Web應用程式安全

目錄

前言 .1

第1 章 軟體安全歷程 .21

1.1 黑客的起源 . 21

1.2 Enigma 密碼機，約1930 年 22

1.3 自動Enigma 密碼破解，約1940 年 26

1.4 電話“Phreaking”，約1950 年 . 29

1.5 防Phreaking 技術，約1960 年 31

1.6 計算機黑客的起源，約1980 年 32

1.7 網際網路的興起，約2000 年 . 34

1.8 現時代的黑客，約2015 年之後 36

1.9 小結 40

部分 偵察

第2 章 Web 套用偵察簡介 43

2.1 信息收集 43

2.2 Web 應用程式構圖 46

2.3 小結 48

第3 章 現代Web 應用程式的結構 49

3.1 現代的與傳統的Web 應用程式 49

3.2 REST API 52

3.3 JS 對象標記 55

3.4 JavaScript. 57

3.4.1 變數和作用域 58

3.4.2 函式 61

3.4.3 上下文 . 62

3.4.4 原型繼承. 63

3.4.5 異步模型. 66

3.4.6 瀏覽器DOM . 69

3.5 SPA 框架 71

3.6 認證和授權系統 72

3.6.1 認證 73

3.6.2 授權 74

3.7 Web 伺服器 . 74

3.8 伺服器端資料庫 76

3.9 客戶端數據存儲 77

3.10 小結 . 78

第4 章 尋找子域 79

4.1 單域多應用程式 79

4.2 瀏覽器內置的網路分析工具 80

4.3 公開信息利用 83

4.3.1 搜尋引擎快取 84

4.3.2 存檔信息利用 86

4.3.3 社交媒體快照 88

4.4 域傳送攻擊 . 92

4.5 暴力破解子域 94

4.6 字典攻擊 101

4.7 小結 . 103

第5 章 API 分析 105

5.1 端點探索 105

5.2 認證機制 109

5.3 端點的模型 111

5.3.1 常見模型 111

5.3.2 特定於套用的模型 112

5.4 小結 . 114

第6 章 識別第三方依賴 . 115

6.1 探測客戶端框架 115

6.1.1 探測SPA 框架 116

6.1.2 探測JavaScript 庫 118

6.1.3 探測CSS 庫 120

6.2 探測伺服器端框架 121

6.2.1 標頭探測 121

6.2.2 默認錯誤信息和404 頁面 122

6.2.3 探測資料庫 . 125

6.3 小結 . 127

第7 章 定位套用架構中的薄弱點 128

7.1 安全架構與不安全架構的標誌 129

7.2 多層安全機制 . 134

7.3 採納和重構 135

7.4 小結 . 137

第8 章 部分總結 139

第二部分 攻擊

第9 章 Web 套用入侵簡介 143

9.1 黑客的心態 143

9.2 運用偵察 145

第10 章 XSS 攻擊 147

10.1 XSS 的發現和利用 148

10.2 儲存型XSS 152

10.3 反射型XSS 154

10.4 DOM 型XSS 157

10.5 突變型XSS 160

10.6 小結 162

第11 章 CSRF 攻擊 . 163

11.1 查詢參數篡改 164

11.2 替換GET 的有效載荷 169

11.3 針對POST 端點的CSRF 170

11.4 小結 172

第12 章 XXE 攻擊 173

12.1 直接型XXE 174

12.2 間接型XXE 177

12.3 小結 179

第13 章 注入攻擊 . 181

13.1 SQL 注入攻擊 181

13.2 代碼注入 . 186

13.3 命令注入 . 191

13.4 小結 195

第14 章 DoS 攻擊 196

14.1 ReDoS（Regex DoS）攻擊 197

14.2 邏輯DoS 攻擊 . 200

14.3 DDoS（分散式DoS）攻擊 204

14.4 小結 205

第15 章 第三方依賴漏洞利用 206

15.1 集成的方法 208

15.1.1 分支和複製 209

15.1.2 自託管的應用程式集成 . 210

15.1.3 原始碼集成 211

15.2 軟體包管理器 212

15.2.1 JavaScript 包管理器 . 212

15.2 2 Java 包管理器 . 214

15.2.3 其他語言的包管理器 215

15.3 CVE（公共漏洞和披露）資料庫 216

15.4 小結 217

第16 章 第二部分總結 219

第三部分 防禦

第17 章 現代Web 套用加固 223

17.1 防禦性軟體架構 224

17.2 全面的代碼審查 225

17.3 漏洞發現 . 225

17.4 漏洞分析 . 226

17.5 漏洞管理 . 227

17.6 回歸測試 . 228

17.7 緩解策略 . 228

17.8 套用偵察和攻擊技術 229

第18 章 安全的套用架構 230

18.1 分析功能需求 231

18.2 認證和授權 232

18.2.1 SSL 和TLS 232

18.2.2 安全的憑證 234

18.2.3 散列憑證信息 . 235

18.2.4 2FA 認證 238

18.3 PII 和財務數據 239

18.4 搜尋 240

18.5 小結 240

第19 章 代碼安全審查 243

19.1 如何開始代碼審查 . 244

19.2 原型漏洞與自定義邏輯漏洞 . 245

19.3 代碼安全審查起步 . 247

19.4 安全編碼的反面模式 249

19.4.1 黑名單 250

19.4.2 模板代碼 251

19.4.3 默認信任反模式 252

19.4.4 客戶端/ 伺服器分離 252

19.5 小結 253

第20 章 漏洞發現 . 255

20.1 安全自動化 255

20.1.1 靜態分析 256

20.1.2 動態分析 258

20.1.3 漏洞回歸測試 . 259

20.2 責任披露計畫 262

20.3 漏洞賞金計畫 263

20.4 第三方滲透測試 264

20.5 小結 265

第21 章 漏洞管理 . 266

21.1 漏洞重現 . 266

21.2 漏洞嚴重等級 267

21.3 通用漏洞評分系統 . 268

21.3.1 CVSS：基礎評分 . 269

21.3.2 CVSS：時間評分 . 271

21.3.3 CVSS：環境評分 . 272

21.4 高級漏洞評分 273

21.5 分揀、評分之後 274

21.6 小結 275

第22 章 防禦XSS 攻擊 . 276

22.1 防禦XSS 編碼實踐 . 276

22.2 淨化用戶輸入 279

22.2.1 DOM 解析接收器 . 280

22.2.2 SVG 接收器 . 281

22.2.3 Blob 接收器 . 281

22.2.4 超連結淨化 282

22.2.5 HTML 實體編碼 283

22.3 CSS 284

22.4 阻止XSS 的CSP 285

22.4.1 腳本源 285

22.4.2 Unsafe Eval 和Unsafe Inline 選項 287

22.4.3 實現CSP 288

22.5 小結 288

第23 章 防禦CSRF 攻擊 290

23.1 標頭驗證 . 290

23.2 CSRF 令牌 . 292

23.3 防CRSF 編碼實踐 294

23.3.1 無狀態GET 請求 294

23.3.2 套用級CSRF 緩解 296

23.4 小結 297

第24 章 防禦XXE 攻擊 . 299

24.1 評估其他數據格式 . 300

24.2 高級XXE 風險 301

24.3 小結 302

第25 章 防禦注入攻擊 303

25.1 緩解SQL 注入攻擊 303

25.1.1 SQL 注入檢測 . 304

25.1.2 預編譯語句 306

25.1.3 特定於資料庫的防禦 308

25.2 通用注入防禦 308

25.2.1 潛在的注入目標 309

25.2.2 小許可權原則 . 310

25.2.3 命令白名單化 . 311

25.3 小結 312

第26 章 防禦DoS 攻擊 . 314

26.1 防範Regex DoS 攻擊 315

26.2 防範邏輯DoS 攻擊 315

26.3 防範DDoS 攻擊 . 316

26.4 緩解DDoS 攻擊 . 317

26.5 小結 318

第27 章 加固第三方依賴 320

27.1 評估依賴關係樹 320

27.1.1 依賴關係樹建模 321

27.1.2 依賴關係樹實例 322

27.1.3 自動評估 322

27.2 安全集成技術 323

27.2.1 關注點分離 323

27.2.2 安全包管理 324

27.3 小結 325

第28 章 第三部分小結 327

28.1 軟體安全的歷史 327

28.2 Web 套用偵察 329

28.3 攻擊 331

28.4 防禦 332

第29 章 總結 . 336

作者介紹 339

封面介紹 339

Andrew Hoffman是Salesforce.com的高級安全工程師，負責多個JavaScript、Node.js和OSS團隊的安全工作。他的專長是DOM和JavaScript安全漏洞深入研究。他曾與各大瀏覽器廠商，包括TC39和WHATWG（Web Hypertext Application Technology Working Group，負責設計即將推出的JavaScript和瀏覽器DOM版本的組織）合作過。