AJAX安全技术

《AJAX安全技术》一书，系统地分析了当今最危险的AJAX漏洞用现实中的代码阐述了大量关键性的安全理念，并对实际中的案例，例如MySpace的Samy蠕虫病毒，进行了详尽分析。更重要的是，不管你使用何种主流的Web编程语言和环境，例如.NET、.Java或PHP，本书都给出了许多具体、前沿的建议。

本书阐述知识：

如何降低AJAX特有的安全风险，包括过度细分的Web服务、应用程序控制流程篡改，以及对程序逻辑的操控。如何预防针对AJAX的攻击手段，包括JavaScript劫持、持久化存储窃取，以及对mashup程序的渗透。如何避免基于XSS和SQL注入的攻击，包括由AJAX衍生出来的SQL注入攻击(只需要两次请求就可以暴露整个后台数据库)。如何使用GoogleGears和Dojo开发安全的离线AJAX应用程序。如何发现Prototype、DWR及ASRNETAJAX等AJAX框架中的安全问题以及我们自己仍需实现哪些功能。如何更安全地编写AJAX代码，如何确定并修改已有代码中的安全缺陷。不管是编写或者维护AJAX应用程序的开发人员、架构师，还是打算或正在设计新AJAX程序的项目经理，以及包括QA和渗透测试人员在内的所有软件安全人士，《AJAX安全技术》书都是必不可少的。

作者简介：

BillyHoffman是惠普安全实验室的首席安全研究员，专注于如何自动发掘Web应用程序中的漏洞。他经常在BlackHat、RSA、Toorcon、Shmoocon、Infosec及AJAXWorld等会议上发表演讲，也曾受到过FBI的邀请进行演讲。

目录章节：

第1章AJAX安全介绍第2章劫持第3章Web攻击第4章AJAX攻击层面第5章AJAX代码的复杂性第6章AJAX应用程序的透明度第7章劫持AJAX应用程序第8章攻击客户端存储第9章离线AJAX应用程序第10章请求来源问题第11章WebMashup和聚合程序第12章攻击表现层第13章JavaScript蠕虫第14章测试AJAX应用程序第15章AJAX框架分析附录ASamy蠕虫源代码附录BYamanner蠕虫源代码

Tags:AJAX.