很久之前在学技术的时候,一直没把Web端的安全当回事。那时候圈子里流行的还是系统级别的利用,远程溢出和本地提权很红火.“自动传播”,,“;拿下系统权限”;是当时* * *们的主要目标,那也是网络安全时代最美好的时期。
然而进入2000年之后,Web安全开始得到人们的重视. sql注入首先成为明星,然后一发不可收拾。各种看似坚固的系统和仅开放80端口的服务器在此类* * *下变得异常脆了对弱Web这类安全时代来临了。
SQL注入+上传网站管理权限这样的* * *成为了业界主流,几乎对动态Web服务无往不利。大中型企业和机构纷纷增加了80端口的检查和封堵。看到一些SQL注入* * *被挡住的日志,他们脸上露出了满意的微笑白马王子,白马王子;
可是,厉害的网站* * *方式,就只有一个SQL注入吗?
最近市面上出现的《网络前端* * *技术揭秘》一书,为大家揭晓了答案。
如果说SQL注入这类网站后端* * *方式比较直接,那XSS和CSRF,“点击劫持”等前端* * *方式的运用则更为隐蔽。
在这本书中,作者向大家阐述了“;草木竹石,均可为剑”,的道理。在他们的眼中URL、HTML、JavaScript、CSS, ActionScript…最后,几乎每个地方都可以暗藏杀机。
无论是探究让人头疼的XSS和CSRF,还是解析Web蠕虫和界面操作劫持,这本书都会让人们在惊叹之余眼前一亮。
如果要举几个前端* * *的例子,大家可以看看近期在互联网上比较火的两个帖子本;本;《雅虎邮箱DOM XSS漏洞》与《如何通过* * *老师邮箱拿到期末考卷和修改成绩》,里面用的XSS攻击就是前端* * *技术。当然,还有之前在Twitter上肆虐的跨站* * *蠕虫,堪称前端* * *的经典案例。而这些技术,都只是《网络前端* * *技术揭秘》所包含的一部分而已。更多如百度,谷歌,人人网等真实案例的剖析,会让人目不暇接。
而对于2012年底确认新标准的HTML5,书中也单独开辟了一个章节以飨读者。可能是玩过一段时间HTML5视频技术的关系,我个人对这个章节印象比较深本;本;提醒了我在书HTML5代写码的时候需要注意哪些地方。
书中介绍的很多HTML5跨站方式,足以让现有的一些IPS * * *防御系统和WAF策略被绕过.formaction, onformchange, onforminput,自动对焦等新属性的加入,让跨站防御工作变得更富挑战性。
在最后的章节里作者从浏览器厂商和网站技术人员,用户等多个角度集中提出了防御的办法(比如:域分离,安全传输,安全的Cookie,优秀的验证码,谨慎第三方内容,X-Frame-Options防御,使用令牌等等),让人们在面对这类* * *之前,可以做好充分准备。另外为了帮助大家更好的理解网络前端* * *的体系,钟晨鸣(余弦)和徐少培(xisigr)两位作者还专门做了个解析图。
, 
在大集中的云计算时代下,服务器的防护会做的越来越深,更多的骇客会选择由前端入手获取用户的敏感数据,因此,理解前端* * *,理解用户端* * *将是未来网络安全人员急需熟悉的内容。
PS:这几乎是国内第一本专注网络前端的* * *书。之前看了太多的网站后端* * *,总算有Web前端的* * *书籍面世了。忍不住先睹为快,解解腻。和以往的* * */安全类书籍不同,这本书除了适合安全爱好者与从业者阅读之外,更值得网络前端工程师来一探究竟。当很多人还觉得网络前端安全是窄众的时候,也许这本书会让他们产生新的看法。
