Web應(yīng)用安全權(quán)威指南

第1章 什么是 Web應(yīng)用的安全隱患
1-1 安全隱患即“能用于作惡的Bug” 1-2 為什么存在安全隱患會有問題 1-3 產(chǎn)生安全隱患的原因 1-4 安全性 Bug與安全性功能 1-5 本書的結(jié)構(gòu) 第2章 搭建試驗(yàn)環(huán)境 2-1試驗(yàn)環(huán)境概要 2-2 安裝 VMware Player　 2-3 安裝虛擬機(jī)及運(yùn)行確認(rèn) 2-4 安裝 Fiddler 參考：虛擬機(jī)的數(shù)據(jù)一覽 參考：如果無法連接試驗(yàn)環(huán)境的POP3服務(wù)器 第3章 Web 安全基礎(chǔ)：HTTP、會話管理、同源策略 3-1 HTTP 與會話管理 3-2 被動攻擊與同源策略 第4章 Web應(yīng)用的各種安全隱患 4-1 Web 應(yīng)用的功能與安全隱患的對應(yīng)關(guān)系 4-2 輸入處理與安全性 4-3 頁面顯示的相關(guān)問題 4.3.1 跨站腳本（基礎(chǔ)篇） 4.3.2 跨站腳本（進(jìn)階篇） 4.3.3 錯誤消息導(dǎo)致的信息泄漏 4-4 SQL 調(diào)用相關(guān)的安全隱患 4.4.1 SQL 注入 4-5 關(guān)鍵處理中引入的安全隱患 4.5.1 跨站請求偽造（CSRF） 4-6 不完善的會話管理 4.6.1 會話劫持的原因及影響 4.6.2 會話 ID可預(yù)測 4.6.3 會話 ID嵌入U(xiǎn)RL 4.6.4 固定會話 ID 4-7 重定向相關(guān)的安全隱患 4.7.1 自由重定向漏洞 4.7.2 HTTP 消息頭注入 4.7.3 重定向相關(guān)的安全隱患總結(jié) 4-8 Cookie 輸出相關(guān)的安全隱患 4.8.1 Cookie 的用途不當(dāng) 4.8.2 Cookie 的安全屬性設(shè)置不完善　 4-9 發(fā)送郵件的問題 4.9.1 發(fā)送郵件的問題概要 4.9.2 郵件頭注入漏洞 4-10 文件處理相關(guān)的問題 4.10.1 目錄遍歷漏洞 4.10.2 內(nèi)部文件被公開 4-11 調(diào)用 OS命令引起的安全隱患 4.11.1 OS 命令注入 4-12 文件上傳相關(guān)的問題 4.12.1 文件上傳問題的概要 4.12.2 通過上傳文件使服務(wù)器執(zhí)行腳本 4.12.3 文件下載引起的跨站腳本 4-13 include 相關(guān)的問題 4.13.1 文件包含攻擊 4-14 eval 相關(guān)的問題 4.14.1 eval 注入　 4-15 共享資源相關(guān)的問題 4.15.1 競態(tài)條件漏洞 第5章 典型安全功能 5-1 認(rèn)證　 5.1.1 登錄功能 5.1.2 針對暴力破解攻擊的對策 5.1.3 密碼保存方法 5.1.4 自動登錄 5.1.5 登錄表單 5.1.6 如何顯示錯誤消息 5.1.7 退出登錄功能 5.1.8 認(rèn)證功能總結(jié) 5-2賬號管理 5.2.1 用戶注冊 5.2.2 修改密碼 5.2.3 修改郵箱地址 5.2.4 密碼找回 5.2.5 賬號凍結(jié) 5.2.6 賬號刪除 5.2.7 賬號管理總結(jié) 5.3 授權(quán) 5.3.1 什么是授權(quán) 5.3.2 典型的授權(quán)漏洞 5.3.3 授權(quán)管理的需求設(shè)計(jì) 5.3.4 如何正確實(shí)現(xiàn)授權(quán)管理 5.3.5 總結(jié) 5.4 日志輸出 5.4.1 日志輸出的目的 5.4.2 日志種類 5.4.3 有關(guān)日志輸出的需求 5.4.4 實(shí)現(xiàn)日志輸出 5.4.5 總結(jié) 第6章 字符編碼和安全 6-1 字符編碼和安全概要 6-2 字符集 什么是字符集 ASCII 和ISO-8859-1 JIS 規(guī)定的字符集 微軟標(biāo)準(zhǔn)字符集　 Unicode GB2312　 GBK GB18030 不同字符相同編碼的問題 字符集的處理引起的漏洞 6-3 字符編碼方式 什么是編碼方式 Shift_JIS EUC-JP ISO-2022-JP UTF-16　 UTF-8　 GB2312 GBK GB18030 6-4 由字符編碼引起的漏洞總結(jié) 字符編碼方式中非法數(shù)據(jù)導(dǎo)致的漏洞 對字符編碼方式處理存在紕漏導(dǎo)致的漏洞 在不同字符集間變換導(dǎo)致的漏洞 6-5 如何正確處理字符編碼　 在應(yīng)用內(nèi)統(tǒng)一使用的字符集 輸入非法數(shù)據(jù)時(shí)報(bào)錯并終止處理 處理數(shù)據(jù)時(shí)使用正確的編碼方式 專欄 　調(diào)用 htmlspecialchars函數(shù)時(shí)必須指定字符編碼方式 輸出時(shí)設(shè)置正確的字符編碼方式 其他對策：盡量避免編碼自動檢測 6-6 總結(jié) 第7章 如何提高 Web網(wǎng)站的安全性 7-1 針對 Web服務(wù)器的攻擊途徑和防范措施 7.1.1 利用基礎(chǔ)軟件漏洞進(jìn)行攻擊 7.1.2 非法登錄 7.1.3 對策 7-2 防范偽裝攻擊的對策 7.2.1 網(wǎng)絡(luò)偽裝的手段 7.2.2 釣魚攻擊 7.2.3 Web 網(wǎng)站的偽裝攻擊對策 7-3 防范網(wǎng)絡(luò)監(jiān)聽、篡改的對策 7.3.1 網(wǎng)絡(luò)監(jiān)聽、篡改的途徑 7.3.2 中間人攻擊 7.3.3 對策 7-4 防范惡意軟件的對策 7.4.1 什么是 Web網(wǎng)站的惡意軟件對策 7.4.2 惡意軟件的感染途徑 7.4.3 Web 網(wǎng)站惡意軟件防范對策概要 7.4.4 如何確保服務(wù)器不被惡意軟件感染 7-5 總結(jié) 第8章 開發(fā)安全的 Web應(yīng)用所需要的管理 8-1 開發(fā)管理中的安全對策概要 8-2 開發(fā)體制 開發(fā)標(biāo)準(zhǔn)的制定 教育培訓(xùn) 8-3 開發(fā)過程 8.3.1 規(guī)劃階段的注意事項(xiàng) 8.3.2 招標(biāo)時(shí)的注意事項(xiàng) 8.3.3 需求分析時(shí)的注意事項(xiàng) 8.3.4 概要設(shè)計(jì)的推進(jìn)方法 8.3.5 詳細(xì)設(shè)計(jì)和編碼階段的注意事項(xiàng) 8.3.6 安全性測試的重要性及其方法 8.3.7 Web 健康診斷基準(zhǔn) 8.3.8 承包方測試 8.3.9 發(fā)包方測試（驗(yàn)收） 8.3.10 運(yùn)維階段的注意事項(xiàng) 8-4 總結(jié)