正版新书]Python全栈安全[美] 丹尼斯·伯恩(Dennis Byrne)著

第Ⅰ部分 密码学基础
章 纵深防御 3
1.1 攻击面 4
1.2 什么是纵深防御 6
1.2.1 安全标准 7
1.2.2 实践 8
1.. 安全基本原则 9
1.3 工具 11
1.4 小结 15
第2章 散列 17
2.1 什么是散列函数 17
2.2 原型人物 22
. 数据完整
2.4 选择加密散列函数 24
2.4.1 哪些散列函数是安全的 24
2.4.2 哪些散列函数是不安全的 25
2.5 Python中的加密散列 27
2.6 校验和函数 30
2.7 小结 31
第3章 密钥散列 33
3.1 数据身份验 33
3.1.1 密钥生成 34
3.1.2 什么是密钥散列 37
3.2 HMAC函数 39
3.3 时序攻击 43
3.4 小结 45
第4章 对称加密 47
4.1 什么是加密 47
4.2 cryptography包 50
4.2.1 危险品层 50
4.2.2 配方层 51
4.. 密钥轮换 53
4.3 什么是对称加密 54
4.3.1 分组密码 54
4.3.2 流密码 56
4.3.3 加密模式 57
4.4 小结 61
第5章 非对称加密 63
5.1 密钥分发问题 63
5.2 什么是非对称加密 64
5.3 不可否认 69
5.3.1 数字签名 70
5.3.2 RSA数字签名 71
5.3.3 RSA数字签名验 72
5.3.4 椭圆曲线数字签名 73
5.4 小结 76
第6章 传输层安全 77
6.1 SSL、TLS和HTTPS 77
6.2 中间人攻击 78
6.3 TLS握手 80
6.3.1 密码套件协商 80
6.3.2 密钥交换 81
6.3.3 服务器身份验 84
6.4 Django与HTTP 88
6.5 Gunicorn与HTTPS 91
6.5.1 自签名公钥 92
6.5.2 Strict-Transport-Security响应头 94
6.5.3 HTTPS重定向 95
6.6 TLS和requests包 96
6.7 TLS和数据库连接 97
6.8 TLS和邮件 99
6.8.1 隐式TLS 99
6.8.2 邮件客户端身份验 100
6.8.3 SMTP身份验凭据 100
6.9 小结 101
第Ⅱ部分 身份验和授权
第7章 HTTP会话管理 105
7.1 什么是HTTP会话 105
7.2 HTTP cookie 107
7.2.1 Secure指令 108
7.2.2 Domain指令 108
7.. Max-Age 109
7.2.4 浏览器长度的会话 110
7.2.5 以编程方式设置cookie 110
7.3 会话状态持久化 111
7.3.1 会话序列化程序 111
7.3.2 简单的基于缓存的会话 113
7.3.3 基于直写式缓存的会话 116
7.3.4 基于数据库的会话引擎 116
7.3.5 基于文件的会话引擎 117
7.3.6 基于cookie的会话引擎 117
7.4 小结 122
第8章 用户身份验 1
8.1 用户注册 124
8.1.1 模板 128
8.1.2 Bob注册账户 131
8.2 什么是用户身份验 132
8.2.1 内置Django视图 133
8.2.2 创建一个Django应用 134
8.. Bob登录和注销 137
8.3 简明要求身份验 139
8.4 测试身份验 140
8.5 小结 142
第9章 用户密码管理 143
9.1 密码变更工作流程 143
9.2 密码存储 149
9.2.1 加盐散列 152
9.2.2 密钥派生函数 154
9.3 配置密码散列 158
9.3.1 原生密码散列器 159
9.3.2 自定义密码散列器 160
9.3.3 Argon2密码散列 160
9.3.4 迁移密码散列器 161
9.4 密码重置工作流程 166
9.5 小结 169

0章 授权 171
10.1 应用程序级授权 172
10.1.1 权限 173
10.1.2 用户和组管理 175
10.2 强制授权 180
10.2.1 低级困难方式 180
10.2.2 高级简单方式 183
10.. 条件渲染 185
10.2.4 测试授权 186
10.3 反模式和实践 187
10.4 小结 188
1章 OAuth 2 189
11.1 给予类型 190
11.2 Bob授权Charlie 195
11.2.1 请求授权 196
11.2.2 给予授权 197
11.. 令牌交换 197
11.2.4 访问受保护的资源 198
11.3 Django OAuth Toolkit 200
11.3.1 授权服务器职责 201
11.3.2 资源服务器职责 204
11.4 requests-oauthlib 209
11.5 小结 213
第Ⅲ部分 抵御攻击
2章 使用操作系统 217
12.1 文件系统级授权 217
12.1.1 请求许可 218
12.1.2 使用临时文件 219
12.1.3 使用文件系统权限 220
12.2 调用外部可执行文件 222
12.2.1 用内部API绕过shell 224
12.2.2 使用subprocess模块 226
1. 小结 228
3章 永远不要相信输入 229
13.1 使用Pipenv进行包管理 229
13.2 YAML远程代码执行 2
13.3 XML实体扩展 5
13.3.1 二次攻击 5
13.3.2 十亿笑攻击
13.4 拒绝服务
13.5 Host标头攻击
13.6 开放重定向攻击 243
13.7 SL注入 246
13.7.1 原始SL查询 247
13.7.2 数据库连接查询 248
13.8 小结 249
4章 跨站脚本攻击 251
14.1 什么是XSS 251
14.1.1 持久型XSS 252
14.1.2 反型XSS 253
14.1.3 基于DOM的XSS 254
14.2 输入验 256
14.3 转义输出 263
14.3.1 内置的渲染实用程序 264
14.3.2 HTML属引 266
14.4 HTTP响应标头 267
14.4.1 禁用对cookie的JavaScript访问 267
14.4.2 禁用MIME类型 270
14.4.3 X-XSS-Protection标头 271
14.5 小结 272
5章 内容安全策略 273
15.1 编写内容安全策略 274
15.1.1 获取指令 276
15.1.2 导航和文档指令 280
15.2 使用django-csp部署策略 281
15.3 使用个化策略 283
15.4 报告CSP违规 286
15.5 CSP Level 3 288
15.6 小结 289
6章 跨站请求伪造 291
16.1 什么是请求伪造 291
16.2 会话管理 293
16.3 状态管理约定 295
16.4 Referer标头验 298
16.5 CSRF令牌 301
16.5.1 POST请求 301
16.5.2 不安全的请求方法 303
16.6 小结 304
7章 跨源资源共享 307
17.1 同源策略 307
17.2 简单CORS请求 309
17.3 带django-cors-headers的CORS 311
17.4 CORS预检请求 314
17.4.1 发送预检请求 314
17.4.2 发送预检响应 318
17.5 跨源发送cookie 319
17.6 CORS和CSRF抵御 321
17.7 小结 322
8章 点击劫持 3
18.1 X-Frame-Options标头 326
18.2 Content-Security-Policy标头 327
18.3 与Mallory同步 329
18.4 小结 330

Dennis Byrne 是andMe 架构团队的成员，负责保护1000 多万客户
的基因数据和隐私。在andMe 之前，Dennis 是LinkedIn 的软件。
Dennis 是一名健美运动员和GUE 洞穴潜水员。他目前住在硅谷，远离阿
(他在那里长大并求学)。

安全是一个全栈问题，包括用户接口、API、Web服务器、网络基础设施等。通过掌握强大的库、框架以及Python生态系统中的工具，你可自上而下地保护自己的系统。本书列举大量实例，插图清晰，代码丰富，准确地告诉你如何保护基于Python的Web应用程序。
《Python全栈安全》由经验丰富的安全专家Dennis Byrne撰写，讲解保护Python和基于Django的Web应用程序所需的一切，解释安全术语，揭开算法的神秘面纱。
本书开篇清晰讲解加密基础知识，然后循序渐进地讲述如何实施多层防御、安全的用户身份验安全的第三方访问，分析如何保护应用程序免受常见黑客攻击。

主要内容
●加密、散列和数字签名。
●创建和安装TLS。
●在Django中实现身份验授权、OAuth 2.0和表单
验。
防范点击劫持、跨站脚本和SL注入等攻击。