Web安全开发指南2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载

Web安全开发指南PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第一部分 制订安全计划2

第1章 定义应用环境2

1.1 明确Web应用威胁3

1.2 理解软件安全保障6

1.2.1 考虑OSSAP7

1.2.2 定义SSA的要求8

1.2.3 对数据和资源分类9

1.2.4 进行必要的分析9

1.3 探究与语言相关的问题12

1.3.1 定义HTML的关键问题12

1.3.2 定义CSS的关键问题13

1.3.3 定义JavaScript的关键问题13

1.4 考虑端点的防御要素14

1.4.1 预防安全漏洞14

1.4.2 检测安全漏洞15

1.4.3 修复受损的软件16

1.5 处理云存储16

1.6 使用外部代码和资源17

1.6.1 定义库的使用18

1.6.2 定义API的使用19

1.6.3 定义微服务的使用20

1.6.4 访问外部数据21

1.7 允许他人访问22

第2章 迎合用户需求与期望24

2.1 从用户的视角看待应用程序24

2.2 考虑自带设备的问题25

2.2.1 理解基于Web的应用程序的安全性26

2.2.2 考虑原生应用的问题27

2.2.3 使用定制化浏览器27

2.2.4 验证代码兼容性问题29

2.2.5 处理几乎连续的设备更新31

2.3 设计密码的可选方案32

2.3.1 使用口令33

2.3.2 使用生物识别的方案33

2.3.3 依靠钥匙卡35

2.3.4 依靠USB key36

2.3.5 实现令牌策略36

2.4 聚焦用户期望37

2.4.1 让应用程序易于使用37

2.4.2 让应用程序快速运行37

2.4.3 创建可靠的环境38

2.4.4 客观看待安全性38

第3章 获取第三方帮助39

3.1 发现第三方安全解决方案39

3.2 考虑云安全方案41

3.2.1 理解数据仓库42

3.2.2 处理文件共享问题43

3.2.3 考虑云存储46

3.3 选择产品类型47

3.3.1 使用库47

3.3.2 访问API48

3.3.3 考虑微服务49

第二部分 运用成功的编码实践52

第4章 开发成功的界面52

4.1 评估UI53

4.1.1 创建简洁的界面53

4.1.2 使界面灵活56

4.1.3 提供辅助功能58

4.1.4 定义可访问性问题59

4.2 提供受控制的选择61

4.3 选择UI的解决方案级别65

4.3.1 实现标准的HTML控件65

4.3.2 使用CSS控件65

4.3.3 用JavaScript创建控件67

4.4 校验输入68

4.4.1 只允许特定的输入68

4.4.2 查找鬼祟的输入69

4.4.3 请求新的输入69

4.4.4 使用客户端和服务器端校验70

4.5 期待意外71

第5章 构建可靠的代码72

5.1 区分可靠性和安全性73

5.1.1 定义可靠性和安全性的角色73

5.1.2 避免可靠代码中的安全漏洞76

5.1.3 聚焦应用程序的功能77

5.2 开发团队协议77

5.3 创建经验教训的反馈回路80

5.4 考虑成套解决方案的问题81

5.4.1 处理外部库82

5.4.2 处理外部API83

5.4.3 使用框架85

5.4.4 调用微服务87

第6章 包含库88

6.1 考虑库的使用89

6.1.1 用库增强CSS89

6.1.2 用库与HTML交互91

6.1.3 用库扩展JavaScript93

6.2 区分内部存储库和外部存储库95

6.3 定义库带来的安全威胁95

6.3.1 启用严格模式97

6.3.2 开发CSP99

6.4 安全地包含库100

6.4.1 充分研究库101

6.4.2 精确定义库的使用101

6.4.3 保持库的小规模和内容聚焦101

6.4.4 执行必需的测试102

6.5 区分库和框架103

第7章 慎用API105

7.1 区分API和库106

7.1.1 考虑流行速度上的差异106

7.1.2 区分用法上的差异107

7.2 用API扩展JavaScript108

7.2.1 定位合适的API108

7.2.2 创建简单示例109

7.3 定义API带来的安全威胁113

7.3.1 MailPoet毁了你的好声誉113

7.3.2 开发阅后即焚的图片114

7.3.3 使用“找回我的iPhone”却丢了手机114

7.3.4 Heartbleed泄露你最重要的信息115

7.3.5 遭受Shellshock攻击115

7.4 通过JavaScript安全访问API116

7.4.1 验证API的安全性116

7.4.2 测试输入和输出117

7.4.3 保持数据的局部性和安全性117

7.4.4 防御性编码117

第8章 考虑使用微服务118

8.1 定义微服务119

8.1.1 详述微服务的特点119

8.1.2 区分微服务与库120

8.1.3 区分微服务与API120

8.1.4 考虑微服务的策略120

8.2 用JavaScript调用微服务121

8.2.1 理解通信中REST的角色122

8.2.2 用JSON传输数据123

8.2.3 用Node.js和Seneca创建微服务124

8.3 定义微服务带来的安全威胁126

8.3.1 缺少一致性126

8.3.2 考虑虚拟机的角色126

8.3.3 使用JSON进行数据传输127

8.3.4 定义传输层的安全128

8.4 创建可替换的微服务路径129

第三部分 创建有用及高效的测试策略132

第9章 像黑客一样思考132

9.1 定义Web安全扫描的需求132

9.2 构建测试系统136

9.2.1 考虑测试系统的使用136

9.2.2 接受必需的训练136

9.2.3 创建正确的环境137

9.2.4 使用虚拟机137

9.2.5 获取工具138

9.2.6 配置系统138

9.2.7 恢复系统139

9.3 定义最常见的漏洞源139

9.3.1 避免SQL注入攻击140

9.3.2 理解跨站脚本攻击141

9.3.3 解决拒绝服务攻击问题142

9.3.4 去除可预测的资源定位142

9.3.5 克服无意的信息泄露143

9.4 在BYOD环境中进行测试143

9.4.1 配置远程访问区域144

9.4.2 检查跨应用程序的攻击144

9.4.3 处理真正古老的设备和软件145

9.5 依靠用户测试145

9.5.1 让用户横冲直撞146

9.5.2 开发可重现的步骤147

9.5.3 让用户发声147

9.6 使用外部的安全测试人员148

9.6.1 考虑渗透测试公司148

9.6.2 管理项目149

9.6.3 覆盖要点149

9.6.4 获取报告149

第10章 创建API安全区域151

10.1 理解API安全区域的概念152

10.2 定义API安全区域的需求153

10.2.1 确保API可以工作153

10.2.2 实现快速开发153

10.2.3 证明最佳的集成154

10.2.4 在负载情况下验证API的表现158

10.2.5 使API远离黑客159

10.3 用API沙盒进行开发159

10.3.1 使用现成的解决方案161

10.3.2 使用其他供应商的沙盒162

10.4 考虑虚拟环境164

10.4.1 定义虚拟环境164

10.4.2 区分虚拟环境和沙盒164

10.4.3 实现虚拟化165

10.4.4 依靠应用程序虚拟化165

第11章 检查库和API的漏洞167

11.1 创建测试计划168

11.1.1 考虑目的和目标168

11.1.2 测试内部库175

11.1.3 测试内部API175

11.1.4 测试外部库175

11.1.5 测试外部API176

11.1.6 扩展测试到微服务176

11.2 单独测试库和API177

11.2.1 为库创建测试框架177

11.2.2 为API创建测试脚本178

11.2.3 将测试策略扩展到微服务178

11.2.4 开发响应策略178

11.3 执行集成测试179

11.4 测试与语言相关的问题180

11.4.1 设计针对HTML问题的测试180

11.4.2 设计针对CSS问题的测试181

11.4.3 设计针对JavaScript问题的测试181

第12章 使用第三方测试184

12.1 找到第三方测试服务185

12.1.1 定义聘请第三方的理由185

12.1.2 考虑测试服务的范围186

12.1.3 确保第三方是合法的188

12.1.4 面试第三方188

12.1.5 对测试的搭建进行测试188

12.2 创建测试计划189

12.2.1 指明第三方在测试中的目的189

12.2.2 创建书面的测试计划189

12.2.3 枚举测试输出和报告的要求190

12.2.4 考虑测试需求190

12.3 实施测试计划190

12.3.1 确定公司参与测试的程度191

12.3.2 开始测试过程191

12.3.3 执行必需的测试监控191

12.3.4 处理意外的测试问题192

12.4 使用结果报告192

12.4.1 与第三方讨论报告输出192

12.4.2 向公司展示报告193

12.4.3 根据测试建议采取行动193

第四部分 实现维护周期196

第13章 明确定义升级周期196

13.1 制订详细的升级周期计划196

13.1.1 寻找升级198

13.1.2 确定升级的要求198

13.1.3 定义升级的临界点200

13.1.4 检查升级的问题201

13.1.5 创建测试场景202

13.1.6 实施变更203

13.2 制订升级测试计划203

13.2.1 执行所需的预测试204

13.2.2 执行所需的集成测试204

13.3 将升级移到生产环境205

第14章 考虑更新选项207

14.1 区分升级和更新208

14.2 确定何时更新209

14.2.1 处理库的更新209

14.2.2 处理API和微服务的更新210

14.2.3 接受自动更新211

14.3 更新语言套件212

14.3.1 创建语言支持清单212

14.3.2 获得可靠的语言专家213

14.3.3 验证与语言相关的提示符能否在应用程序中起效214

14.3.4 确保数据以正确的格式呈现214

14.3.5 定义语言支持测试的特殊要求214

14.4 执行紧急更新215

14.4.1 尽可能避免紧急情况215

14.4.2 组建快速响应团队215

14.4.3 执行简化的测试216

14.4.4 制订持久的更新计划216

14.5 制订更新测试计划216

第15章 考虑报告的需要218

15.1 使用报告以做出改变219

15.1.1 避免无用的报告219

15.1.2 安排时间为升级和更新做出报告220

15.1.3 使用自动生成的报告221

15.1.4 使用定制的报告221

15.1.5 创建一致的报告222

15.1.6 使用报告执行特定的应用任务223

15.2 创建内部报告223

15.2.1 确定使用哪些数据源223

15.2.2 指定报告的使用224

15.3 依靠外部生成的报告225

15.3.1 从第三方获取完整的报告225

15.3.2 从原始数据创建报告225

15.3.3 保持内部数据安全225

15.4 提供用户反馈226

15.4.1 获取用户反馈226

15.4.2 确定用户反馈的可用性227

第五部分 查找安全资源230

第16章 跟踪当前的安全威胁230

16.1 发现安全威胁信息的来源231

16.1.1 阅读与安全相关的专业文章231

16.1.2 查看安全网站232

16.1.3 获取顾问的意见234

16.2 避免信息泛滥235

16.3 为基于威胁的升级制订计划236

16.3.1 预判不需要采取任何行动的情况236

16.3.2 决定升级还是更新236

16.3.3 定义升级计划238

16.4 为基于威胁的更新制订计划238

16.4.1 验证更新是否可解决威胁239

16.4.2 确定威胁是否紧急240

16.4.3 定义更新计划240

16.4.4 要求来自第三方的更新240

第17章 获取必需的培训241

17.1 制订内部的安全培训计划242

17.1.1 定义所需的培训242

17.1.2 设置合理的目标243

17.1.3 使用内部培训师243

17.1.4 监控结果244

17.2 获取第三方对开发人员的培训245

17.2.1 指定培训的要求246

17.2.2 为公司聘请第三方培训师247

17.2.3 使用在线学校247

17.2.4 依靠培训中心248

17.2.5 利用本地的学院和大学248

17.3 确保用户有安全意识249

17.3.1 制定专门的安全培训249

17.3.2 结合书面指南进行培训249

17.3.3 创建并使用替代的安全提醒250

17.3.4 进行培训有效性检查250

关于作者251

关于封面251

版权声明252