现代业务下的WEB架构安全研发指南--掘金小册课程推荐/优惠

掘金平台首本WEB安全领域方向的小册

作者介绍

银空飞羽，曾负责某SRC（安全应急响应中心）整体运营，现在某一线互联网大厂从事安全建设工作。偶尔运营个人公众号：飞羽技术工坊。

掘金个人主页：https://juejin.cn/user/1086796427178429

小册介绍

随着国家对网络安全要求的不断提高，企业安全团队在代码评审、测试、上线等环节都加强了安全检查。但漏洞就像野草，总是除之不尽。更让人头疼的是，每次漏洞修复都要打乱原有的开发节奏。作为研发人员的你，是否也厌倦了被安全团队追着修漏洞的日子？

安全问题的根源在于代码，而代码出自开发者之手。与其被动修复，不如主动预防，这正是编写这本小册的初衷。

因此作者结合自身真实工作经验，聚焦于现代WEB架构下的安全问题，编写该小册希望可以让你接触到：

• 漏洞修复：聚焦主流 WEB 架构下的安全问题，包括前后端漏洞、业务逻辑漏洞等
• 案例复现：结合真实漏洞利用思路手法，通过模拟漏洞场景，直观感受漏洞的危害
• 安全编码： 直击漏洞根源，从代码层面分析问题，总结预防方案，养成安全开发习惯
• 意识提升：学会以攻击者的视角审视代码，提前发现潜在风险

小册都将是作者以往工作中真实经验总结，围绕当前主流WEB技术的安全问题，结合真实业务场景，而非传统的烂大街理论，会讲解漏洞现实利用不同方式来科普漏洞的危害，打开大家的安全思路，带大家去思考为什么这是不安全的，而什么是安全的，具体应该怎么做才是真正无安全隐患的。

大多数篇章中，都会详细的讲解漏洞，同时也会开发出模拟真实漏洞场景的demo去研究危害，复现漏洞，最终会对代码进行分析，并完成漏洞修复，同时会总结多角度的预防方案。

小册大纲

小册共分为三大部分 （五大篇章） ，分别是

• 扫盲篇： 普及当前企业视角下的漏洞知识
• 漏洞篇： 围绕前端、后端以及业务逻辑进行主流漏洞讲解，以实际案例进行利用复现并修复
• 规范篇： 讲解当下常见的提高安全能力的手段

你会学到什么？

• 提高编码安全意识：增强对漏洞的源头认知，从研发阶段减少安全隐患
• 深化安全知识理解：结合实际业务案例，通过代码模拟，剖析漏洞成因、利用复现及修复方案
• 激发安全领域兴趣：掌握常见漏洞挖掘技巧，可以尝试提交漏洞到企业 SRC，实现技能变现

适宜人群

• 研发工程师 ： 无论你是新手还是资深，这本小册将系统性地填补你的安全知识盲区，提升代码安全水位
• 在校学生： 在技术栈学习之初打好安全基础，显著提升求职竞争力，项目作品更具专业性和安全性
• 安全爱好者： 了解漏洞如何从代码中产生，学习漏洞有哪些利用思路，为漏洞挖掘积累知识
• 技术团队负责人： 系统性提升团队的安全意识和基础安全能力，降低项目整体风险
• 个人开发者： 在没有专职安全人员的情况下，为自己和产品构建基本的安全防护能力

• 前言

• 扫盲篇：企业安全视角下的安全漏洞

• 前端篇：前端信息泄露

• 前端篇：跨站脚本（XSS）

• 前端篇：跨站请求伪造（CSRF）

• 前端篇：CORS策略绕过

• 前端篇：JSONP劫持

• 前端篇：浏览器安全策略

• 后端篇：远程命令执行（RCE）

• 后端篇：服务端请求伪造（SSRF）

• 后端篇：业务拒绝服务

• 后端篇：SQL注入

• 后端篇：URL重定向

• 后端篇：条件竞争

• 后端篇：XML外部实体注入（XXE）

• 逻辑篇：未授权访问（外出锁门了吗）

• 后端篇：文件上传风险

• 学习群修复通知

• 逻辑篇：消息轰炸（网络空间轰炸机）

• 逻辑篇：越权访问（这是该看的吗）

• 逻辑篇：通知篡改（见缝插针）

• 规范篇：应用服务安全架构（汝可识得此阵）

• 逻辑篇：支付类缺陷（听过0元购吗）

• 逻辑篇：账户流程缺陷（账号三板斧）

• 规范篇：数据采集与传输（数据安全规范前篇）

• 规范篇：数据存储使用与销毁（数据安全规范后篇）

• 规范篇：应用流量安全（前端不靠谱）

• 规范篇：办公信息安全（红线不能踩）

• 规范篇：供应链安全（入关检查）

• 尾篇