这是一本关于web安全的书,可能对于大多是开发者来说,接触最多的还是技术方面的书。对安全的理解可能仅仅停留在HTTPS,SSL认证,密码加密,sql注入。看完试读章节后,我发现自己对安全方面的知识真是太匮乏了。
第六章主要是介绍了几种安全扫描、测试工具的使用,由于工作中接触不到这些工具,在这里只能感叹一下,现在的测试软件真的太强大了。从另一方面,也增长了我的见识,对于Web安全领域,我还是菜鸟,必须要引起重视,有机会一定要亲手操作一下。
本书的精华在于结合各种威胁的发起原理,总结了在设计和编码过程中的安全原则,并且提出了应对的解决方案。
第十章内容是身份认证和会话管理,围绕这个话题的核心对象就是Session。我们都知道,HTTP是无状态的,服务器跟浏览器的会话认证是通过JSESSIONID来实现的。JSESSIONID一旦泄露就直接关系到当前会话的安全。JSESSIONID通常在客户端是存放在cookie中的。为了安全考虑,最好设置cookie的失效时间或者关闭浏览器后失效。
cookie.setMaxAge (0);
在服务器端,为了防治固定会话,一旦用户登录成功以后,马上调用Session.invalidate(),然后新建一个Session,用户使用这个新的会话登录到系统中并进行操作。如果用户登入后长期没有操作,处于安全的考虑,我们也应该将Session过期,让用户重新认证登陆。
<session-config> <session-timeout>15</session-timeout> </session-config>
或者
session.setMaxInactiveInterval(15*60);
作为用户来说,网上交易或者支付之后,最好清除缓存和cookie,关闭浏览器后重新打开。
第十二章的内容是跨站请求伪造(CSRF),也就是通过伪造URL来进行攻击。所以,对于重要操作的URL,一定要加上TOKEN来防止伪造。我们最常用的网银的支付转账的操作,要求用户输入支付密码,增加确认界面,都能一定程度的防止CSRF。
除此之外,作为用户,在浏览网页时,对于弹出的窗口如果不确定,应立马关闭,不要去点击。一些垃圾邮件,或者一些莫名其妙的连接,也不要去点。很有可能会中招。
如果我们要在项目中防范CSRF,作者也提到了解决方案,借助ESAPI 在请求中加入TOKEN来防止伪造,通过OWASP CSRF Guard 这个Java 类库,来防止CSRF攻击。
相关推荐
JavaScript模式(英文版)+基于MVC的JavaScript Web富应用开发(试读) 基于MVC的JavaScript Web富应用开发(构建下一代互联网富应用之最前沿技术),面向jQuery开发者的客户端应用开发指南,本书教你如何构建先进的富...
《HTML5移动Web开发指南》主要围绕HTML5技术,讲述如何利用HTML5相关技术开发移动Web网站和Web App应用程序。《HTML5移动Web开发指南》共分为四大部分,第一部分主要讲述Web技术的发展及HTML5标准在移动Web技术中的...
Node实战|组件|工具|模块库大全 搞定最复杂应用 全面提升代码质量与开发效率
多云安全风险图谱(试读本).pdf
《响应式Web设计实践》试读干货,响应式——适应浏览器的不同——Web设计实践
介绍。第 1 章主要介绍环境的搭建,包括 wamp/wnmp 环境以及 lamp/lnmp 环境。这些环境搭建是简单的。这里要重点理解的是 PHP 的核心配置,
Windows信息安全与内核编程(试读版),虽然是试读版,但是对于从事信息安全的朋友还是有很好的帮助的,希望大家喜欢。
科技日新月异,设备不断推陈出新,Web设计师需兼顾不同设备,而每种设备的屏幕尺寸又各不相同。本书分为两个部分:第一部分为著名的“Mobile First”,解释为何移动网站的设计最为有效,阐述如何简化页面,删去多余...
Ajax - Web20开发技术详解试读版内容丰富,适合初学者学习。
构建高性能Web站点 [试读]Web组件分离 - 节选
本书系统论述了Windows Phone 7操作系统的应用开发,全书由浅入深地介绍了Windows Phone 7应用程序开发的各方面知识,分为开发基础篇、开发技术篇和开发实例篇3个部分,从不同的层面进行了阐释。开发基础篇介绍了...
Windows内核编程与信息安全(免费试读版) 作者: 楚狂人 内核上机指导 过滤简单设备 键盘的保护
提供全面的部署建议,包括严格传输安全、内容安全策略和钉扎等高级技术 使用OpenSSL生成密钥和证书,创建私有证书颁发机构 使用OpenSSL检查服务器漏洞 给出使用Apache httpd、IIS、Java、Nginx、Microsoft ...
USB应用开发实例详解书中讲解上位机开发的章节,这里提取出来供大家学习,分别讲了VC,c#环境下上位机的开发,讲解很详细
REST最新动向 超媒体+API战术与战例 国内倡导者作序推荐
阿里巴巴技术演进与超越试读文章
寒江独钓--Windows内核安全编程 正式试读样章,今天才放出的
Web开发秘方 抢鲜试读 七印部落译关于web开发的经典资料很不错的总结和归类方法,值得C#和web 开发人员阅读
web前端实验项目叮叮书店