Ajax安全技术

第1章AJAX安全介绍

第2章劫持

第3章Web攻击

第4章AJAX攻击层面

第5章AJAX代码的复杂性

第6章AJAX应用程序的透明度

第7章劫持AJAX应用程序

第8章攻击客户端存储

第9章离线AJAX应用程序

第10章请求来源问题

第11章WebMashup和聚合程序

第12章攻击表现层

第13章JavaScript蠕虫

第14章测试AJAX应用程序

第15章AJAX框架分析

附录ASamy蠕虫源代码

附录BYamanner蠕虫源代码

　　本书是一本为专业人士提供预防Ajax安全漏洞一手实践的入门指导书。众所周知，Ajax具备变革互联网的潜力，但危险的新安全威胁同样随之而来。本书揭示Ajax框架与生俱来的安全弱点密集区域，为开发人员创造安全应用提供指导。每一章由一个Ajax安全谬误开始，随后即将其揭穿。通读本书你将看到很多用于阐述关键知识点的真实Ajax安全漏洞案例。在书中还讲到保护Ajax应用的特殊方法，包括每种主要Web编程语言（.NET、Java和PHP）及流行新语言RubyonRails。　　如今，越来越多的网站都被改写成AJAX应用程序，甚至传统的桌面软件也通过AJAX，迅速转向了Web领域。但是在这个过程中，人们通常都没有考虑到安全的问题。如果不恰当地设计、编写了AJAX应用程序，那么它们会比传统桌面程序存在更多的安全漏洞。AJAX开发人员无时无刻都希望有一本指南，能够指导他们如何来保护自己的应用程序他们终于等到了这一天。　　《AJAX安全技术》一书，系统地分析了当今最危险的AJAX漏洞用现实中的代码阐述了大量关键性的安全理念，并对实际中的案例，例如MySpace的Samy蠕虫病毒，进行了详尽分析。更重要的是，不管你使用何种主流的Web编程语言和环境，例如.NET、.Java或PHP，本书都给出了许多具体、前沿的建议。通过本书，你将了解到以下几点：　　.如何降低AJAX特有的安全风险，包括过度细分的Web服务、应用程序控制流程篡改，以及对程序逻辑的操控。　　.如何预防针对AJAX的攻击手段，包括JavaScript劫持、持久化存储窃取，以及对mashup程序的渗透。　　如何避免基于XSS和SQL注入的攻击，包括由AJAX衍生出来的SQL注入攻击(只需要两次请求就可以暴露整个后台数据库)。　　.如何使用GoogleGears和Dojo开发安全的离线AJAX应用程序。　　.如何发现Prototype、DWR及ASRNETAJAX等AJAX框架中的安全问题以及我们自己仍需实现哪些功能。　　.如何更安全地编写AJAX代码，如何确定并修改已有代码中的安全缺陷。　　不管是编写或者维护AJAX应用程序的开发人员、架构师，还是打算或正在设计新AJAX程序的项目经理，以及包括QA和渗透测试人员在内的所有软件安全人士，《AJAX安全技术》书都是必不可少的。