得书 - 好书推荐、正版图书免费阅读

编辑推荐

Web应用防火墙技术超级专家实战经验总结，阿里巴巴一线技术高手精准演绎。

内容简介

本书是集理论、协议细节、漏洞分析、部署建议于一体的详尽Web应用安全指南。书中具体内容包括：密码学基础，TLS协议，PKI体系及其安全性，HTTP和浏览器问题，协议漏洞；新的攻击形式，如BEAST、CRIME、BREACH、Lucky 13等；详尽的部署建议；如何使用OpenSSL生成密钥和确认信息；如何使用Apache httpd、IIS、Nginx等进行安全配置。

作者简介

作者伊万·里斯蒂奇，资深安全专家、工程师，开发了开源应用防火墙ModSecurity以及许多SSL/TLS和PKI相关工具，并运营提供Web应用安全测试服务的SSL Labs网站。伊万·里斯蒂奇是诸多安全论坛的积极参与者，经常在Black Hat、RSA、OWASP AppSec等安全大会上发表演讲。他曾任Qualys的应用程序安全研究主任，是SSL Labs、Feisty Duck和Hardenize的创始人。

章节目录

版权信息

推荐序

译者序

前言

谢辞

第1章 什么是 Web 应用的安全隐患

1.1 安全隐患即“能用于作恶的 Bug”

1.2 为什么存在安全隐患会有问题

1.3 产生安全隐患的原因

1.4 安全性 Bug 与安全性功能

1.5 本书的结构

第2章 搭建试验环境

2.1 试验环境概要

2.2 安装 VMware Player

2.3 安装虚拟机及运行确认

2.4 安装 Fiddler

第3章 Web 安全基础 ： HTTP、会话管理、同源策略

3.1 HTTP 与会话管理

3.2 被动攻击与同源策略

第4章 Web 应用的各种安全隐患

4.1 Web 应用的功能与安全隐患的对应关系

4.2 输入处理与安全性

4.3 页面显示的相关问题

4.3.1 跨站脚本（基础篇）

4.3.2 跨站脚本（进阶篇）

4.3.3 错误消息导致的信息泄漏

4.4 SQL 调用相关的安全隐患

4.4.1 SQL 注入

4.5 关键处理中引入的安全隐患

4.5.1 跨站请求伪造（CSRF）

4.6 不完善的会话管理

4.6.1 会话劫持的原因及影响

4.6.2 会话 ID 可预测

4.6.3 会话 ID 嵌入 URL

4.6.4 固定会话 ID

4.7 重定向相关的安全隐患

4.7.1 自由重定向漏洞

4.7.2 HTTP 消息头注入

4.7.3 重定向相关的安全隐患总结

4.8 Cookie 输出相关的安全隐患

4.8.1 Cookie 的用途不当

4.8.2 Cookie 的安全属性设置不完善

4.9 发送邮件的问题

4.9.1 发送邮件的问题概要

4.9.2 邮件头注入漏洞

4.10 文件处理相关的问题

4.10.1 目录遍历漏洞

4.10.2 内部文件被公开

4.11 调用 OS 命令引起的安全隐患

4.11.1 OS 命令注入

4.12 文件上传相关的问题

4.12.1 文件上传问题的概要

4.12.2 通过上传文件使服务器执行脚本

4.12.3 文件下载引起的跨站脚本

4.13 include 相关的问题

4.13.1 文件包含攻击

4.14 eval 相关的问题

4.14.1 eval 注入

4.15 共享资源相关的问题

4.15.1 竞态条件漏洞

第5章 典型安全功能

5.1 认证

5.1.1 登录功能

5.1.2 针对暴力破解攻击的对策

5.1.3 密码保存方法

5.1.4 自动登录

5.1.5 登录表单

5.1.6 如何显示错误消息

5.1.7 退出登录功能

5.1.8 认证功能总结

5.2 账号管理

5.2.1 用户注册

5.2.2 修改密码

5.2.3 修改邮箱地址

5.2.4 密码找回

5.2.5 账号冻结

5.2.6 账号删除

5.2.7 账号管理总结

5.3 授权

5.3.1 什么是授权

5.3.2 典型的授权漏洞

5.3.3 授权管理的需求设计

5.3.4 如何正确实现授权管理

5.3.5 总结

5.4 日志输出

5.4.1 日志输出的目的

5.4.2 日志种类

5.4.3 有关日志输出的需求

5.4.4 实现日志输出

5.4.5 总结

第6章 字符编码和安全

6.1 字符编码和安全概要

6.2 字符集

6.3 字符编码方式

6.4 由字符编码引起的漏洞总结

6.5 如何正确处理字符编码

6.6 总结

第7章 如何提高 Web 网站的安全性

7.1 针对 Web 服务器的攻击途径和防范措施

7.1.1 利用基础软件漏洞进行攻击

7.1.2 非法登录

7.1.3 对策

7.2 防范伪装攻击的对策

7.2.1 网络伪装的手段

7.2.2 钓鱼攻击

7.2.3 Web 网站的伪装攻击对策

7.3 防范网络监听、篡改的对策

7.3.1 网络监听、篡改的途径

7.3.2 中间人攻击

7.3.3 对策

7.4 防范恶意软件的对策

7.4.1 什么是 Web 网站的恶意软件对策

7.4.2 恶意软件的感染途径

7.4.3 Web 网站恶意软件防范对策概要

7.4.4 如何确保服务器不被恶意软件感染

7.5 总结

第8章 开发安全的 Web 应用所需要的管理

8.1 开发管理中的安全对策概要

8.2 开发体制

8.3 开发过程

8.3.1 规划阶段的注意事项

8.3.2 招标时的注意事项

8.3.3 需求分析时的注意事项

8.3.4 概要设计的推进方法

8.3.5 详细设计和编码阶段的注意事项

8.3.6 安全性测试的重要性及其方法

8.3.7 Web 健康诊断基准

8.3.8 承包方测试

8.3.9 发包方测试（验收）

8.3.10 运维阶段的注意事项

8.4 总结

看完了

Web应用安全权威指南是2014年由人民邮电出版社·图灵出品出版,作者[英]伊万·里斯蒂奇。

得书感谢您对《Web应用安全权威指南》关注和支持，如本书内容有不良信息或侵权等情形的，请联系本网站。