Web應用安全權威指南

第1章 什么是 Web應用的安全隱患
1-1 安全隱患即“能用于作惡的Bug” 1-2 為什么存在安全隱患會有問題 1-3 產生安全隱患的原因 1-4 安全性 Bug與安全性功能 1-5 本書的結構 第2章 搭建試驗環(huán)境 2-1試驗環(huán)境概要 2-2 安裝 VMware Player　 2-3 安裝虛擬機及運行確認 2-4 安裝 Fiddler 參考：虛擬機的數(shù)據(jù)一覽 參考：如果無法連接試驗環(huán)境的POP3服務器 第3章 Web 安全基礎：HTTP、會話管理、同源策略 3-1 HTTP 與會話管理 3-2 被動攻擊與同源策略 第4章 Web應用的各種安全隱患 4-1 Web 應用的功能與安全隱患的對應關系 4-2 輸入處理與安全性 4-3 頁面顯示的相關問題 4.3.1 跨站腳本（基礎篇） 4.3.2 跨站腳本（進階篇） 4.3.3 錯誤消息導致的信息泄漏 4-4 SQL 調用相關的安全隱患 4.4.1 SQL 注入 4-5 關鍵處理中引入的安全隱患 4.5.1 跨站請求偽造（CSRF） 4-6 不完善的會話管理 4.6.1 會話劫持的原因及影響 4.6.2 會話 ID可預測 4.6.3 會話 ID嵌入URL 4.6.4 固定會話 ID 4-7 重定向相關的安全隱患 4.7.1 自由重定向漏洞 4.7.2 HTTP 消息頭注入 4.7.3 重定向相關的安全隱患總結 4-8 Cookie 輸出相關的安全隱患 4.8.1 Cookie 的用途不當 4.8.2 Cookie 的安全屬性設置不完善　 4-9 發(fā)送郵件的問題 4.9.1 發(fā)送郵件的問題概要 4.9.2 郵件頭注入漏洞 4-10 文件處理相關的問題 4.10.1 目錄遍歷漏洞 4.10.2 內部文件被公開 4-11 調用 OS命令引起的安全隱患 4.11.1 OS 命令注入 4-12 文件上傳相關的問題 4.12.1 文件上傳問題的概要 4.12.2 通過上傳文件使服務器執(zhí)行腳本 4.12.3 文件下載引起的跨站腳本 4-13 include 相關的問題 4.13.1 文件包含攻擊 4-14 eval 相關的問題 4.14.1 eval 注入　 4-15 共享資源相關的問題 4.15.1 競態(tài)條件漏洞 第5章 典型安全功能 5-1 認證　 5.1.1 登錄功能 5.1.2 針對暴力破解攻擊的對策 5.1.3 密碼保存方法 5.1.4 自動登錄 5.1.5 登錄表單 5.1.6 如何顯示錯誤消息 5.1.7 退出登錄功能 5.1.8 認證功能總結 5-2賬號管理 5.2.1 用戶注冊 5.2.2 修改密碼 5.2.3 修改郵箱地址 5.2.4 密碼找回 5.2.5 賬號凍結 5.2.6 賬號刪除 5.2.7 賬號管理總結 5.3 授權 5.3.1 什么是授權 5.3.2 典型的授權漏洞 5.3.3 授權管理的需求設計 5.3.4 如何正確實現(xiàn)授權管理 5.3.5 總結 5.4 日志輸出 5.4.1 日志輸出的目的 5.4.2 日志種類 5.4.3 有關日志輸出的需求 5.4.4 實現(xiàn)日志輸出 5.4.5 總結 第6章 字符編碼和安全 6-1 字符編碼和安全概要 6-2 字符集 什么是字符集 ASCII 和ISO-8859-1 JIS 規(guī)定的字符集 微軟標準字符集　 Unicode GB2312　 GBK GB18030 不同字符相同編碼的問題 字符集的處理引起的漏洞 6-3 字符編碼方式 什么是編碼方式 Shift_JIS EUC-JP ISO-2022-JP UTF-16　 UTF-8　 GB2312 GBK GB18030 6-4 由字符編碼引起的漏洞總結 字符編碼方式中非法數(shù)據(jù)導致的漏洞 對字符編碼方式處理存在紕漏導致的漏洞 在不同字符集間變換導致的漏洞 6-5 如何正確處理字符編碼　 在應用內統(tǒng)一使用的字符集 輸入非法數(shù)據(jù)時報錯并終止處理 處理數(shù)據(jù)時使用正確的編碼方式 專欄 　調用 htmlspecialchars函數(shù)時必須指定字符編碼方式 輸出時設置正確的字符編碼方式 其他對策：盡量避免編碼自動檢測 6-6 總結 第7章 如何提高 Web網站的安全性 7-1 針對 Web服務器的攻擊途徑和防范措施 7.1.1 利用基礎軟件漏洞進行攻擊 7.1.2 非法登錄 7.1.3 對策 7-2 防范偽裝攻擊的對策 7.2.1 網絡偽裝的手段 7.2.2 釣魚攻擊 7.2.3 Web 網站的偽裝攻擊對策 7-3 防范網絡監(jiān)聽、篡改的對策 7.3.1 網絡監(jiān)聽、篡改的途徑 7.3.2 中間人攻擊 7.3.3 對策 7-4 防范惡意軟件的對策 7.4.1 什么是 Web網站的惡意軟件對策 7.4.2 惡意軟件的感染途徑 7.4.3 Web 網站惡意軟件防范對策概要 7.4.4 如何確保服務器不被惡意軟件感染 7-5 總結 第8章 開發(fā)安全的 Web應用所需要的管理 8-1 開發(fā)管理中的安全對策概要 8-2 開發(fā)體制 開發(fā)標準的制定 教育培訓 8-3 開發(fā)過程 8.3.1 規(guī)劃階段的注意事項 8.3.2 招標時的注意事項 8.3.3 需求分析時的注意事項 8.3.4 概要設計的推進方法 8.3.5 詳細設計和編碼階段的注意事項 8.3.6 安全性測試的重要性及其方法 8.3.7 Web 健康診斷基準 8.3.8 承包方測試 8.3.9 發(fā)包方測試（驗收） 8.3.10 運維階段的注意事項 8-4 總結