Web安全,向“前”看!——读国内第一本Web前端***书51CTO博客 - 凯发娱乐

Web安全,向“前”看!——读国内第一本Web前端***书51CTO博客

2019年03月01日14时05分47秒 | 作者: 曜坤 | 标签: 前端,安全,技能 | 浏览: 2558

好久之前在学技能的时分,一向没把Web端的安全当回事。那时分圈子里盛行的仍是系统等级的exploit,长途溢出和本地提权很兴旺。“主动传达”、“拿下系统权限”是其时***们的首要方针,那也是网络安全年代最夸姣的时期。

但是进入2000年之后,Web安全开端得到人们的注重。SQL注入首要成为明星,然后一发不可收拾。各种看似巩固的系统和仅敞开80端口的效劳器在此类***下变得反常软弱。Web安全年代来临了。

SQL注入+上传Webshell这样的***成为了业界干流,简直对动态Web效劳无往不利。大中型企业和组织纷繁增加了80端口的查看和封堵。看到一些SQL注入***被挡住的日志,他们脸上露出了满足的浅笑……

但是,凶猛的Web***方法,就只有一个SQL注入吗?

最近市面上呈现的《Web前端***技能揭秘》一书,为我们揭晓了答案。

假如说SQL注入这类Web后端***方法比较直接,那XSS和CSRF、ClickJacking等前端***方法的运用则更为荫蔽。

在这本书中,作者向我们论述了“草木竹石,均可为剑”的道理。在他们的眼中URL、HTML、JavaScript、CSS、ActionScript……简直每个当地都能够暗藏杀机。

无论是探求让人头疼的XSS和CSRF、仍是解析Web蠕虫和界面操作绑架,这本书都会让人们在惊叹之余眼前一亮。

假如要举几个前端***的比方,我们能够看看近期在互联网上比较火的两个帖子——《yahoo邮箱DOM XSS缝隙》与《怎么经过***教师邮箱拿到期末考卷和修正成果》,里边用的XSS hack就是前端***技能。当然,还有之前在Twitter上暴虐的跨站***蠕虫,可谓前端***的经典事例。而这些技能,都只是《Web前端***技能揭秘》所包括的一部分罢了。更多如百度、Google、人人网等实在事例的分析,会让人眼花缭乱。

而关于2012年末承认新标准的HTML5,书中也独自拓荒了一个章节以飨读者。可能是玩过一段时间HTML5视频技能的联系,我个人对这个章节形象比较深——提醒了我在书写HTML5代码的时分需求留意哪些当地。

书中介绍的许多HTML5跨站方法,足以让现有的一些IPS***防护系统和WAF战略被绕过。formaction、onformchange、onforminput、autofocus等新特点的参加,让跨站防护作业变得更富挑战性。

在最终的章节里作者从浏览器厂商和网站技能人员、用户等多个视点会集提出了防护的方法(比方:域别离、安全传输、安全的Cookie、优异的验证码、慎重第三方内容、X-Frame-Options防护、运用token等等),让人们在面临这类***之前,能够做好充分准备。别的为了协助我们更好的了解Web前端***的系统,钟晨鸣(余弦)和徐少培(xisigr)两位作者还专门做了个解析图。

 

在大会集的云核算年代下,效劳器的防护会做的越来越深,更多的骇客会挑选由前端下手获取用户的敏感数据。因而,了解前端***、了解用户端***将是未来Web安全人员急需了解的内容。

PS:这简直是国内第一本专心Web前端的***书。之前看了太多的Web后端***,总算有Web前端的***书本问世了。不由得先睹为快,解解腻。和以往的***/安全类书本不同,这本书除了合适安全爱好者与从业者阅览之外,更值得Web前端工程师来一探求竟。当许多人还觉得Web前端安满是窄众的时分,或许这本书会让他们发生新的观点。

版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表凯发娱乐立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章