Web应用安全权威指南 - (EPUB全文下载)

文件大小：6.58 mb。
文件格式：epub 格式。
书籍内容：

版权信息
书名：Web应用安全权威指南
作者：（日） 徳丸浩
译者：赵文，刘斌
ISBN：978-7-115-37047-1
本书由北京图灵文化发展有限公司发行数字版。版权所有，侵权必究。
您购买的图灵电子书仅供您个人使用，未经授权，不得以任何方式复制和传播本书内容。
我们愿意相信读者具有这样的良知和觉悟，与我们共同保护知识产权。
如果购买者有侵权行为，我们可能对该用户实施包括但不限于关闭该帐号等维权措施，并可能追究法律责任。
图灵社区会员 ptpress（libowen@ptpress.com.cn） 专享 尊重版权
 
推荐序
译者序
前言
谢辞
第 1 章　什么是 Web 应用的安全隐患
1.1　安全隐患即“能用于作恶的 Bug”
1.2　为什么存在安全隐患会有问题
1.3　产生安全隐患的原因
1.4　安全性 Bug 与安全性功能
1.5　本书的结构
第 2 章　搭建试验环境
2.1　试验环境概要
2.2　安装 VMware Player
2.3　安装虚拟机及运行确认
2.4　安装 Fiddler
第 3 章　Web 安全基础 ： HTTP、会话管理、同源策略
3.1　HTTP 与会话管理
3.2　被动攻击与同源策略
第 4 章　Web 应用的各种安全隐患
4.1　Web 应用的功能与安全隐患的对应关系
4.2　输入处理与安全性
4.3　页面显示的相关问题
4.3.1　跨站脚本（基础篇）
4.3.2　跨站脚本（进阶篇）
4.3.3　错误消息导致的信息泄漏
4.4　SQL 调用相关的安全隐患
4.4.1　SQL 注入
4.5　关键处理中引入的安全隐患
4.5.1　跨站请求伪造（CSRF）
4.6　不完善的会话管理
4.6.1　会话劫持的原因及影响
4.6.2　会话 ID 可预测
4.6.3　会话 ID 嵌入 URL
4.6.4　固定会话 ID
4.7　重定向相关的安全隐患
4.7.1　自由重定向漏洞
4.7.2　HTTP 消息头注入
4.7.3　重定向相关的安全隐患总结
4.8　Cookie 输出相关的安全隐患
4.8.1　Cookie 的用途不当
4.8.2　Cookie 的安全属性设置不完善
4.9　发送邮件的问题
4.9.1　发送邮件的问题概要
4.9.2　邮件头注入漏洞
4.10　文件处理相关的问题
4.10.1　目录遍历漏洞
4.10.2　内部文件被公开
4.11　调用 OS 命令引起的安全隐患
4.11.1　OS 命令注入
4.12　文件上传相关的问题
4.12.1　文件上传问题的概要
4.12.2　通过上传文件使服务器执行脚本
4.12.3　文件下载引起的跨站脚本
4.13　include 相关的问题
4.13.1　文件包含攻击
4.14　eval 相关的问题
4.14.1　eval 注入
4.15　共享资源相关的问题
4.15.1　竞态条件漏洞
第 5 章　典型安全功能
5.1　认证
5.1.1　登录功能
5.1.2　针对暴力破解攻击的对策
5.1.3　密码保存方法
5.1.4　自动登录
5.1.5　登录表单
5.1.6　如何显示错误消息
5.1.7　退出登录功能
5.1.8　认证功能总结
5.2　账号管理
5.2.1　用户注册
5.2.2　修改密码
5.2.3　修改邮箱地址
5.2.4　密码找回
5.2.5　账号冻结
5.2.6　账号删除
5.2.7　账号管理总结
5.3　授权
5.3.1　什么是授权
5.3.2　典型的授权漏洞
5.3.3　授权管理的需求设计
5.3.4　如何正确实现授权管理
5.3.5　总结
5.4　日志输出
5.4.1　日志输出的目的
5.4.2　日志种类
5.4.3　有关日志输出的需求
5.4.4　实现日志输出
5.4.5　总结
第 6 章　字符编码和安全
6.1　字符编码和安全概要
6.2　字符集
6.3　字符编码方式
6.4　由字符编码引起的漏洞总结
6.5　如何正确处理字符编码
6.6　总结
第 7 章　如何提高 Web 网站的安全性
7.1　针对 Web 服务器的攻击途径和防范措施
7.1.1　利用基础软件漏洞进行攻击
7.1.2　非法登录
7.1.3　对策
7.2　防范伪装攻击的对策
7.2.1　网络伪装的手段
7.2.2　钓鱼攻击
7.2.3　Web 网站的伪装攻击对策
7.3　防范网络监听、篡改的对策
7.3.1　网络监听、篡改的途径
7.3.2　中间人攻击
7.3.3　对策
7.4　防范恶意软件的对策
7.4.1　什么是 Web 网站的恶意软件对策
7.4.2　恶意软件的感染途径
7.4.3　Web 网站恶意软件防范对策概要
7.4.4　如何确保服务器不被恶意软件感染
7.5　总结
第 8 章　开发安全的 Web 应用所需要的管理
8.1　开发管理中的安全对策概要
8.2　开发体制
8.3　开发过程
8.3.1　规划阶段的注意事项
8.3.2　招标时的注意事项
8.3.3　需求分析时的注意事项
8.3.4　概要设计的推进方法
8.3.5　详细设计和编码阶段的注意事项
8.3.6　安全性测试的重要性及其方法
8.3.7　Web 健康诊断基准
8.3.8　承包方测试
8.3.9　发包方测试（验收）
8.3.10　运维阶段的注意事项
8.4　总结
 
推荐序
我投身信息安全产业领域已经有十五个年头了。过去我通过端口扫描，探测服务器的操作系统类型；防火墙出现后，我又转攻 Web 应用安全，结交了很多业内的顶级信息安全专家，与他们进行了大量的交流。
互联网的出现使得大家从传统的纸质信件传递转变为通过互联网电子邮件收发邮件；社交网络的出现，让我们得以通过互联网来结交更多的朋友。然而，我们在享受这些便利的同时，也承受着恶意钓鱼、跨站脚本攻击、恶意网马植入等风险。这些行为造成用户的信息泄漏，银行卡、信用卡信息被恶意盗刷，以致产生大量的经济损失。
通过国际权威的 Web 应用安全机构 OWASP 所发布的 TOP Ten，可以看出 Web 安全的重要性。现在全球有 ............

书籍插图：

以上为书籍内容预览，如需阅读全文内容请下载EPUB源文件，祝您阅读愉快。