码农·“安全”攻防术 - (EPUB全文下载)

文件大小：1.42 mb。
文件格式：epub 格式。
书籍内容：

版权信息
书名：码农·“安全”攻防术（第28期）
本书由北京图灵文化发展有限公司发行数字版。版权所有，侵权必究。
您购买的图灵电子书仅供您个人使用，未经授权，不得以任何方式复制和传播本书内容。
我们愿意相信读者具有这样的良知和觉悟，与我们共同保护知识产权。
如果购买者有侵权行为，我们可能对该用户实施包括但不限于关闭该帐号等维权措施，并可能追究法律责任。
图灵社区会员 李哲（lz995335180@gmail.com） 专享 尊重版权
编者的话
知己知彼，百战百胜
专题：“安全”攻防术
Web应用程序的安全风险
大多数Web应用程序并不安全
核心安全问题：用户可提交任意输入
关键问题因素
新的安全边界
Web应用程序安全的未来
如何绕过同源策略？
同源策略简介
绕过同源策略的技术
结束语
参考文献
Android开发中的常见安全错误
应用权限问题
敏感数据的不安全传输
不安全的数据存储
通过日志的信息泄露
不安全的IPC端点
对iPhone接收SMS的方法进行模糊测试
基于变异的模糊测试
用Sulley进行基于生成的模糊测试
SMS iOS注入
吐吐槽还能赚银子
人物
余弦（钟晨鸣）：打破常规，守正出奇
访谈嘉宾：
访谈实录：
鲜阅
黑客与设计：逆向解析设计之美
黑客精神
设计知识的匮乏
SEO也是设计
良好的坏习惯
九卦
莫奈为什么从不使用黑色
印象派画家：色彩大师
色彩理论：印象派的发现
书单
偷偷看下你的书单
电子书榜
编者的话
知己知彼，百战百胜
编者 / 刘敏
今年5月份，勒索病毒WannaCry侵袭企事业单位计算机系统的事件一度引起全球的关注。不管此次事件背后的黑客团伙有没有勒索到钱财，是不是史上最失败、最尴尬的“瞎忙活”。反正，一时间，各种系统被侵袭的截屏图片流传网络，人们纷纷想方设法地修补漏洞、安装杀毒软件。如果说“网络安全”问题只是引起了普通大众的关注，程序员们就应该操练起来，精进一身的攻防术。
本期《码农》以“网络安全”为主题，旨在提供各种实用技术解决潜在的安全问题，涉及浏览器方面的同源策略绕过技术，Web应用程序的风险因素，Android开发中的常见安全错误，对iOS系统进行模糊测试，等等。既有攻击技术也有防守策略，希望戴“白帽子”的网络安全研究员可以知己知彼、百战百胜。
“人物”专栏刊载了“图灵访谈”对知名黑客、Kcon安全大会发起人、知道创宇技术副总裁余弦的专访文章。余弦认为，在整个网络空间内，“黑客就像具备了超能力一样，可以打破常规做一些人们意想不到的事，当然有好有坏。但我认为真正的黑客是守正出奇，走正道儿，有出奇的玩法，且具备创造力的群体。”余弦的“守正出奇”跟硅谷创业巨子Paul Graham的观点不谋而合，读者可以到“鲜阅”专栏查看Paul对黑客群体身上的“坏”习惯的真知灼见。他们身上的“坏”习惯，是祖辈开江破土时的骄傲，使后辈继承者自愧不如。
专题：“安全”攻防术
Web应用程序的安全风险
作者/Dafydd Stuttard等
Dafydd是世界知名安全顾问、作家、软件开发人士。牛津大学博士，MDSec公司联合创始人，尤其擅长Web应用程序和编译软件的渗透测试。Dafydd以网名PortSwigger蜚声安全界，是众所周知的Web应用程序集成攻击平台Burp Suite的开发者。
与任何新兴技术一样，Web应用程序也会带来一系列新的安全漏洞，而且这些常见的缺陷也在“与时俱进”，一些开发人员在开发现有应用程序时未曾考虑到的攻击方式都相继出现了。
针对Web应用程序的最严重攻击，是那些能够披露敏感数据或获取对运行应用程序的后端系统无限访问权限的攻击。这类倍受瞩目的攻击经常发生，但对许多组织而言，任何导致系统中断的攻击都属于重大事件。通过实施应用程序级拒绝服务攻击，可以达到与针对基础架构的传统资源耗竭攻击相同的目的。但是，实施这些攻击通常需要更精细的操作，并主要针对特定的目标。例如，可以利用这些攻击破坏特定用户或服务，从而在金融贸易、赌博、在线招投标和订票等领域赢得竞争优势。
在整个发展过程中，不时有报道称某知名Web应用程序被攻破的消息。情况似乎并未好转，也没有迹象表明这些安全问题已经得到解决。可以说，如今的Web应用程序安全领域是攻击者与计算机资源和数据防御者之间最重要的战场。在可预见的将来，这种情况可能仍将持续。
大多数Web应用程序并不安全
人们普遍认识到，对Web应用程序而言，安全确实是个“问题”。如果查询一个典型的应用程序的FAQ页面，其中的内容会向你保证该应用程序确实是安全的。
大多数Web应用程序都声称其安全可靠，因为它们使用SSL，例如：
本站点绝对安全。它使用128位安全套接层（secure socket layer, SSL）技术设计，可防止未授权用户查看您的任何信息。您可以放心使用本站点，我们绝对保障您的数据安全。
Web应用程序常常要求用户核实站点证书，并想方设法让用户相信其所采用的先进加密协议无懈可击，从而说服用户放心地向其提供个人信息。
此外，各种组织还声称他们遵循支付卡行业（PCI）标准，以消除用户对安全问题的担忧。例如：
我们极其注重安全，每天扫描Web站点，以确保始终遵循PCI标准，并免受黑客攻击。下面的标志上显示了最近扫描日期，请放心访问该Web站点。
实际上，大多数Web应用程序并不安全，虽然SSL已得到广泛使用，并且会定期进行PCI扫描。最近几年，我们测试过数百个Web应用程序。图1-1说明了在2007年和2011年间测试的应用程序受一些常见类型的漏洞影响的比例。下面简要说明这些漏洞。
不完善的身份验证措施（62%）
。这类漏洞包括应用程序登录机制中的各种缺陷，可能会使攻击者破解保密性不强的密码、发动蛮力攻击或完全避开登录。
不完善的访问控制措施（71%）
。这一问题涉及的情况包括：应用程序无法为数据和功能提供全面保护，攻击者可以查看其他用户保存在服务器中的敏感信息，或者执行特权操作。
SQL注入（32%）
。攻击者可通过这 ............

书籍插图：

以上为书籍内容预览，如需阅读全文内容请下载EPUB源文件，祝您阅读愉快。