白帽子讲浏览器安全
图书信息
| 作者 | 钱文祥 |
| 出版社 | 电子工业出版社 |
| ISBN | 9787121281549 |
| 出版时间 | 2016-02-01 |
| 字数 | 17.8万 |
| 分类 | 科技,计算机,网络,计算机理论与教程 |
读书简介
浏览器是重要的互联网口,一旦受到漏洞攻,将直影响到用户的信息安全。作为攻者有哪些攻思路,作为用户有哪些应对手段?在本书中我们将给出解答,带你了解浏览器安全的方方面面。本书兼顾攻者、研究者和使用者三个场景,对大部分攻都提供了分析思路和防御方案。本书从攻者常用技巧的“表象”深介绍浏览器的具体实现方式,让你在知其然的情况下也知其所以然。
目录
前言
第1篇 初探浏览器安全
1 漏洞与浏览器安全
1.1 漏洞的三要素
1.2 漏洞的生命周期
1.3 浏览器安全概述
1.4 浏览器安全的现状
1.5 浏览器的应对策略
1.6 “白帽子”与浏览器厂商的联手协作
1.7 全书概览
1.8 本章小结
2 浏览器中常见的安全概念
2.1 URL
2.2 HTTP协议
2.3 浏览器信息安全的保障
2.4 特殊区域的安全限制
2.5 伪协议
2.6 本章小结
3 探索浏览器的导航过程
3.1 导航开始
3.2 建立安全连接
3.3 响应数据的安全检查——XSS过滤器
3.4 文档的预处理
3.5 处理脚本
3.6 攻击HTML标准化过程绕过IE/Chrome的XSS Filter
3.7 本章小结
4 页面显示时的安全问题
4.1 点击劫持
4.2 HTML5的安全问题
4.3 HTTPS与中间人攻击
4.4 本章小结
5 浏览器扩展与插件的安全问题
5.1 插件
5.2 定制浏览器的扩展和插件的漏洞
5.3 Adobe Flash插件与Action Script
5.4 浏览器的沙盒
5.5 本章小结
6 移动端的浏览器安全
6.1 移动浏览器的安全状况
6.2 移动端的威胁
6.3 结合系统特性进行攻击
6.4 本章小结
第2篇 实战网马与代码调试
7 实战浏览器恶意网页分析
7.1 恶意网站中“看得见的”攻防
7.2 恶意脚本的抓取和分析
7.3 一个简单的挂马代码的处理
7.4 更为复杂的代码处理:对Angler网马工具包的反混淆
7.5 本章小结
8 调试工具与Shellcode
8.1 调试工具的用法
8.2 与Shellcode的相关名词
8.3 Shellcode的处理
8.4 本章小结
第3篇 深度探索浏览器漏洞
9 漏洞的挖掘
9.1 挖0day
9.2 DOM Fuzzer的搭建
9.3 崩溃分析
9.4 本章小结
10 网页的渲染
10.1 网页的渲染
10.2 元素的创建
10.3 实战:使用WinDbg跟踪元素的生成
10.4 实战:使用WinDbg跟踪元素的插入
10.5 实战:使用WinDbg跟踪元素的释放
10.6 本章小结
11 漏洞的分析
11.1 分析IE漏洞CVE-2012-4969
11.2 分析JScript9漏洞CVE-2015-2425
11.3 Hacking Team的Flash漏洞CVE-2015-5119分析
11.4 本章小结
12 漏洞的利用
12.1 ShellCode的编写
12.2 CVE-2012-4969的利用
12.3 CVE-2015-5119的Vector
12.4 本章小结
附录
附录A IE(Edge)的URL截断
附录B IE的控制台截断
附录C 表单中的mailto:外部协议
附录D 危险的regedit:外部协议
附录E IE XSS Filter的漏洞也会帮助执行XSS
附录F 更高级的策略保护——CSP Level 2
附录G 更快的执行速度——JScript5 to Chakra
附录H Chakra的整数存储
附录I 安全实践
参考资料
- 软件需求最佳实践——SERU过程框架原理与应用(典藏版)(徐锋)
- 502(暂无)
- 物联网与智慧城市(邵泽华)
- 欧洲的转折(郭方)
- 漫画素描技法5:分镜头篇(CG动漫社)
- 唐代文学的文化视野(全二册)精中华书局出品(杜晓勤著)
- 建设工程监理案例分析(仅适用PC阅读)(执业资格考试命题研究中心)
- 做事先做人(李元秀 主编)
