国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　很久之前在學(xué)技術(shù)的時(shí)候，一直沒把Web端的安全當(dāng)回事。那時(shí)候圈子里流行的還是系統(tǒng)級(jí)別的exploit，遠(yuǎn)程溢出和本地提權(quán)很紅火?！白詣?dòng)傳播”、“拿下系統(tǒng)權(quán)限”是當(dāng)時(shí)黑客們的主要目標(biāo)，那也是網(wǎng)絡(luò)安全時(shí)代最美好的時(shí)期。

　　然而進(jìn)入2000年之后，Web安全開始得到人們的重視。SQL注入首先成為明星，然后一發(fā)不可收拾。各種看似堅(jiān)固的系統(tǒng)和僅開放80端口的在此類攻擊下變得異常脆弱。Web安全時(shí)代來臨了。

　　SQL注入+上傳Webshell這樣的攻擊成為了業(yè)界主流，幾乎對(duì)動(dòng)態(tài)Web服務(wù)無往不利。大中型和機(jī)構(gòu)紛紛增加了80端口的檢查和封堵?？吹揭恍┍粨踝〉娜罩?，他們臉上露出了滿意的微笑……

　　可是，厲害的Web攻擊方式，就只有一個(gè)SQL注入嗎？

　　最近市面上出現(xiàn)的《Web前端黑客技術(shù)揭秘》一書，為大家揭曉了答案。

　　如果說SQL注入這類Web后端攻擊方式比較直接，那XSS和CSRF、ClickJacking等前端攻擊方式的運(yùn)用則更為隱蔽。

　　在這本書中，作者向大家闡述了“草木竹石，均可為劍”的道理。在他們的眼中URL、HTML、JavaScript、、ActionScript……幾乎每個(gè)地方暗藏殺機(jī)。

　　無論是探究讓人頭疼的XSS和CSRF、還是解析Web和界面操作劫持，這本書都會(huì)讓人們?cè)隗@嘆之余眼前一亮。

　　如果要舉幾個(gè)前端攻防的例子，大家可以近期在上比較火的兩個(gè)帖子——《郵箱DOM XSS漏洞》與《如何通過老師郵箱拿到期末考卷和修改成績(jī)》，里面用的XSS hack就是前端攻防技術(shù)。當(dāng)然，還有之前在上肆虐的跨站攻擊蠕蟲，堪稱前端攻擊的經(jīng)典案例。而這些技術(shù)，都只是《Web前端黑客技術(shù)揭秘》所包含的一部分而已。更多如、、等真實(shí)案例的剖析，會(huì)讓人目不暇接。

　　而對(duì)于2012年底確認(rèn)新標(biāo)準(zhǔn)的，書中也單獨(dú)開辟了一個(gè)章節(jié)以饗讀者?？赡苁峭孢^一段時(shí)間HTML5視頻技術(shù)的關(guān)系，我個(gè)人對(duì)這個(gè)章節(jié)印象比較深——提醒了我在書寫HTML5代碼的時(shí)候需要注意哪些地方。

　　書中介紹的很多HTML5跨站方式，足以讓現(xiàn)有的一些入侵防御系統(tǒng)和WAF策略被繞過。formaction、onformchange、onforminput、autofocus等新屬性的加入，讓跨站防御工作變得更富挑戰(zhàn)性。

　　在最后的章節(jié)里作者從廠商和網(wǎng)站技術(shù)人員、用戶等多個(gè)角度集中提出了防御的辦法(比如：域分離、安全傳輸、安全的Cookie、優(yōu)秀的驗(yàn)證碼、謹(jǐn)慎第三方內(nèi)容、X-Frame-Options防御、使用token等等)，讓人們?cè)诿鎸?duì)這類攻擊之前，可以做好充分準(zhǔn)備。另外為了幫助大家更好的理解Web前端攻防的體系，鐘晨鳴(余弦)和徐少培(xisigr)兩位作者還專門做了個(gè)解析圖。

　　在大集中的時(shí)代下，服務(wù)器的防護(hù)會(huì)做的越來越深，更多的駭客會(huì)選擇由前端入手獲取用戶的敏感數(shù)據(jù)。因此，理解前端攻防、理解用戶端攻防將是未來Web安全人員急需熟悉的內(nèi)容。

　　PS：這幾乎是國(guó)內(nèi)第一本專注Web前端的黑客書。之前看了太多的Web后端攻防，總算有Web前端的攻防書籍面世了。忍不住先睹為快，解解膩。和以往的黑客/安全類書籍不同，這本書除了適合安全愛好者與從業(yè)者閱讀之外，更值得Web前端工程師來一探究竟。當(dāng)很多人還覺得Web前端安全是窄眾的時(shí)候，也許這本書會(huì)讓他們產(chǎn)生新的看法。