本文目录一览:
- 1、《Web前端黑客技术揭秘》pdf下载在线阅读,求百度网盘云资源
- 2、遭遇黑客,程序员,前端人员获取个人信息泄密问题你看该怎么解决?
- 3、黑客要学web前端吗
- 4、tomcat服务器优点是什么?
- 5、web前端用户的密码提交时应当怎样加密
《Web前端黑客技术揭秘》pdf下载在线阅读,求百度网盘云资源
《Web前端黑客技术揭秘》(钟晨鸣)电子书网盘下载免费在线阅读
资源链接:
链接:
提取码:rapd
书名:Web前端黑客技术揭秘
作者:钟晨鸣
豆瓣评分:7.6
出版社:电子工业出版社
出版年份:2013-1
页数:361
内容简介:Web前端的黑客攻防技术是一门非常新颖且有趣的黑客技术,主要包含Web前端安全的跨站脚本(XSS)、跨站请求伪造(CSRF)、界面操作劫持这三大类,涉及的知识点涵盖信任与信任关系、Cookie安全、Flash安全、DOM渲染、字符集、跨域、原生态攻击、高级钓鱼、蠕虫思想等,这些都是研究前端安全的人必备的知识点。本书作者深入剖析了许多经典的攻防技巧,并给出了许多独到的安全见解。
本书适合前端工程师阅读,同时也适合对Web前端各类安全问题或黑客攻防过程充满好奇的读者阅读,书中的内容可以让读者重新认识到Web的危险,并知道该如何去保护自己以免受黑客的攻击。
作者简介:钟晨鸣,毕业于北京化工大学,网名:余弦。国内著名Web安全团队xeye成员,除了爱好Web Hacking外,还对宇宙学、人类学等保持着浓厚兴趣。2008年加入北京知道创宇信息技术有限公司,现任研究部总监,团队致力于Web安全与海量数据研究,并进行相关超酷平台的实现。如果大家想和我交流,可以私信我微博:weibo.com/evilcos,同时本书的最新动态也会发布在我的微博上。
徐少培,毕业于河北工业大学。网名:xisigr。国内著名Web安全团队xeye成员。2008年加入北京天融信公司,现任北京天融信资深安全专家,重点负责安全研究工作,主要研究领域包括:WEB安全、HTML5安全、浏览器安全、协议分析等。同时也是国内信息安全大会常见的演讲者。我的微博:weibo.com/xisigr,希望可以和大家交流。
遭遇黑客,程序员,前端人员获取个人信息泄密问题你看该怎么解决?
这是一个安全问题,大致需要解决的是前端可能导致的权限被拉取(cookie跨域访问等),传输过程中的信息抓包(中间人攻击等),以及后端数据库被拖库(服务器被黑)
首先前端不要用cookie进行权限的管理,使用token的方式,有条件设计单独的token服务器。非分布式的可以使用session。
其次数据的交互应该走https或一定的加密规则,保证数据传输过程的安全性。
前端开发者发送数据的时候,重要的数据一定得post不能使用get,还可以进行一定的数据加密和校验规则。
最后后端接收并保存到数据库,重要数据和隐私数据是必然需要加密存储的,这里涉及到权限问题,加密的隐私数据与规则应该尽量保证只有用户才能查看,保证拖库后也无法直接获取用户信息。加密规则加盐规则保密。
黑客要学web前端吗
需要
因为web前端是一种编程技术,是黑客需要必备的一项技能。
tomcat服务器优点是什么?
实际上,只有针对一个象amazon.com这样的大型站点,采用apache - tomcat这样的结构才具有更特出的优点,主要体现在具有更好的可扩展性和安全性。这种类型的站点的主要特点是每一个页面都可能是动态生成的,但这些数据中主要部分还是静态的(比如,各类图像GIF、JPG、PNG,流式媒体等)。 想象以下某个站点采用了多个用于负载均衡的硬件设备,这些设备后端连结一组服务器,这些服务器可能是一组相对廉价的运行apache的linux服务器簇。 这组位于前端的服务器簇将仅占总访问请求的10%的真正需要调用servlet的访问请求发送给后段的系统,后锻系统可以是一台Sun的E3500,或是IBM的AS/400,在这个后端的系统上运行着Tomcat,可能还包括企业级数据库。 这种结构的优点是兼有可扩展性和安全性。假如单位时间内访问请求数急剧增加,可以用相对较低的费用增加前端的能力。尽管后段的处理部分也需要扩充,但通常情况下,这种定位在单个服务器上的处理部分比较容易扩展。由于是通过在这台功能强大的服务器上运行的单个servlet容器,实际上也就不需要考虑session状态在分布式环境下的维护这类复杂的问题。 另外,因为这台后端服务器在外界不可以访问,网上的黑客只能访问前端的web服务器,不能直接访问后端的应用服务器,这就提高了安全性。但这并不意味着黑客们不能通过网络浏览器进行其它形式的攻击。对于apache-tomcat这种配置来说,前端和后端是通过ajp12协议来进行通信,ajp12不过是http访问请求的一种转换形式,如果给黑客们足够的时间,他们也许有能力通过Web层,从后端的数据库中取得一些比如信用卡号等关键数据。4
web前端用户的密码提交时应当怎样加密
密码在前端加密完全没有意义,对密码系统的安全性不会有任何提高,反而会引发不必要的麻烦。首先,做前端开发的人需要知道,前端系统的控制权是完全在用户手里的,也就是说,前端做什么事情,用户有完全的控制权。假设如同 @陈轩所说,前端做过了md5,后台就不用做了,这个做法会有什么后果?如果某一天,这个系统的数据库泄露了,黑客就直接拿到了每个用户的密码md5值,但此时,由于黑客知道密码是在前端进行哈希的,所以他不需要爆破出该md5对应的原文是什么,而是直接修改客户端向服务器发出的请求,把密码字段换成数据库中MD5就可以了,由于与数据库中记录一致,直接就会登录成功。这跟直接存储明文密码没有任何区别!!!所以不管前端是不是加密了密码,后台使用安全的哈希算法对内容再次转换是非常有必要的。(MD5可不行,要用bcrypt,我之前回答过一个类似的:随着显卡性能的高速发展,目前的快速Hash算法是否已经变得不够安全了?)这个回答还有一个人赞同,希望大家别被错误答案误导了。另外一个答案 @林鸿所说,在非安全HTTP连接上,可以防止原始密码被窃听。但问题在于由于你的登录系统接受的哈希过的密码,而不是原文,窃听者根本不需要原始密码,只要通过哈希结果就可以伪造请求登录系统。这样做只能防止被窃听到原文的密码被攻击者用在社会学攻击上,而不能改善该网站的安全性。所以不管前端是不是加密了密码,使用HTTPS安全连接进行登录都是非常有必要的。以上我说的两点,合起来看就是:不管前端是否加密了密码,都不能以此为假设,让后端设计的安全等级下降,否则就会有严重的安全问题。实际上,前端进行密码加密,可以看做帮助用户多进行了一次原文的转换,不管用了什么加密算法,算出来的结果都是密码原文,你该如何保护用户的原始密码,就该如何保护此处的加密结果,因为对你的登录系统来说,它们都是密码原文。以上这些,说明了密码加密是没有什么意义的,接下来,我要说明前端加密会带来什么问题。有些人会认为前端进行了加密,可以降低后台的安全性需求,这种错误的观念会造成系统的安全漏洞。实际上,你不能对前端做任何的假设,所有跟安全相关的技术,都必须应用在后台上。前端进行加密会造成页面需要js脚本才能运行,那么假设你的系统需要兼容不能运行js的客户端,就必须再设计一个使用原文的登录接口。由于前端是不是加密,所有安全机制都必须照常应用,所以为系统增加这样的复杂性是完全没必要的,即使传输明文密码,只要正确使用了HTTPS连接和服务器端安全的哈希算法,密码系统都可以是很安全的。