新書推薦:
《
乐道文库·什么是秦汉史
》
售價:HK$
82.8
《
汉娜·阿伦特与以赛亚·伯林 : 自由、政治与人性
》
售價:HK$
109.8
《
女性与疯狂(女性主义里程碑式著作,全球售出300万册)
》
售價:HK$
112.7
《
药食同源中药鉴别图典
》
售價:HK$
68.8
《
设计中的比例密码:建筑与室内设计
》
售價:HK$
89.7
《
冯友兰和青年谈心系列:看似平淡的坚持
》
售價:HK$
55.8
《
汉字理论与汉字阐释概要 《说解汉字一百五十讲》作者李守奎新作
》
售價:HK$
78.2
《
汗青堂丛书144·决战地中海
》
售價:HK$
172.5
|
編輯推薦: |
本书主要内容:
- 介绍密码学和新的TLS协议版本
- 讨论各个层面上的弱点,涵盖实施问题、HTTP和浏览器问题以及协议漏洞
- 分析新的攻击,如BEAST、CRIME、BREACH、Lucky 13、RC4、三次握手和心脏出血
- 提供全面的部署建议,包括严格传输安全、内容安全策略和钉扎等高级技术
- 使用OpenSSL生成密钥和证书,创建私有证书颁发机构
- 使用OpenSSL检查服务器漏洞
- 给出使用Apache httpd、IIS、Java、Nginx、Microsoft Windows和Tomcat进行安全服务器配置的实际建议
沃通电子认证服务有限公司(WoSign)审读
|
內容簡介: |
本书是集理论、协议细节、漏洞分析、部署建议于一体的详尽Web应用安全指南。书中具体内容包括:密码学基础,TLS协议,PKI体系及其安全性,HTTP和浏览器问题,协议漏洞;新的攻击形式,如BEAST、CRIME、BREACH、Lucky 13等;详尽的部署建议;如何使用OpenSSL生成密钥和确认信息;如何使用Apache httpd、IIS、Nginx等进行安全配置。
|
關於作者: |
Ivan Risti?
杰出安全专家、工程师,开发了开源应用防火墙ModSecurity以及许多SSLTLS和PKI相关工具,并运营提供Web应用安全测试服务的SSL Labs网站。Ivan Risti?是诸多安全论坛的积极参与者,经常在Black Hat、RSA、OWASP AppSec等安全大会上发表演讲。他曾任Qualys的应用程序安全研究主任,是SSL Labs、Feisty Duck和Hardenize的创始人。
杨洋
前阿里巴巴SSLTLS、密码学和网络安全领域专家,曾负责阿里巴巴集团全站HTTPS和7层DDoS防御等产品的核心设计和研发。
李振宇
阿里巴巴运维专家,负责阿里巴巴集团HTTPS证书管理、架构设计等相关工作。
蒋锷
阿里巴巴应用运维专家,负责阿里巴巴集团HTTPS接入平台的建设,同时担任阿里巴巴全站HTTPS项目总项目经理,助力阿里巴巴进入HTTPS时代。
周辉
阿里巴巴应用运维专家,负责阿里全站HTTPS性能优化以及淘宝海外用户访问性能优化。
陈传文
前阿里巴巴集团专家,曾负责Tengine以及HTTPS接入层设计与研发。现专注于无线安全方面的研究探索工作。
|
目錄:
|
第1章 SSL、TLS和密码学1
1.1 传输层安全1
1.2 网络层2
1.3 协议历史3
1.4 密码学4
1.4.1 构建基块4
1.4.2 协议12
1.4.3 攻击密码13
1.4.4 衡量强度13
1.4.5 中间人攻击15
第2章 协议19
2.1 记录协议19
2.2 握手协议21
2.2.1 完整的握手21
2.2.2 客户端身份验证26
2.2.3 会话恢复28
2.3 密钥交换29
2.3.1 RSA密钥交换30
2.3.2 Diffie-Hellman密钥交换31
2.3.3 椭圆曲线Diffie-Hellman密钥交换33
2.4 身份验证34
2.5 加密34
2.5.1 序列加密34
2.5.2 分组加密35
2.5.3 已验证的加密36
2.6 重新协商37
2.7 应用数据协议38
2.8 警报协议38
2.9 关闭连接39
2.10 密码操作39
2.10.1 伪随机函数39
2.10.2 主密钥40
2.10.3 密钥生成40
2.11 密码套件41
2.12 扩展42
2.12.1 应用层协议协商43
2.12.2 证书透明度44
2.12.3 椭圆曲线功能44
2.12.4 心跳45
2.12.5 次协议协商46
2.12.6 安全重新协商47
2.12.7 服务器名称指示47
2.12.8 会话票证48
2.12.9 签名算法48
2.12.10 OCSP stapling49
2.13 协议限制49
2.14 协议版本间的差异50
2.14.1 SSL 350
2.14.2 TLS 1.050
2.14.3 TLS 1.150
2.14.4 TLS 1.251
第3章 公钥基础设施52
3.1 互联网公钥基础设施52
3.2 标准54
3.3 证书55
3.3.1 证书字段55
3.3.2 证书扩展57
3.4 证书链58
3.5 信赖方60
3.6 证书颁发机构61
3.7 证书生命周期62
3.8 吊销63
3.9 弱点63
3.10 根密钥泄露65
3.11 生态系统评估66
3.12 进步68
第4章 攻击PKI71
4.1 VeriSign签发的Microsoft代码签名证书71
4.2 Thawte签发的login.live.com72
4.3 StartCom违规(2008)72
4.4 CertStar(Comodo)签发的Mozilla证书73
4.5 伪造的RapidSSL CA证书73
4.5.1 前缀选择碰撞攻击75
4.5.2 创建碰撞证书75
4.5.3 预测前缀76
4.5.4 接下来发生的事78
4.6 Comodo代理商违规78
4.7 StartCom违规(2011)80
4.8 DigiNotar80
4.8.1 公众的发现80
4.8.2 一个证书颁发机构的倒下81
4.8.3 中间人攻击82
4.8.4 ComodoHacker宣布负责83
4.9 DigiCert Sdn. Bhd.85
4.10 火焰病毒85
4.10.1 火焰病毒对抗Windows更新86
4.10.2 火焰病毒对抗Windows终端服务87
4.10.3 火焰病毒对抗MD588
4.11 TURKTRUST89
4.12 ANSSI90
4.13 印度国家信息中心91
4.14 广泛存在的SSL窃听91
4.14.1 Gogo91
4.14.2 Superfish和它的朋友们92
4.15 CNNIC93
第5章 HTTP和浏览器问题95
5.1 sidejacking95
5.2 Cookie窃取97
5.3 Cookie篡改98
5.3.1 了解HTTP Cookie98
5.3.2 Cookie篡改攻击99
5.3.3 影响102
5.3.4 缓解方法103
5.4 SSL剥离103
5.5 中间人攻击证书104
5.6 证书警告105
5.6.1 为什么有这么多无效证书107
5.6.2 证书警告的效果108
5.6.3 点击—通过式警告与例外109
5.6.4 缓解方法110
5.7 安全指示标志110
5.8 混合内容112
5.8.1 根本原因112
5.8.2 影响114
5.8.3 浏览器处理114
5.8.4 混合内容的流行程度116
5.8.5 缓解方法117
5.9 扩展验证证书118
5
|
|