因應漏洞所必備的知識
等事情發生了才說不知道就太遲了
建立Web應用程式資安壁壘必備知識集大成
本書旨在成為每位前端開發工程師於開發Web應用程式時的資安基本知識入門書。
書中章節針對「HTTP」、「來源」等基本Web資安主題,以及「跨站腳本攻擊(XSS)」與「跨站請求偽造(CSRF)」等衝著前端而來的資安攻擊機制,都準備了實作的篇章。讓各位讀者能以同一套範本程式碼作為學習的舞台,一步一步建構起學習的成就感。
當然,保護使用者免於遭受攻擊的方法也會分享給大家。除了每個攻擊手法的因應措施之外,「如何搭載驗證功能」、「如何安全地使用JavaScript函式庫」等書中環節,相信無論是對各位實際開發時、或是在研擬如何防範漏洞時都有所助益,也期待各位能在當中找到適合用來提升自己資安防護的提示。
為了讓第一次接觸資安的讀者可以循序漸進,書中針對基本的名詞逐一介紹,且跟讀者們所分享的主題也精挑細選過,只要您是前端設計工程師,相信本書的內容都會是您應該了解的基本功。
目標讀者
.稍具工作資歷的前端工程師
.想開始學習Web資安的Web工程師
.想要透過實際演練程式碼來學習Web應用程式資安防範措施的讀者
目錄
前言
第1章 Web資安簡介
第2章 實作準備
第3章 HTTP
第4章 來源為Web應用程式之間所帶來的存取限制
第5章 跨站腳本攻擊(XSS)
第6章 其他被動式攻擊(跨站請求偽造、點擊劫持、開放重定向)
第7章 驗證與授權
第8章 函式庫面臨的資安風險
附錄 主要篇章未講解的延伸學習
索引
作者介紹
作者簡介
平野昌士(Hirano Masashi)
Cybozu, Inc.的前端工程師。平時從事前端開發日常業務的同時也有參與OSS活動跟JSConf JP社群營運。獲選為Node.js的核心協作人員(Committer)。熱愛Web與JavaScript,撰寫許多部落格與雜誌文章、也在活動進行演講。
Twitter:shisama_
GitHub:shisama
監修者簡介
Hasegawa Yosuke
擔任Secure Sky Technology Inc.的CTO。發現許多Internet Explorer、Mozilla Firefox等Web應用程式漏洞。在Black Hat Japan 2008,南韓POC 2008、2010,OWASP AppSec APAC 2014,CODE BLUE 2016等多項活動進行演講。
後藤Tsugumi(Goto Tsugumi)
Secure Sky Technology Inc.。從事漏洞診斷業務,領導公司內部編寫、審閱提供給漏洞診斷人員的業務手冊。
