《Web之困》读书笔记

更多

0.前言

一晃5个多月没有写过东西了,时间过得很快,到了2014年的年底,趁着还没变成2015把最近看完的这本书的笔记发出来。自从工作后留给自己的空闲时间不那么多了,看的书也变少了,这本本来预计10月份看完的书一直拖到上周日才看完。近期如果有时间的话,可能会把最近遇到的一些坑或者写过的一些东西整理整理发出来。

1.书籍信息

书名:The Tangled Web – A Guide to Securing Modern Web Applications
译名:Web之困:现代Web应用安全指南
作者:Michal Zalewski
译者:朱筱丹
出版社:机械工业出版社
ISBN:978-7-111-43946-2
页数:280

2.纸张、印刷与排版

16开本,纸张较厚,行、段间距合适,字体偏小。

3.勘误

本书译者勘误页:http://book.douban.com/review/6349857/
个人总结勘误:Web之困_机械工业_1版1印_勘误或在这里下载

4.笔记与评价

阅读级别:细读。
推荐级别:细读,重复阅读。

《Web之困》这本书与常见的安全类书籍不同,并不是按照漏洞分类(如SQL注入、XSS、CSRF)安排章节,也不会告诉你Metasploit、nmap之类的安全软件或系统如何使用,而是从更加有深度的底层切入,向读者展现一幅以往极少会去了解但又十分重要的细节,并构建了一套非常完整的Web安全图景。

本书的第一部分,讨论了很多和RFC协议规范相关的细节,并解析其中潜伏的漏洞。一上来就从地址栏入手,对URL、HTTP协议进行了分析;然后又着手于页面展现,分析了HTML语言、CSS、脚本、非HTML文档和插件。

第二部分则更多的偏向于从同源入手,讲解那些由于各浏览器的混战而潜伏下来的问题。此外,还对内容识别机制、应对恶意脚本、外围网站特权等浏览器安全特性进行了讲解。

第三部分是对当前及未来一段时间内浏览器安全特性的发展趋势进行的展望。

尽管本书正文只有250页,但却包罗万象,想要很快阅读完并能很好的理解并不容易。这本书断断续续看了3个月,还只是限于书中的内容(也未能完全理解),而没有更深入的了解references中的文献。也许一段时间之后,还会再来读读这本书。

本书每章最后的《安全工程速查表》非常赞。

本书的译者很认真,还专门发布了一个帖子来跟进勘误。本书的文字偏多,且很多知识点讲解起来会很拗口,而书中时而出现的语气词能够让读者在茫茫文字中稍事休息。

总的说来,这是一本不看会后悔的书。

5.思维导图

1.Web应用安全
1.Web应用安全

2.一切从URL开始
2.一切从URL开始

3.HTTP协议
3.HTTP协议

4.HTML语言
4.HTML语言

5.层叠样式表
5.层叠样式表

6.浏览器端脚本
6.浏览器端脚本

7.非HTML类型文档
7.非HTML类型文档

8.浏览器插件产生的内容
8.浏览器插件产生的内容

9.内容隔离逻辑
9.内容隔离逻辑

10.源的继承
10.源的继承

11.同源策略之外的世界
11.同源策略之外的世界

12.其他的安全边界
12.其他的安全边界

13.内容识别机制
13.内容识别机制

14.应对恶意脚本
14.应对恶意脚本

15.外围的网站特权
15.外围的网站特权

16.新的浏览器安全特性与未来展望
16.新的浏览器安全特性与未来展望

17.其他值得注意的浏览器机制
17.其他值得注意的浏览器机制

18.常见的Web安全漏洞
18.常见的Web安全漏洞

思维导图下载:
xmind版
百度云网盘(图片版)

本文内容遵从CC3.0版权协议,转载请注明:转自Pythoner

本文链接地址:《Web之困》读书笔记

    • phoenix
    • 2014/12/30 8:20下午

    作者居然还活着 [em_jing] [em_jing] [em_jing]
    幸亏我还偶尔看一眼。。。没想到逮了个正着。。。
    那啥。。。主要是好喜欢这个页面风格。。。 [em_sbq] [em_sbq] [em_sbq]

    • 企鹅糖
    • 2015/03/18 2:35下午

    真是不错,图片很精美!希望能给图片上上色,就更好了!

    • Sai
    • 2015/07/03 10:14上午

    板式真好看,作者的思维导图也很赞 [em_zan]

  1. 译者过来感谢了!:)
    看得太认真了,比我自己都认真多了。我把你的这篇地址加到豆瓣的纠错表里去了,方便查阅:http://book.douban.com/review/6349857/ 非常感激!

    • cglxa
    • 2015/09/18 12:49下午

    楼主, 思维导图的网盘已经失效了吗? 能否分享给我email一份。感谢!!

      • alioth310
      • 2015/10/01 11:36下午

      啊?还真是。你的邮箱是啥?

        • 198ta
        • 2015/12/02 3:58下午

        能分享给我一份吗,我邮箱995486958@qq.com

    • Meowwww
    • 2015/10/01 10:32上午

    作者的思维导图相当清晰。可以推荐一下制作思维导图的这个软件吗?
    不胜感激

    • frank
    • 2016/01/13 4:39下午

    博主您好,能否麻烦也给我发一份xmind文件,非常感谢。邮箱likefrank # tom.com
    谢谢

  2. 我想问下,你写的文章的模板可以分享下吗

    • 学习一下
    • 2016/07/20 3:07下午

    [em_sdz]

    • 小计
    • 2017/03/01 10:59下午

    博主您好,能否麻烦也给我发一份xmind文件,非常感谢。 [em_sx] [em_sx]

      • alioth310
      • 2017/03/02 10:08上午

      给下你的邮箱

  3. xmind版本已经失效,能不能发给我一份呢?

      • alioth310
      • 2017/03/27 10:12下午

      已发邮件,文中链接已更新至本地下载

  1. 暂无 Trackback

[em_zan] [em_yali] [em_xiao] [em_xhj] [em_tucao] [em_tu] [em_tiaopi] [em_sx] [em_sdz] [em_sbq] [em_mobai] [em_kzh] [em_ku] [em_ksh] [em_keai] [em_jiong] [em_jing] [em_hx] [em_han] [em_ganga] [em_daxiao] [em_cool] [em_chi] [em_bu] [em_bizui] [em_ai]

return top