墨守之道 Web 服務安全架構與實踐

盛洋 李華峰

  • 出版商: 人民郵電
  • 出版日期: 2021-06-01
  • 售價: $539
  • 貴賓價: 9.5$512
  • 語言: 簡體中文
  • 頁數: 292
  • 裝訂: 平裝
  • ISBN: 7115561583
  • ISBN-13: 9787115561589
  • 相關分類: 資訊安全
  • 立即出貨

  • 墨守之道 Web 服務安全架構與實踐-preview-1
  • 墨守之道 Web 服務安全架構與實踐-preview-2
墨守之道 Web 服務安全架構與實踐-preview-1

買這商品的人也買了...

商品描述

近年來,信息技術的廣泛應用極大地促進了社會進步,也方便了人們的工作和生活,隨之而來的網絡安全問題日益突顯。如何構建安全可靠的網絡環境,如何與時俱進地把新技術納入網絡安全防護的實踐當中,成為網絡安全工作者的重要課題。

本書聚焦於 Web 服務常用的安全技術,以案例形式展示 Web 服務所面臨的威脅,並給出了豐富多樣的解決方案。本書由淺入深地介紹了 Web 安全的相關主題,包括 Web 應用程序基礎理論、Web服務器與負載均衡、HTTPS和CDN的安全問題、Web服務的安全因素、如何保護Web服務、WAF原理與實踐、Web日誌審計、蜜罐技術、大數據時代的Web安全、網絡安全解決方案等內容。

本書適合網絡安全領域的研發人員、運維人員、高校師生、培訓機構等群體閱讀參考。

作者簡介

盛洋,新浪網高級安全與開發工程師,長期從事企業信息系統開發與嵌入式系統開發。
在進入互聯網信息安全領域之後,他將企業級信息安全工程方法與對嵌入式系統高性能的要求融入互聯網安全信息系統的開發實踐中,深度參與了互聯網企業雲服務防護實踐和安全信息系統的構建。
他還是《安全客》季刊的作者,FreeBuf安全智庫指導專家顧問及“年度作者”。他也是一名活躍的技術博主,運營公眾號“糖果的實驗室”。


李華峰,信息安全顧問和自由撰稿人,FreeBuf安全智庫指導專家顧問,多年來一直從事網絡安全滲透測試方面的研究工作,在網絡安全部署、網絡攻擊與防禦以及社會工程學等方面有十分豐富的教學和實踐經驗。
他還是一位高產的技術作者,已出版多本原創著作和譯著,為學界和業界的網絡安全教學和實踐提供了助力。
他經常通過公眾號“邪靈工作室”給大家分享圖書相關的資料和實用的技術指南。

目錄大綱

第1章初探門徑——Web應用程序基礎理論1
1.1 Web應用程序是怎樣煉成的1
1.2程序員是如何開發Web應用程序的6
1.2.1 Web程序的分層結構7
1.2.2各司其職的程序員8
1.3研究Web應用程序的“利器” 11
1.3.1黑盒測試類工具11
1.3.2白盒測試類工具13
1.4小結14

第2章登堂入室——Web服務器與負載均衡15
2.1羅馬不是一天建成的15
2.2眾人拾柴火焰高——集群技術17
2.2.1集群技術的核心——負載均衡算法18
2.2.2實現負載均衡的設備19
2.2.3集群的高可用性21
2.2.4負載均衡設備的部署22
2.2.5集群擴展實例23
2.3用LVS實現負載均衡25
2.3.1 DR模式26
2.3.2 TUN模式26
2.3.3 NAT模式27
2.3.4 FULL NAT模式28
2.4保證負載均衡設備的高可用性28
2.5基於OpenResty的負載均衡方案32
2.6使用TOA溯源真實IP 33
2.7小結34

第3章禍起蕭牆——HTTPS和CDN的安全問題35
3.1服務器與瀏覽器溝通的橋樑——HTTP 35
3.1.1 HTTP的工作原理36
3.1.2 HTTP的缺陷37
3.2以安全為目標的HTTPS 38
3.2.1 HTTPS的工作原理38
3.2.2針對HTTPS的攻擊39
3.2.3 HSTS的工作原理40
3.2.4針對HSTS的攻擊41
3.3 CDN相關的概念43
3.3.1 HTTP範圍請求45
3.3.2 DDoS攻擊47
3.3.3放大攻擊47
3.4 RangeAmp攻擊48
3.4.1小字節範圍(SBR)攻擊49
3.4.2重疊字節範圍(OBR)攻擊50
3.5小結52

第4章四戰之地——Web服務的安全因素53
4.1 Web服務所面臨的威脅53
4.2 Web服務安全的外部環境因素54
4.2.1操作系統的漏洞55
4.2.2服務器應用程序的漏洞66
4.2.3 Docker的缺陷69
4.3 Web服務安全的內部代碼因素71
4.3.1常見的Web程序漏洞71
4.3.2 Web漏洞測試程序(以PHP DVWA為例) 73
4.3.3命令注入(Shell Injection)的成因與分析76
4.3.4文件包含漏洞的分析與利用82
4.3.5上傳漏洞的分析與利用88
4.3.6跨站請求偽造漏洞的分析與利用92
4.3.7 XSS的分析與利用96
4.4 Web服務安全檢測工具(靜態代碼審計和動態檢測) 100
4.4.1信息蒐集工具100
4.4.2漏洞掃描工具102
4.4.3 Web安全掃描工具103
4.4. 4代碼審計工具104
4.5小結105

第5章道高一尺——如何保護Web服務106
5.1 WAF基礎知識107
5.1.1 WAF簡介107
5.1.2反向代理機制108
5 .1.3 DDoS防護與WAF的區別110
5.1.4反爬蟲防護與WAF的區別110
5.1.5 WAF的工作原理110
5.2 Lua語言基礎115
5.2.1 Lua保留字115
5.2.2變量與數據結構115
5.2.3控制結構116
5.2.4函數聲明與調用117
5.2.5正則表達式121
5.3 WAF的規則編寫122
5.3.1 XSS攻擊攔截正則122
5.3.2 SQL注入攔截正則123
5.4高級攔截過濾規則124
5.5 WAF的日誌分析技術126
5.5.1 C模塊日誌擴展模塊126
5.5.2 Lua的UDP日誌發送129
5.5.3 Kafka日誌收集130
5.5.4在Conf中配置Syslog日誌輸出130
5.5.5基於log_by_lua階段實現日誌轉發131
5.6網關型WAF系統132
5.6.1安裝OpenResty 133
5.6.2安裝Lapis 133
5.6.3創建Lua Web應用133
5 .6.4 Lor框架135
5.6.5 Orange網關136
5.6.6在雲環境中部署Orange 140
5.6.7 Apache APISIX網關144
5.7流量鏡像與請求調度147
5.7.1流量鏡像與蜜罐系統的聯繫147
5.7.2配置邏輯148
5.7.3動態切換上游(蜜罐) 149
5.8動態跟踪技術151
5.8.1保證網關的安全性151
5. 8.2動態跟踪技術152
5.9小結153

第6章魔高一丈——WAF可以讓我們高枕無憂嗎154
6.1入侵者如何檢測WAF 154
6.1.1網站有無WAF保護的區別154
6.1.2檢測目標網站是否使用WAF 155
6.1.3檢測目標網站使用的WAF產品158
6.2入侵者如何繞過雲WAF 161
6.3常見的WAF繞過方法163
6.3.1利用WAF的檢查範圍164
6.3.2 WAF與操作系統的解析差異165
6.3.3利用WAF與服務器應用程序的解析差異170
6.3.4編解碼技術的差異172
6.3.5其他常用方法175
6.4小結176

第7章有跡可循——Web日誌審計177
7.1 Web服務的日誌聚合178
7.1.1 KafkaCat安裝178
7.1.2 Nginx和OpenResty日誌配置179
7.1.3用KafkaCat發送日誌180
7 .2 Kafka數據隊列服務安裝180
7.2.1 Kafka安裝與配置180
7.2.2 Zookeeper安裝與配置184
7.2.3創建索引並測試186
7.3 NxLog 187
7.3.1 NxLog安裝187
7.3.2 NxLog配置187
7.4 Graylog 189
7.5日誌自動化取證分析198
7.6小結204

第8章太公釣魚,願者上鉤——蜜罐技術205
8.1蜜罐技術簡介205
8.2蜜罐的部署208
8.2.1 Python環境安裝208
8.2.2安裝PIP 208
8.2.3安裝VirtualEnv 208
8.2.4創建Python虛擬環境208
8.2.5安裝OpenCanary 209
8.2.6蜜罐系統配置管理209
8.2.7蜜罐服務分析209
8.2.8啟動蜜罐系統214
8.3常見的蜜罐服務215
8.3.1 HTTP 216
8. 3.2 FTP 217
8.3.3 SSH 218
8.3.4 Telnet 218
8.3.5 MySQL 219
8.3.6 Git 219
8.3.7 NTP 220
8.3.8 Redis 220
8.3 .9 TCP 221
8.3.10 VNC 221
8.3.11 RDP 222
8.3.12 SIP 223
8.3.13 SNMP 223
8.3.14 Nmap 224
8.3.15 SYN探測225
8.3 .16 FIN 225
8.3.17 XmasTree 226
8.3.18 Null 227
8.3.19 MSSQL 228
8.3.20 HTTPProxy 228
8.4虛擬蜜罐技術與擴展229
8.5蜜罐運維管理234
8.6蜜罐流量監聽技術與實現236
8.6.1基於C與Pcap實現的流量分析工具236
8.6.2創建蜜罐監聽237
8.6.3編寫Makefile 239
8.6.4核心API解析239
8.6.5數據源插件243
8.6.6過濾插件245
8.6. 7日誌輸出插件246
8.7用交換機端口聚合技術實現蜜罐部署247
8.7.1交換機端口聚合與蜜罐VLAN劃分247
8.7.2單物理網卡與多IP蜜罐實例監聽248
8. 7.3案例1:捕獲內網服務發起的掃描行為248
8.7.4案例2:勒索病毒軟件監控249
8.7.5收集攻擊payload數據249
8.7.6日誌中心與威脅報警250
8 .7.7蜜罐系統的監控與運維251
8.8小結252

第9章眾擎易舉——大數據時代的Web安全253
9.1正常URL與惡意URL 254
9.2傳統的惡意URL檢測方法256
9.3當URL檢測遇上機器學習257
9.4深度學習框架258
9.5 URL的向量表示259
9.6基於LSTM的惡意URL識別模型261
9.7 URL識別模型與WAF的結合264
9.7.1自動威脅日誌採集265
9.7.2 Sklearn大數據環境267
9.7.3大數據建模實踐269
9.8小結271

第10章步步為營——網絡安全解決方案272
10.1通過命令注入漏洞進行滲透273
10.1.1攻防系統結構273
10.1.2 DVWA的反彈Shell操作275
10 .1.3日誌與數據中心276
10.2基於DSL的攔截檢查防禦278
10.2.1 DSL與小語言OpenResty EdgeLang 278
10.2.2基於OpenResty EdgeLang的攔截檢查280
10.3基於語義分析庫的威脅攻擊分析282
10.3.1語義分析原理282
10.3.2 libInjection語義分析庫283
10.3.3開源語義分析庫的局限283
10.4基於神經網絡的威脅建模手段284
10. 4.1規則泛化284
10.4.2數據神經網絡284
10.5跟踪Shell反彈執行進程285
10.5.1 System動態跟踪技術285
10.5.2 OpenResty YLang語言287
10.5.3火焰圖與動態跟踪289
10.5.4 OpenResty YSQL語言290
10.6小結292