AJAX安全技術

第1章 AJAX安全介紹
1.1 AJAx基礎知識
1.1.1 什麼是AJAX
1.1.2 動態HTML（DHTML）
1.2 AJAX架構（Architecture）的轉變過程
1.2.1 胖客戶端架構
1.2.2 瘦客戶端架構
1.2.3 AJAX︰最適合的架構
1.2.4 從安全角度看胖客戶端應用程序
1.2.5 從安全角度看瘦客戶端應用程序
1.2.6 從安全角度看AJAX架構
1.3 一場完美的攻擊風暴
1.3.1 不斷增加的復雜度、透明度及代碼量
1.3.2 社會學問題
1.3.3 AJAX應用程序︰富有吸引力的、戰略上的目標
1.4 本章小結
第2章 劫持
2.1 攻擊HighTechVactions.net
2.1.1 攻擊票務系統
2.1.2 攻擊客戶端數據綁定
2.1.3 攻擊AJAX APl
2.2 黑夜中的盜竊
第3章 Web攻擊
3.1 基本攻擊分類
3.1.1 資源枚舉
3.1.2 參數操縱
3.2 其他攻擊
3.2.1 跨站請求偽造攻擊
3.2.2 釣魚攻擊
3.2.3 拒絕服務（Denial.of-Service，DoS）
3.3 保護Web應用程序免受資源枚舉和參數操作的攻擊
3.4 本章小結
第4章 AJAX攻擊層面
4.1 什麼是攻擊層面
4.2 傳統W曲應用程序的攻擊層面
4.2.1 表單輸入
4.2.2 cookie-
4.2.3 報頭
4.2.4 隱藏的表單輸入
4.2.5 請求參數
4.2.6 上傳文件
4.3 傳統的web應用程序攻擊︰一份成績單
4.4 Web服務的攻擊層面
4.4.1 Web服務的方法
4.4.2 Web服務的定義
4.5 AJAx應用程序的攻擊層面
4.5.1 AJAX應用程序攻擊層面的來源
4.5.2 黑客的最愛
4.6 正確的輸入驗證
4.6.1 有關黑名單及其他補丁的問題
4.6.2 治標不治本
4.6.3 白名單輸入驗證
4.6.4 正則表達式
4.6.5 關于輸入驗證的其他想法
4.7 驗證富客戶端的用戶輸入
4.7.1 驗證標記語言
4.7.2 驗證二進制文件
4.7.3 驗證JavaScfipt源代碼
4.7.4 驗證序列化數據
4.8 關于由用戶提供的內容
4.9 本章小結
……
第5章 AJAX代碼的復雜性
第6章 AJAX應用程序的透明度
第7章 劫持AJAX應用程序
第8章 攻擊客戶儲存儲
第9章 離線AJAX應用程序
第10章 請求來源問題
第11章 Web Mashup和聚合程序
第12章 攻擊表現層
第13章 JavaScript蠕蟲
第14章 測試AJAX應用程序
第15章 AJAX框架分析
附錄A Samy蠕蟲源代碼
附錄B Yamanner蠕蟲源代碼

在AJAX的面前，火、車輪、電的意義都顯得淡然無光。從AJAX誕生的那一刻起，人們終于實現了夢寐以求的理想——在Web應用程序中刷新局部頁面。相信那一天James Garrett站在浴室里時，一定是上帝給了他靈感才想到了這個詞——AJAX。

但是像毀滅阿茲特克（Aztecs）的西班牙殖民者科爾蒂斯（Cortes）或者像《星球大戰（Star War）》前傳中，最初被認為是救世主、最終卻帶來毀滅的達斯‧維達一樣，很多起初認為是美好的事物結局地不一定很好。同樣，對于AJAX來說，其安全上的巨大漏洞已經成為自身的最大威脅，如果任其發展，最終也會同前面的二者一樣，產生混亂並最終毀于一旦。在這巨大的恐怖面前，為了保護無辜的人們、戰勝邪惡並重新恢復宇宙中的和平，終于有兩個人站了出來，他們便是Billy和Bran。

衷心感謝你閱讀這本書。