本书是一本为专业人士提供预防Ajax安全漏洞一手实践的入门指导书。众所周知,Ajax具备变革互联网的潜力,但危险的新安全威胁同样随之而来。本书揭示Ajax框架与生俱来的安全弱点密集区域,为开发人员创造安全应用提供指导。每一章由一个Ajax安全谬误开始,随后即将其揭穿。通读本书你将看到很多用于阐述关键知识点的真实Ajax安全漏洞案例。在书中还讲到保护Ajax应用的特殊方法,包括每种主要Web编程语言(.NET、Java和PHP)及流行新语言Ruby on Rails。
如今,越来越多的网站都被改写成AJAX应用程序,甚至传统的桌面软件也通过AJAX,迅速转向了Web领域。但是在这个过程中,人们通常都没有考虑到安全的问题。如果不恰当地设计、编写了AJAX应用程序,那么它们会比传统桌面程序存在更多的安全漏洞。AJAX开发人员无时无刻都希望有一本指南,能够指导他们如何来保护自己的应用程序——他们终于等到了这一天。
《AJAX安全技术》一书,系统地分析了当今最危险的AJAX漏洞用现实中的代码阐述了大量关键性的安全理念,并对实际中的案例,例如MySpace的Samy蠕虫病毒,进行了详尽分析。更重要的是,不管你使用何种主流的Web编程语言和环境,例如.NET、.Java或PHP,本书都给出了许多具体、前沿的建议。通过本书,你将了解到以下几点:
·如何降低AJAX特有的安全风险,包括过度细分的Web服务、 应用程序控制流程篡改,以及对程序逻辑的操控。
·如何预防针对AJAX的攻击手段,包括JavaScript劫持、持久化存储窃取,以及对mashup程序的渗透。
如何避免基于XSS和SQL注入的攻击,包括由AJAX衍生出来的SQL注入攻击(只需要两次请求就可以暴露整个后台数据库)。
·如何使用Google Gears和Dojo开发安全的离线AJAX应用程序。
·如何发现Prototype、DWR及ASRNET AJAX等AJAX框架中的安全问题以及我们自己仍需实现哪些功能。
·如何更安全地编写AJAX代码,如何确定并修改已有代码中的安全缺陷。
不管是编写或者维护AJAX应用程序的开发人员、架构师,还是打算或正在设计新AJAX程序的项目经理,以及包括QA和渗透测试人员在内的所有软件安全人士,《AJAX安全技术》—书都是必不可少的。