类似推荐
编辑推荐
Web应用防火墙技术超级专家实战经验总结,阿里巴巴一线技术高手精准演绎,用HTTPS加密网页,让用户数据通信更安全。
内容简介
本书是集理论、协议细节、漏洞分析、部署建议于一体的详尽Web应用安全指南。书中具体内容包括:协议各层的漏洞,涵盖实现细节,HTTP和浏览器问题,协议漏洞;最新的攻击形式,如BEAST、CRIME、BREACH、Lucky 13等;详尽的部署建议;如何使用OpenSSL生成密钥和确认信息;如何使用Apache httpd、IIS、Nginx等进行安全配置。
作者简介
作者伊万·里斯蒂奇,资深安全专家、工程师,开发了开源应用防火墙ModSecurity以及许多SSL/TLS和PKI相关工具,并运营提供Web应用安全测试服务的SSL Labs网站。伊万·里斯蒂奇是诸多安全论坛的积极参与者,经常在Black Hat、RSA、OWASP AppSec等安全大会上发表演讲。他曾任Qualys的应用程序安全研究主任,是SSL Labs、Feisty Duck和Hardenize的创始人。
章节目录
版权信息
版权声明
前言
第1章 SSL、TLS和密码学
1.1 传输层安全
1.2 网络层
1.3 协议历史
1.4 密码学
第2章 协议
2.1 记录协议
2.2 握手协议
2.3 密钥交换
2.4 身份验证
2.5 加密
2.6 重新协商
2.7 应用数据协议
2.8 警报协议
2.9 关闭连接
2.10 密码操作
2.11 密码套件
2.12 扩展
2.13 协议限制
2.14 协议版本间的差异
第3章 公钥基础设施
3.1 互联网公钥基础设施
3.2 标准
3.3 证书
3.4 证书链
3.5 信赖方
3.6 证书颁发机构
3.7 证书生命周期
3.8 吊销
3.9 弱点
3.10 根密钥泄露
3.11 生态系统评估
3.12 进步
第4章 攻击PKI
4.1 VeriSign签发的Microsoft代码签名证书
4.2 Thawte签发的login.live.com
4.3 StartCom违规(2008)
4.4 CertStar(Comodo)签发的Mozilla证书
4.5 伪造的RapidSSL CA证书
4.6 Comodo代理商违规
4.7 StartCom违规(2011)
4.8 DigiNotar
4.9 DigiCert Sdn. Bhd.
4.10 火焰病毒
4.11 TURKTRUST
4.12 ANSSI
4.13 印度国家信息中心
4.14 广泛存在的SSL窃听
4.15 CNNIC
第5章 HTTP和浏览器问题
5.1 sidejacking
5.2 Cookie窃取
5.3 Cookie篡改
5.4 SSL剥离
5.5 中间人攻击证书
5.6 证书警告
5.7 安全指示标志
5.8 混合内容
5.9 扩展验证证书
5.10 证书吊销
第6章 实现问题
6.1 证书校验缺陷
6.2 随机数生成
6.3 心脏出血
6.4 FREAK
6.5 Logjam
6.6 协议降级攻击
6.7 截断攻击
6.8 部署上的弱点
第7章 协议攻击
7.1 不安全重新协商
7.2 BEAST
7.3 压缩旁路攻击
7.4 Lucky 13
7.5 RC4缺陷
7.6 三次握手攻击
7.7 POODLE
7.8 Bullrun
第8章 部署
8.1 密钥
8.2 证书
8.3 协议配置
8.4 密码套件配置
8.5 服务器配置和架构
8.6 问题缓解方法
8.7 钉扎
8.8 HTTP
第9章 性能优化
9.1 延迟和连接管理
9.2 TLS协议优化
9.3 拒绝服务攻击
第10章 HTTP严格传输安全、内容安全策略和钉扎
10.1 HTTP严格传输安全
10.2 内容安全策略
10.3 钉扎
第11章 OpenSSL
11.1 入门
11.2 密钥和证书管理
11.3 配置
11.4 创建私有证书颁发机构
第12章 使用OpenSSL进行测试
12.1 连接SSL服务
12.2 测试升级到SSL的协议
12.3 使用不同的握手格式
12.4 提取远程证书
12.5 测试支持的协议
12.6 测试支持的密码套件
12.7 测试要求包含SNI的服务器
12.8 测试会话复用
12.9 检查OCSP吊销状态
12.10 测试OCSP stapling
12.11 检查CRL吊销状态
12.12 测试重新协商
12.13 测试BEAST漏洞
12.14 测试心脏出血
12.15 确定Diffie-Hellman参数的强度
第13章 配置Apache
13.1 安装静态编译OpenSSL的Apache
13.2 启用TLS
13.3 配置TLS协议
13.4 配置密钥和证书
13.5 配置多个密钥
13.6 通配符和多站点证书
13.7 虚拟安全托管
13.8 为错误消息保留默认站点
13.9 前向保密
13.10 OCSP stapling
13.11 配置临时的DH密钥交换
13.12 TLS会话管理
13.13 客户端身份验证
13.14 缓解协议问题
13.15 部署HTTP严格传输安全
13.16 监视会话缓存状态
13.17 记录协商的TLS参数
13.18 使用mod_sslhaf的高级日志记录
第14章 配置Java和Tomcat
14.1 Java加密组件
14.2 Tomcat
第15章 配置Microsoft Windows和IIS
15.1 Schannel
15.2 Microsoft根证书计划
15.3 配置
15.4 保护ASP.NET网站应用的安全
15.5 Internet信息服务
第16章 配置Nginx
16.1 以静态链接OpenSSL方式安装Nginx
16.2 启用TLS
16.3 配置TLS协议
16.4 配置密钥和证书
16.5 配置多密钥
16.6 通配符证书和多站点证书
16.7 虚拟安全托管
16.8 默认站点返回错误消息
16.9 前向保密
16.10 OCSP stapling
16.11 配置临时DH密钥交换
16.12 配置临时ECDH密钥交换
16.13 TLS会话管理
16.14 客户端身份验证
16.15 缓解协议问题
16.16 部署HTTP严格传输安全
16.17 TLS缓冲区调优
16.18 日志记录
第17章 总结
看完了
HTTPS权威指南:在服务器和Web应用上部署SSL/TLS和PKI是2016年由人民邮电出版社·图灵出品出版,作者[英]伊万·里斯蒂奇。
得书感谢您对《HTTPS权威指南:在服务器和Web应用上部署SSL/TLS和PKI》关注和支持,如本书内容有不良信息或侵权等情形的,请联系本网站。
