科技 类型
8.4 豆瓣评分
可以朗读 语音朗读
258千字 字数
2014-10-01 发行日期
展开全部

主编推荐语

Web应用防火墙技术超级专家实战经验总结,阿里巴巴一线技术高手精准演绎。

内容简介

本书是集理论、协议细节、漏洞分析、部署建议于一体的详尽Web应用安全指南。书中具体内容包括:密码学基础,TLS协议,PKI体系及其安全性,HTTP和浏览器问题,协议漏洞;新的攻击形式,如BEAST、CRIME、BREACH、Lucky 13等;详尽的部署建议;如何使用OpenSSL生成密钥和确认信息;如何使用Apache httpd、IIS、Nginx等进行安全配置。

目录

  • 版权信息
  • 推荐序
  • 译者序
  • 前言
  • 谢辞
  • 第1章 什么是 Web 应用的安全隐患
  • 1.1 安全隐患即“能用于作恶的 Bug”
  • 1.2 为什么存在安全隐患会有问题
  • 1.3 产生安全隐患的原因
  • 1.4 安全性 Bug 与安全性功能
  • 1.5 本书的结构
  • 第2章 搭建试验环境
  • 2.1 试验环境概要
  • 2.2 安装 VMware Player
  • 2.3 安装虚拟机及运行确认
  • 2.4 安装 Fiddler
  • 第3章 Web 安全基础 : HTTP、会话管理、同源策略
  • 3.1 HTTP 与会话管理
  • 3.2 被动攻击与同源策略
  • 第4章 Web 应用的各种安全隐患
  • 4.1 Web 应用的功能与安全隐患的对应关系
  • 4.2 输入处理与安全性
  • 4.3 页面显示的相关问题
  • 4.3.1 跨站脚本(基础篇)
  • 4.3.2 跨站脚本(进阶篇)
  • 4.3.3 错误消息导致的信息泄漏
  • 4.4 SQL 调用相关的安全隐患
  • 4.4.1 SQL 注入
  • 4.5 关键处理中引入的安全隐患
  • 4.5.1 跨站请求伪造(CSRF)
  • 4.6 不完善的会话管理
  • 4.6.1 会话劫持的原因及影响
  • 4.6.2 会话 ID 可预测
  • 4.6.3 会话 ID 嵌入 URL
  • 4.6.4 固定会话 ID
  • 4.7 重定向相关的安全隐患
  • 4.7.1 自由重定向漏洞
  • 4.7.2 HTTP 消息头注入
  • 4.7.3 重定向相关的安全隐患总结
  • 4.8 Cookie 输出相关的安全隐患
  • 4.8.1 Cookie 的用途不当
  • 4.8.2 Cookie 的安全属性设置不完善
  • 4.9 发送邮件的问题
  • 4.9.1 发送邮件的问题概要
  • 4.9.2 邮件头注入漏洞
  • 4.10 文件处理相关的问题
  • 4.10.1 目录遍历漏洞
  • 4.10.2 内部文件被公开
  • 4.11 调用 OS 命令引起的安全隐患
  • 4.11.1 OS 命令注入
  • 4.12 文件上传相关的问题
  • 4.12.1 文件上传问题的概要
  • 4.12.2 通过上传文件使服务器执行脚本
  • 4.12.3 文件下载引起的跨站脚本
  • 4.13 include 相关的问题
  • 4.13.1 文件包含攻击
  • 4.14 eval 相关的问题
  • 4.14.1 eval 注入
  • 4.15 共享资源相关的问题
  • 4.15.1 竞态条件漏洞
  • 第5章 典型安全功能
  • 5.1 认证
  • 5.1.1 登录功能
  • 5.1.2 针对暴力破解攻击的对策
  • 5.1.3 密码保存方法
  • 5.1.4 自动登录
  • 5.1.5 登录表单
  • 5.1.6 如何显示错误消息
  • 5.1.7 退出登录功能
  • 5.1.8 认证功能总结
  • 5.2 账号管理
  • 5.2.1 用户注册
  • 5.2.2 修改密码
  • 5.2.3 修改邮箱地址
  • 5.2.4 密码找回
  • 5.2.5 账号冻结
  • 5.2.6 账号删除
  • 5.2.7 账号管理总结
  • 5.3 授权
  • 5.3.1 什么是授权
  • 5.3.2 典型的授权漏洞
  • 5.3.3 授权管理的需求设计
  • 5.3.4 如何正确实现授权管理
  • 5.3.5 总结
  • 5.4 日志输出
  • 5.4.1 日志输出的目的
  • 5.4.2 日志种类
  • 5.4.3 有关日志输出的需求
  • 5.4.4 实现日志输出
  • 5.4.5 总结
  • 第6章 字符编码和安全
  • 6.1 字符编码和安全概要
  • 6.2 字符集
  • 6.3 字符编码方式
  • 6.4 由字符编码引起的漏洞总结
  • 6.5 如何正确处理字符编码
  • 6.6 总结
  • 第7章 如何提高 Web 网站的安全性
  • 7.1 针对 Web 服务器的攻击途径和防范措施
  • 7.1.1 利用基础软件漏洞进行攻击
  • 7.1.2 非法登录
  • 7.1.3 对策
  • 7.2 防范伪装攻击的对策
  • 7.2.1 网络伪装的手段
  • 7.2.2 钓鱼攻击
  • 7.2.3 Web 网站的伪装攻击对策
  • 7.3 防范网络监听、篡改的对策
  • 7.3.1 网络监听、篡改的途径
  • 7.3.2 中间人攻击
  • 7.3.3 对策
  • 7.4 防范恶意软件的对策
  • 7.4.1 什么是 Web 网站的恶意软件对策
  • 7.4.2 恶意软件的感染途径
  • 7.4.3 Web 网站恶意软件防范对策概要
  • 7.4.4 如何确保服务器不被恶意软件感染
  • 7.5 总结
  • 第8章 开发安全的 Web 应用所需要的管理
  • 8.1 开发管理中的安全对策概要
  • 8.2 开发体制
  • 8.3 开发过程
  • 8.3.1 规划阶段的注意事项
  • 8.3.2 招标时的注意事项
  • 8.3.3 需求分析时的注意事项
  • 8.3.4 概要设计的推进方法
  • 8.3.5 详细设计和编码阶段的注意事项
  • 8.3.6 安全性测试的重要性及其方法
  • 8.3.7 Web 健康诊断基准
  • 8.3.8 承包方测试
  • 8.3.9 发包方测试(验收)
  • 8.3.10 运维阶段的注意事项
  • 8.4 总结
  • 看完了
展开全部

评分及书评

评分不足
1个评分
  • 用户头像
    给这本书评了
    5.0

    近年来,利用 Web 应用存在的安全隐患(即所谓的 “漏洞”)展开攻击的案例层出不穷,受害者也与日俱增。虽说只要消除安全隐患就能够杜绝这些攻击,但这就需要 Web 应用开发人员掌握正确的安全性方面的知识。目前,网络上充斥着大量关于安全性的信息,但多数内容都只是流于表面,无法解答开发人 员的困惑。具体来说,主要存在以下几点疑问。为什么会产生安全隐患安全隐患会产生什么样的影响如何编程才能消除安全隐患为什么某些方法能够消除安全隐患而本书就是为了解答这些疑问而创作的。为此,从安全隐患产生的原理到具体的对策,以及采用该对策的根据,本书都将尽可能地详细讲述。本书的目标读者包括程序员、设计师、项目经理、质量管理负责人等参与 Web 应用开发的全部人员。另外,本书也会站在 Web 应用的发包方(甲方)的立场上,尽可能地为其提供有用的信息。

      转发
      评论

    出版方

    人民邮电出版社·图灵出品

    图灵社区成立于2005年6月,由人民邮电出版社投资控股,以策划出版高质量的科技书籍为核心业务,主要出版领域包括计算机、电子电气、数学统计、科普等,通过引进国际高水平的教材、专著,以及发掘国内优秀原创作品等途径,为目标读者提供一流的内容。