- A+
乌云白帽子 @blast 兄弟写的,他是俺很久之前认识就一直专精于浏览器安全的白帽子。
敢情好久没提交漏洞直接憋大招出了本书,就是标题还可以魔性一点~
集市购买地址 《白帽子讲浏览器安全》
======================================
【内容简介】
浏览器是重要的互联网入口,一旦受到漏洞攻击,将直接影响到用户的信息安全。作为攻击者有哪些攻击思路,作为用户有哪些应对手段?在本书中我们将给出解答,带你了解浏览器安全的方方面面。本书兼顾攻击者、研究者和使用者三个场景,对大部分攻击都提供了分析思路和防御方案。本书从攻击者常用技巧的“表象”深入介绍浏览器的具体实现方式,让你在知其然的情况下也知其所以然。
======================================
【编辑推荐】
√ 来自腾讯的安全经验,来自乌云平台的专业保障。
√ 浏览器威胁千变万化,从Web前端到浏览器边界突破。
√ 覆盖规范、功能实现和渲染层,实战攻防各主流现代浏览器。
√ 工具或原理只通其一不是优秀白帽子,知其所以然且能攻善守才是。
========================================
【媒体推荐】
浏览器上的安全是混乱的,W3C和WHATWG组织选择了——以标准化的形式使浏览器可以快速更新并增加新的安全策略——这样一种激进做法,来对抗浏览器上已有的和即将到来的安全风险。新的功能可以快速覆盖已有问题,但其带来的未知风险,或许更加可怕。我们必须要从Web前端到浏览器底层全面了解浏览器安全技术,在面对浏览器上千变万化的威胁时,方能做到未雨绸缪。如何做到?请阅读本书,一定不会让你失望。
——腾讯玄武实验室安全专家,《Web前端黑客技术揭秘》作者 徐少培
这本书很难得!从纯粹的Web前端安全玩法,到如何突破浏览器边界,都做了深度剖析,有许多独到见解。感谢作者能把自己的诸多实战经验分享出来。
——知道创宇技术副总裁,《Web前端黑客技术揭秘》作者 余弦
这本书对浏览器规范层面、功能实现层面及渲染层出现的安全问题,都做了较为详细的描述。其中对各种现代浏览器的实例讲解,更是非常难得。作者似乎有这样一个意图:想从每个层面将读者带入一个个奇幻世界。无论如何,这是一本很完整的浏览器安全书籍,推荐想系统学习的道友从速入手。
——双螺旋攻防实验室 李普君(长短短)
本书从应用层到系统层全面介绍了浏览器在各种场景下的安全防御及攻击思路,并且结合了很多乌云平台上的实际案例,是国内第一本全面介绍浏览器安全的书籍,对浏览器安全机制感兴趣的人员值得一读。
——乌云知识库
和传统 Web 安全的书籍不同,本书着重围绕浏览器前端技术,并以案例形式讲解;覆盖基础知识及近几年出现的技术标准,其中不乏一些有趣的案例。如果对前端安全感兴趣,本书值得一读。
——淘宝安全工程师 前端安全研究者 佳辰(EtherDream)
看过作者之前一些文章,发现他对浏览器安全有着非常专业的研究。由其将自己的相关经验整理成书,相信会是一本值得研究Web安全及浏览器安全从业人员阅读的好书。
——万达电商资深安全经理 lion_00
========================================
【作者介绍】
钱文祥(常用ID:blast),专职浏览器安全研究。安徽理工大学毕业后就职于腾讯科技(北京)有限公司,专注于PC浏览器安全研究和安全相关功能的开发。活跃于多个漏洞报告平台,曾报告过数十个安全漏洞,涵盖IE、Chrome及国产定制浏览器。参与过多个浏览器安全相关以及漏洞挖掘的项目,维护有网马解密工具Redoce。
========================================
