這本書其實在上個月已購入,蠻新的一本書,他其實在今年2013一月份就已出版。
然後我一直拖到這幾天才開始看,我覺得還蠻不錯的,因為我平常也很少接觸這樣的議題,也沒有真的被駭過還是怎麼樣的,不過我覺得這本書的確有提到很多前端人員應該知道的一些防範基礎以及網站的弱點,算是值得一看。
關於網站的安全,以前很多人給我的觀念是後端有檔就好,但我當了前端才知道其實前後端都要檔,而且是必定要做的事情(心虛地寫出這句話xd),不過這本很少提及後端的部分,著重在前端的黑客部分。
如果想知道其他的,可參考OWASP的TOP10
(不過top10只是指出前10名,10名以後的也要關注一下)
這本書所介紹的範圍指 client端,或者瀏覽器端
主要的議題有:
- XSS(Cross site scripting)
- CSRF (Cross site request forgery) [forgery:偽造的意思] aka 跨站請求偽造
- CSS的風險
- cookie的安全
- 當然也有介紹flash的部分像是crossdomain.xml的部分等等,不過我不懂Flash所以這部份我就沒翻到多少
- 介面操作挾持
- 如何發掘漏洞
- 如何利用漏洞
- HTML5的安全
- 一些案例的介紹
後記 :
- 前端有很多的漏洞其實都圍繞在同一件事情那就是瀏覽器的同源策略,下一篇可能會寫這個:P。
- 網路的世界都是Data,有存在server端的, client端的, 正在傳輸的(JSON..),等等,在資料的傳輸之間每個環節都有可能有安全上的漏洞。
- 然後我覺得最可怕的 clickjacking 跟 tapjacking(觸屏挾持) 以及 HTML5 的安全 xd
- XSS雖然名為跨站腳本,這裡的'跨站'指的是突破瀏覽器的同源策略,但重點並不在跨站,而應該是在腳本(script)
- 我覺得要當黑客也不是一件簡單的事....,中間有一段我其實沒看懂,可能資歷不夠深吧Orz..
參考:
Web2.0 Hacking
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
http://vdisk.weibo.com/u/1652595727
沒有留言:
張貼留言
若你看的文章,時間太久遠的問題就別問了,因為我應該也忘了... XD