最近没怎么更新公众号了,一是忙,二还是忙,生活工作学习都得兼顾。不过也攒了几篇待发的文章,这周可能会发下,在发之前我决定再起一个安全攻防书籍推荐的系列,不定期推荐一两本我觉得不错或非常重要的书,并为大家介绍书的背景和上下文,书都会是英文的,因为大部分信息安全的佳作都在国外:)
今天推荐的书是
Web Application Obfuscation: '-/WAFs..Evasion..Filters//alert(/Obfuscation/)-'
这本书题目比较容易理解的意译是
Web攻击混淆技术
,副标题则是非常黑客的表达
'-/WAFs..Evasion..Filters//alert(/Obfuscation/)-',
用这么一行简练但不简单的JS代码告诉大家本书的主题是用各种猥琐的混淆技术绕过Web防火墙过滤拦截:)
本书的作者一共四位,都是Web安全界的泰山北斗:
他们早期到现在一直在分享JS安全技巧和浏览器网页安全知识,除了Rsnake,这两位也算是同期的先驱达人了。
Gareth Heyes
Mario Heiderich
其他两位作者,我可能就没太关注了~
Eduardo Alberto Vela Nava
David Lindsay
本书涉及安全技术的是下面8章,会从网页、js/vbs、无字符数字JS、CSS、PHP、web防火墙和客户端拦截,漏洞缓解绕过技术,来深入解析Web安全混淆攻防技术:
Chapter 2: “HTML”
Chapter 3: “JavaScript and VBScript”
Chapter 4: “Nonalphanumeric JavaScript”
Chapter 5: “CSS”
Chapter 6: “PHP”
Chapter 7: “SQL”
Chapter 8: “Web application firewalls and client-side filters”
Chapter 9: “Mitigating bypasses and attacks”
下面随便摘几段介绍一下:
最后,此书虽然是2011年就有了,现在流行的是HTML5安全、ECMAScript安全、js框架沙盒绕过、nosql注入、java/strurs2安全等,但不妨碍大家理解学习本书的Web安全精义,我觉得此书是Web安全中最好的书之一,无论是客户端还是服务端的安全都有涉及,书中的技术放在如今,对于绝大多数人来说也是闻所未闻的,可惜就是没有看见有人推荐 :)
推荐大家持续关注我的微信公众号
-
长按下面的二维码即可
