虽然有很多网络和IT安全方面的资源，但是直到现在，依然缺乏详细的现代web应用程序安全相关的知识。这本实用的指南提供了攻防兼备的安全观念，软件工程师可以轻松学习和应用。
Salesforce的高级安全工程师Andrew Hoffman介绍了Web应用安全的三大支柱：侦察、攻击和防御。你将学习有效研究和分析现代Web应用程序的方法，包括那些你无法直接访问的应用程序。你还将学习如何使用最新的黑客技术来入侵Web应用。最后，你将学到如何在自己的Web应用程序开发中采取缓解措施，以防止黑客攻击。
探索困扰当今Web应用程序的常见漏洞。
学习攻击者进行漏洞利用攻击所用的基本的黑客技术。
构图和记录你无法直接访问的Web应用程序。
开发并部署可以绕过常规防御机制的、定制的漏洞利用程序。
制订并部署缓解措施，保护你的应用程序免受黑客攻击。
将安全编码的最佳实践融入到你的开发生命周期中。
获取实用的技巧，帮助你提高Web应用程序的整体安全性。

安德鲁·霍夫曼（Andrew Hoffman）是Salesforce.com的高级安全工程师，负责多个JavaScript、Node.js和OSS团队的安全工作。他的专长是DOM和JavaScript安全漏洞深入研究。他曾与各大浏览器厂商、TC39和WHATWG（负责设计即将推出的JavaScript和浏览器DOM版本的组织）合作过。
Andrew一直在为即将推出的JavaScript语言安全功能“Realms”做贡献，作为一个原生的JavaScript功能，Realms将提供语言级的命名空间隔离。他还在研究“无状态（安全/纯净）模块”的潜在安全影响，这可以让Web门户在执行用户提供的JavaScript时大大降低风险。

前言
第1章 软件安全历程
1.1 黑客的起源
1.2 Enigma密码机，约1930年
1.3 自动Enigma密码破解，约1940年
1.4 电话“Phreaking”，约1950年
1.5 防Phreaking技术，约1960年
1.6 计算机黑客的起源，约1980年
1.7 互联网的兴起，约2000年
1.8 现时代的黑客，约2015年之后
1.9 小结
第一部分 侦察
第2章 Web应用侦察简介
2.1 信息收集
2.2 Web应用程序构图
2.3 小结
第3章 现代Web应用程序的结构
3.1 现代的与传统的Web应用程序
3.2 REST API
3.3 JS对象标记
3.4 JaVaScript
3.4.1 变量和作用域
3.4.2 函数
3.4.3 上下文
3.4.4 原型继承
3.4.5 异步模型
3.4.6 浏览器DOM
3.5 SPA框架
3.6 认证和授权系统
3.6.1 认证
3.6.2 授权
3.7 Web服务器
3.8 服务器端数据库
3.9 客户端数据存储
3.10 小结
第4章 寻找子域
4.1 单域多应用程序
4.2 浏览器内置的网络分析工具
4.3 公开信息利用
4.3.1 搜索引擎缓存
4.3.2 存档信息利用
4.3.3 社交媒体快照
4.4 域传送攻击
4.5 暴力破解子域
4.6 字典攻击
4.7 小结
第5章 API分析
第6章 识别第三方依赖
第7章 定位应用架构中的薄弱点
第8章 第一部分总结
第二部分 攻击
第9章 Web应用入侵简介
第10章 XSS攻击
第11章 CSRF攻击
第12章 XXE攻击
第13章 注入攻击
第14章 DoS攻击
第15章 第三方依赖漏洞利用
第16章 第二部分总结
第三部分 防御
第17章 现代Web应用加固
第18章 安全的应用架构
第19章 代码安全审查
第20章 漏洞发现
第21章 漏洞管理
第22章 防御XSS攻击
第23章 防御CSRF攻击
第24章 防御XXE攻击
第25章 防御注入攻击
第26章 防御DoS攻击
第27章 加固第三方依赖
第28章 第三部分小结
第29章 总结
作者介绍
封面介绍