日本免费精品视频,男人的天堂在线免费视频,成人久久久精品乱码一区二区三区,高清成人爽a毛片免费网站

目錄第1篇 初探瀏覽器安全 11 漏洞與瀏覽器安全 31.1 漏洞的三要素 31.2 漏洞的生命周期 41.3 瀏覽器安全概述 51.4 瀏覽器安全的現狀 71.5 瀏覽器的應對策略 91.6 “白帽子”與瀏覽器廠商的聯手協作 91.7 全書概覽 101.8 本章小結 122 瀏覽器中常見的安全概念 132.1 URL 132.1.1 URL的標準形式 152.1.2 IRI 162.1.3 URL的“可視化”問題——字形欺騙釣魚攻擊 182.1.4 國際化域名字形欺騙攻擊 192.1.5 自糾錯與Unicode字符分解映射 202.1.6 登錄信息釣魚攻擊 232.2 HTTP協議 242.2.1 HTTP HEADER 252.2.2 發起HTTP請求 262.2.3 Cookie 282.2.4 收到響應 292.2.5 HTTP協議自身的安全問題 312.2.6 注入響應頭：CRLF攻擊 312.2.7 攻擊響應：HTTP 401 釣魚 322.3 瀏覽器信息安全的保障 332.3.1 源 332.3.2 同源準則 342.3.3 源的特殊處理 342.3.4 攻擊同源準則：IE11跨任意域腳本注入一例 352.4 特殊區域的安全限制 372.4.1 安全域 372.4.2 本地域 372.5 偽協議 382.5.1 data偽協議 382.5.2 about偽協議 402.5.3 javascript/vbscript偽協議 412.5.4 偽協議邏輯出錯：某瀏覽器跨任意域腳本注入一例 422.6 本章小結 433 探索瀏覽器的導航過程 453.1 導航開始 453.1.1 瀏覽器的導航過程 463.1.2 DNS請求 463.1.3 DNS劫持和DNS污染 473.1.4 導航尚未開始時的狀態同步問題 483.1.5 實例：針對導航過程發起攻擊 493.2 建立安全連接 503.2.1 HTTPS 503.2.2 HTTPS請求中的Cookie 513.3 響應數據的安全檢查——XSS過濾器 523.3.1 IE XSS Filter的實現原理 533.3.2 Chrome XSSAuditor的工作原理 553.4 文檔的預處理 563.4.1 瀏覽器對HTML文檔的標準化 563.4.2 設置兼容模式 573.5 處理腳本 593.5.1 腳本的編碼 603.5.2 IE的CSS expression的各種編碼模式 623.5.3 瀏覽器的應對策略：CSP 633.5.4 “繞過”CSP：MIME Sniff 653.5.5 簡單的Fuzz：混淆CSS expression表達式 683.6 攻擊HTML標準化過程繞過IE/Chrome的XSS Filter 713.7 本章小結 734 頁面顯示時的安全問題 754.1 點擊劫持 764.1.1 點擊劫持頁面的構造 764.1.2 X-Frame-Options 784.2 HTML5的安全問題 804.2.1 存儲API 814.2.2 跨域資源共享 834.2.3 基于FullScreen和Notification API的新型釣魚攻擊 844.2.4 組合API后可能導致的安全問題 874.2.5 引入新的XSS 攻擊向量 874.2.6 互聯網威脅 894.3 HTTPS與中間人攻擊 924.3.1 HTTPS的綠鎖 924.3.2 HTTPS有多安全？ 944.3.3 HSTS 964.3.4 使用SSLStrip阻止HTTP升級HTTPS 974.3.5 使用Fiddler對PC端快速進行中間人攻擊測試 994.3.6 使用Fiddler腳本和AutoResponse自動發起中間人攻擊 1014.4 本章小結 1035 瀏覽器擴展與插件的安全問題 1055.1 插件 1065.1.1 ActiveX 1065.1.2 ActiveX的安全問題 1075.1.3 ActiveX的邏輯漏洞 1085.1.4 NPAPI、PPAPI 1115.2 定制瀏覽器的擴展和插件的漏洞 1135.2.1 特權API暴露 1145.2.2 DOM 修改引入攻擊向量 1145.2.3 Windows文件名相關的多個問題 1155.2.4 NPAPI DLL的問題 1165.2.5 同源檢查不完善 1175.2.6 Content Script劫持 1185.2.7 權限隔離失敗 1185.2.8 配合切核策略 本地內部頁XSS執行代碼 1185.2.9 下載服務器限制寬松 1195.2.10 TLDs判定問題 1195.2.11 經典漏洞 1205.2.12 中間人 1205.3 Adobe Flash插件與Action Script 1215.3.1 Flash的語言——Action Script 1215.3.2 Flash文檔的反編譯、再編譯與調試 1225.3.3 SWF的網絡交互：URLLoader 1245.3.4 crossdomain.xml與Flash的“沙盒” 1255.3.5 ExternalInterface 1265.3.6 FLASH XSS 1265.3.7 Microsoft Edge中的Flash ActiveX 1305.4 瀏覽器的沙盒 1315.4.1 受限令牌 1325.4.2 完整性級別與IE的保護模式 1335.4.3 任務對象 1345.5 本章小結 1356 移動端的瀏覽器安全 1376.1 移動瀏覽器的安全狀況 1386.2 移動端的威脅 1416.2.1 通用跨站腳本攻擊 1416.2.2 地址欄偽造 1426.2.3 界面偽裝 1436.3 結合系統特性進行攻擊 1446.3.1 Android一例漏洞：使用Intent URL Scheme繞過Chrome SOP 1446.3.2 iOS的一例漏洞：自動撥號泄露隱私 1466.3.3 Windows Phone一例未修補漏洞：利用Cortana顯示IE中已保存密碼 1476.4 本章小結 149第2篇 實戰網馬與代碼調試7 實戰瀏覽器惡意網頁分析 1537.1 惡意網站中“看得見的”攻防 1537.2 惡意腳本的抓取和分析 1557.2.1 發現含攻擊代碼的網址 1567.2.2 使用rDNS擴大搜索結果 1567.2.3 下載攻擊代碼 1577.2.4 搭建測試環境 1587.2.5 初識網馬反混淆工具 1587.2.6 惡意腳本中常見的編碼方式 1597.3 一個簡單的掛馬代碼的處理 1697.3.1 快速判斷掛馬 1697.3.2 JS代碼的格式化 1707.4 更為復雜的代碼處理：對Angler網馬工具包的反混淆 1707.4.1 Angler EK的特征 1707.4.2 推理：找出代碼中的“解密-執行”模式 1727.4.3 檢證：確定“解密-執行”模式的位置和方法 1757.4.4 追蹤：使用瀏覽器特性判斷用戶環境 1797.4.5 利用漏洞CVE-2014-6332發起攻擊 1887.5 本章小結 1908 調試工具與Shellcode 1918.1 調試工具的用法 1918.1.1 調試符號 1918.1.2 WinDbg的用法 1928.1.3 IDA的用法 1958.1.4 OllyDbg的用法 1998.2 與Shellcode的相關名詞 2018.2.1 機器指令 2018.2.2 控制關鍵內存地址 2038.2.3 NOP Slide 2048.2.4 Magic Number 0x8123 2058.3 Shellcode的處理 2058.3.1 實現通用的Shellcode 2068.3.2 調試網馬中的Shellcode 2128.4 本章小結 218第3篇 深度探索瀏覽器漏洞9 漏洞的挖掘 2219.1 挖0day 2219.1.1 ActiveX Fuzzer 的原理 2219.1.2 使用AxMan Fuzzer來Fuzz ActiveX插件 2229.1.3 現場復現 2259.2 DOM Fuzzer的搭建 2299.2.1 搭建運行Grinder的環境 2309.2.2 Fuzzer的結構與修改 2319.2.3 現場復現 2329.3 崩潰分析 2339.3.1 哪些典型崩潰不能稱作瀏覽器漏洞 2339.3.2 ActiveX崩潰一例 2369.3.3 IE11崩潰一例 2389.4 本章小結 24410 網頁的渲染 24510.1 網頁的渲染 24510.1.1 渲染引擎 24510.1.2 DOM結構模型 24710.1.3 IE解析HTML的過程 24910.1.4 IE的Tokenize 25110.1.5 Chrome解析HTML的過程 25310.1.6 Chrome的Tokenize 25410.2 元素的創建 25610.2.1 IE中元素的創建過程 25610.2.2