点,但是它也同时具有二者的安全缺陷。但是,对于大多数开发者来说,安全已经被抛之脑后了。
我们希望能改变这个现状。
这本书主要针对那些想要在其应用程序中实现最新、最炫功能的AJAX开发者,并教会他们如何防范一些恶意黑客的攻击(不管他们出于个人还是金钱目的)。
在本书中,我们不仅仅指出了可能存在的安全问题,同时也提供了这些问题的解决方法,从而让开发人员编写出更严谨、更安全的代码。除此之外,我们还分析了Prototype、DWR及Microsoft ASP.NET AJAX等常用AJAX框架所采用的安全保护机制,以及作为一名开发者可以从中借鉴的地方。..
同样,这本书也针对质量保证(Quality Assurance)工程师及专业的安全渗透测试人员。我们试着提供一些AJAX应用程序中常见的漏洞和安全缺陷。书中讨论了在评估一个AJAX应用程序时,所要面临的测试挑战,例如如何发现跟踪应用程序,以及如何发现程序中的缺陷,并且介绍了一些辅助性的工具。最后,我们对JavaScript劫持、持久化存储窃取,以及攻击mashup程序等新的AJAX攻击
技术,进行了详细的介绍。对于一些常见的攻击,我们也对其进行了新的演绎,例如一次基于AJAX的SQL注入攻击,只需要两个请求就可以暴露出整个后台数据库。
本书并不是讲解如何进行AJAX或者Web编程——因此我们希望读者对这些方面已经有足够的了解。我们将精力集中在设计和创建AJAX应用程序时,容易产生安全问题的错误和问题上,并给出如何开发安全AJAX应用程序的建议。同样,本书并不是…本编程语言指南,也并不要求读者使用某种特定语言来编写服务端代码。在所有的AJAX应用程序中,都会有一些常用的部分,例如HTTP、HTML、CSS和JavaScript,而这些也正是我们分析的重点。当我们对如何编写安全的服务端代码提出建议时,会使用正则表达式或者字符串操作等形式,这样读者可以用任何语言来实现。
本书中还包含了大量对开发和测试人员非常有用的资料。从对大量实际案例的分析中,读者可以了解到,现实中的AJAX应用程序是如何被攻破的,例如MySpace的Samy蠕虫攻击及Yahoo!的Yamanner蠕虫攻击。此外,书中还包含了许多的示例程序,例如在线旅行预订网站,这些都为测试和开发等人员,如何构建安全的AJAX应用程序提供了指导。
虽然我们建议读者一页一页、从头至尾地阅读本书,但是每一个章节都是独立的一部分。如果读者急需查看某一方面的内容,例如对某个AJAX框架安全性的分析(参阅第15章“AJAX框架分析”),可以直接跳至该章阅读。
AJAX在创建Web应用程序方面,提出了许多令人激动的新理念,本书并没有从安全方面贬低或者磨灭其贡献的意思。相反,我们希望能够借助本书,帮助读者创建功能强大、千富的AJAX应用程序,并且同时增强对恶意攻击的安全保护能力。
希望读者能够喜欢本书。
著者...
作为Web开发者以及安全研究者,我们都在马不停蹄、尽可能地学习这些新的应用程序和技术。但是,在为AJAX带来的新功能感到激动的同时,我们不禁又有一些困扰:从没有人讨论过这项新应用架构的安全问题。我们不断能看见网络上的一些资源,以及AJAX领域所谓的专家,给出的却都是一些很差的建议和代码示例,其中到处都是容易引起SQL注入或者跨站脚本攻击的安全漏洞。再往深处探索,我们发现除了这些通常被忽视的Web漏洞之外,在开发AJAX应用程序时还存在着更大的安全隐患。例如过度划分的Web服务(即Web Service)、应用程序控制流程篡改、开发mashup程序时的不良习惯,以及容易让人忽视的身份认证(Authentication)机制。也许,AJAX同时继承了桌面及Web应用程序的优点,但是它也同时具有二者的安全缺陷。但是,对于大多数开发者来说,安全已经被抛之脑后了。
我们希望能改变这个现状。
这本书主要针对那些想要在其应用程序中实现最新、最炫功能的AJAX开发者,并教会他们如何防范一些恶意黑客的攻击(不管他们出于个人还是金钱目的)。
在本书中,我们不仅仅指出了可能存在的安全问题,同时也提供了这些问题的解决方法,从而让开发人员编写出更严谨、更安全的代码。除此之外,我们还分析了Prototype、DWR及Microsoft ASP.NET AJAX等常用AJAX框架所采用的安全保护机制,以及作为一名开发者可以从中借鉴的地方。..
同样,这本书也针对质量保证(Quality Assurance)工程师及专业的安全渗透测试人员。我们试着提供一些AJAX应用程序中常见的漏洞和安全缺陷。书中讨论了在评估一个AJAX应用程序时,所要面临的测试挑战,例如如何发现跟踪应用程序,以及如何发现程序中的缺陷,并且介绍了一些辅助性的工具。最后,我们对JavaScript劫持、持久化存储窃取,以及攻击mashup程序等新的AJAX攻击
技术,进行了详细的介绍。对于一些常见的攻击,我们也对其进行了新的演绎,例如一次基于AJAX的SQL注入攻击,只需要两个请求就可以暴露出整个后台数据库。
本书并不是讲解如何进行AJAX或者Web编程——因此我们希望读者对这些方面已经有足够的了解。我们将精力集中在设计和创建AJAX应用程序时,容易产生安全问题的错误和问题上,并给出如何开发安全AJAX应用程序的建议。同样,本书并不是…本编程语言指南,也并不要求读者使用某种特定语言来编写服务端代码。在所有的AJAX应用程序中,都会有一些常用的部分,例如HTTP、HTML、CSS和JavaScript,而这些也正是我们分析的重点。当我们对如何编写安全的服务端代码提出建议时,会使用正则表达式或者字符串操作等形式,这样读者可以用任何语言来实现。
本书中还包含了大量对开发和测试人员非常有用的资料。从对大量实际案例的分析中,读者可以了解到,现实中的AJAX应用程序是如何被攻破的,例如MySpace的Samy蠕虫攻击及Yahoo!的Yamanner蠕虫攻击。此外,书中还包含了许多的示例程序,例如在线旅行预订网站,这些都为测试和开发等人员,如何构建安全的AJAX应用程序提供了指导。
虽然我们建议读者一页一页、从头至尾地阅读本书,但是每一个章节都是独立的一部分。如果读者急需查看某一方面的内容,例如对某个AJAX框架安全性的分析(参阅第15章“AJAX框架分析”),可以直接跳至该章阅读。
AJAX在创建Web应用程序方面,提出了许多令人激动的新理念,本书并没有从安全方面贬低或者磨灭其贡献的意思。相反,我们希望能够借助本书,帮助读者创建功能强大、千富的AJAX应用程序,并且同时增强对恶意攻击的安全保护能力。
希望读者能够喜欢本书。
著者...
序言回到顶部↑
在AJAX的面前,火、车轮、电的意义都显得淡然无光1。从AJAX诞生的那一刻起,人们终于实现了梦寐以求的理想——在Web应用程序中刷新局部页面。相信那一天JamesGarrett站在浴室里时,一定是上帝给了他灵感才想到了这个词——AJAX。.
但是像毁灭阿兹特克2(Aztecs)的西班牙殖民者科尔蒂斯(Cortes),或者像《星球大战(Star War)》3前传中,最初被认为是救世主、最终却带来毁灭的达斯·维达一样,很多起初认为是美好的事物结局却不一定很好。同样,对于AJAX来说,其安全上的巨大漏洞已经成为自身的最大威胁,如果任其发展,最终也会同前面的二者一样,产生混乱并最终毁于一旦。在这巨大的恐惧面前,为了保护无辜的人们、战胜邪恶并重新恢复宇宙中的和平,终于有两个人站了出来,他们便是Billy和Bryan。..
衷心感谢你阅读这本书。...
但是像毁灭阿兹特克2(Aztecs)的西班牙殖民者科尔蒂斯(Cortes),或者像《星球大战(Star War)》3前传中,最初被认为是救世主、最终却带来毁灭的达斯·维达一样,很多起初认为是美好的事物结局却不一定很好。同样,对于AJAX来说,其安全上的巨大漏洞已经成为自身的最大威胁,如果任其发展,最终也会同前面的二者一样,产生混乱并最终毁于一旦。在这巨大的恐惧面前,为了保护无辜的人们、战胜邪恶并重新恢复宇宙中的和平,终于有两个人站了出来,他们便是Billy和Bryan。..
衷心感谢你阅读这本书。...
媒体评论回到顶部↑
“《AJAX安全技术》一书对AJAX安全这一未开发领域进行了非常严谨、彻底的探讨。每个AJAX工程师都应该去掌握本书中的知识——至少应该明白其中的原理。”.
Jesse James Garrett
“终于,我们等来了这本既通俗易懂,又囊括了多方面AJAX安全问题的书籍。在这之前,许多人根本没有考虑安全的问题,就直接加入了AJAX的潮流中。而现在,是那些人阅读这本书的时候了,并且应该根据读者在书中指出的安全缺陷,重新检查他们的应用程序。”
Jeff Forristal
“如果你正在编写或者检查AJAX代码,那么一定需要参考这本书。Billy和Bryan已经在这个尚未探索过的领域进行了大量的工作,并取得了一定的成功。我已经迫不及待想去买这本书了。”..
Andrew van der Stock,OWASP1执行主席
“像AJAX这样的Web技术正在创造一种新的网络商业结构,并且解决了新经济体系中的矛盾。但是,由于技术本身的缺点及开发者的粗心而造成的安全问题,却使得这些进步大打折扣。至今为止,很少有书籍能够全面阐述AJAX的安全问题,并教导那些正在使用及即将使用AJAX的人如何去正确地编写AJAX代码。而这正是本书的目的。”
管理伙伴,Trellum科技股份有限公司...
Jesse James Garrett
“终于,我们等来了这本既通俗易懂,又囊括了多方面AJAX安全问题的书籍。在这之前,许多人根本没有考虑安全的问题,就直接加入了AJAX的潮流中。而现在,是那些人阅读这本书的时候了,并且应该根据读者在书中指出的安全缺陷,重新检查他们的应用程序。”
Jeff Forristal
“如果你正在编写或者检查AJAX代码,那么一定需要参考这本书。Billy和Bryan已经在这个尚未探索过的领域进行了大量的工作,并取得了一定的成功。我已经迫不及待想去买这本书了。”..
Andrew van der Stock,OWASP1执行主席
“像AJAX这样的Web技术正在创造一种新的网络商业结构,并且解决了新经济体系中的矛盾。但是,由于技术本身的缺点及开发者的粗心而造成的安全问题,却使得这些进步大打折扣。至今为止,很少有书籍能够全面阐述AJAX的安全问题,并教导那些正在使用及即将使用AJAX的人如何去正确地编写AJAX代码。而这正是本书的目的。”
管理伙伴,Trellum科技股份有限公司...
加载中...
