Web应用安全威胁与防治 基于OWASP Top 10与ESAPIPDF|Epub|txt|kindle电子书版本网盘下载

Web应用安全威胁与防治 基于OWASP Top 10与ESAPIPDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1篇 引子2

故事一：家有一IT，如有一宝2

故事二：微博上的蠕虫3

故事三：明文密码5

故事四：IT青年VS禅师5

第2篇 基础篇8

第1章 Web应用技术8

1.1 HTTP简介8

1.2 HTTPS简介10

1.3 URI11

1.3.1 URL11

1.3.2 URI/URL/URN12

1.3.3 URI比较13

1.4 HTTP消息13

1.4.1 HTTP方法14

1.4.2 HTTP状态码19

1.5 HTTP Cookie20

1.5.1 HTTP Cookie的作用22

1.5.2 HTTP Cookie的缺点23

1.6 HTTP session23

1.7 HTTP的安全24

第2章 OVVASP27

2.1 OWASP简介27

2.2 OWASP风险评估方法28

2.3 OWASP Top 1034

2.4 ESAPI（Enterprise Secuity API）35

第3篇 工具篇38

第3章 Web服务器工具简介38

3.1 Apache38

3.2 其他Web服务器39

第4章 Web浏览器以及调试工具42

4.1 浏览器简介42

4.1.1 基本功能42

4.1.2 主流浏览器43

4.1.3 浏览器内核44

4.2 开发调试工具45

第5章 渗透测试工具47

5.1 Fiddler47

5.1.1 工作原理47

5.1.2 如何捕捉HTTPS会话48

5.1.3 Fiddler功能介绍49

5.1.4 Fiddler扩展功能56

5.1.5 Fiddler第三方扩展功能56

5.2 ZAP58

5.2.1 断点调试60

5.2.2 编码／解码61

5.2.3 主动扫描62

5.2.4 Spider63

5.2.5 暴力破解64

5.2.6 端口扫描65

5.2.7 Fuzzer66

5.2.8 API66

5.3 WebScrab67

5.3.1 HTTP代理67

5.3.2 Manual Request69

5.3.3 Spider70

5.3.4 Session ID分析71

5.3.5 Bean Shell的支持71

5.3.6 Web编码和解码73

第6章 扫描工具简介74

6.1 万能的扫描工具——WebInspect74

6.1.1 引言74

6.1.2 WebInspect特性74

6.1.3 环境准备74

6.1.4 HPWebInspect总览76

6.1.5 Web网站测试79

6.1.6 企业测试86

6.1.7 生成报告88

6.2 开源扫描工具——w3af91

6.2.1 w3af概述91

6.2.2 w3af环境配置92

6.2.3 w3af使用示例93

6.3 被动扫描的利器——Ratproxy94

6.3.1 Ratproxy概述94

6.3.2 Ratproxy环境配置95

6.3.3 Ratproxy运行96

第7章 漏洞学习网站98

7.1 WebGoat98

7.2 DVWA99

7.3 其他的漏洞学习网站99

第4篇 攻防篇102

第8章 代码注入102

8.1 注入的分类104

8.1.1 OS命令注入104

8.1.2 XPath注入109

8.1.3 LDAP注入114

8.1.4 SQL注入118

8.1.5 JSON注入131

8.1.6 URL参数注入133

8.2 OWASP ESAPI与注入问题的预防135

8.2.1 命令注入的ESAPI预防135

8.2.2 XPath注入的ESAPI预防138

8.2.3 LDAP注入的ESAPI预防138

8.2.4 SQL注入的ESAPI预防141

8.2.5 其他注入的ESAPI预防143

8.3 注入预防检查列表143

8.4 小结144

第9章 跨站脚本（XSS）146

9.1 XSS简介146

9.2 XSS分类146

9.2.1 反射式XSS146

9.2.2 存储式XSS148

9.2.3 基于DOM的XSS149

9.2.4 XSS另一种分类法151

9.3 XSS危害154

9.4 XSS检测156

9.4.1 手动检测156

9.4.2 半自动检测158

9.4.3 全自动检测158

9.5 XSS的预防159

9.5.1 一刀切159

9.5.2 在服务器端预防160

9.5.3 在客户端预防168

9.5.4 富文本框的.XSS预防措施170

9.5.5 CSS172

9.5.6 FreeMarker174

9.5.7 OWASP ESAPI与XSS的预防177

9.6 XSS检查列表183

9.7 小结184

第10章 失效的身份认证和会话管理185

10.1 身份认证和会话管理简介185

10.2 谁动了我的琴弦——会话劫持186

10.3 请君入瓮——会话固定188

10.4 我很含蓄——非直接会话攻击191

10.5 如何测试199

10.5.1 会话固定测试199

10.5.2 用Web Scrab分析会话ID200

10.6 如何预防会话攻击202

10.6.1 如何防治固定会话202

10.6.2 保护你的会话令牌204

10.7 身份验证208

10.7.1 双因子认证流程图209

10.7.2 双因子认证原理说明210

10.7.3 隐藏在QR Code里的秘密211

10.7.4 如何在服务器端实现双因子认证212

10.7.5 我没有智能手机怎么办216

10.8 身份认证设计的基本准则216

10.8.1 密码长度和复杂性策略216

10.8.2 实现一个安全的密码恢复策略217

10.8.3 重要的操作应通过HTTPS传输217

10.8.4 认证错误信息以及账户锁定219

10.9 检查列表219

10.9.1 身份验证和密码管理检查列表219

10.9.2 会话管理检查列表220

10.10 小结221

第11章 不安全的直接对象引用222

11.1 坐一望二——直接对象引用222

11.2 不安全直接对象引用的危害224

11.3 其他可能的不安全直接对象引用224

11.4 不安全直接对象引用的预防225

11.5 如何使用OWASP　ESAPI预防227

11.6 直接对象引用检查列表230

11.7 小结230

第12章 跨站请求伪造（CSRF）232

12.1 CSRF简介232

12.2 谁动了我的奶酪232

12.3 跨站请求伪造的攻击原理233

12.4 剥茧抽丝见真相235

12.5 其他可能的攻击场景236

12.5.1 家用路由器被CSRF攻击236

12.5.2 别以为用POST你就躲过了CSRR238

12.5.3 写一个自己的CSRF Redirector241

12.5.4 利用重定向欺骗老实人243

12.6 跨站请求伪造的检测245

12.6.1 手工检测245

12.6.2 半自动CSRFTester246

12.7 跨站请求伪造的预防250

12.7.1 用户需要知道的一些小技巧250

12.7.2 增加一些确认操作250

12.7.3 重新认证250

12.7.4 加入验证码（CAFTCHA）250

12.7.5 ESAPI解决CSRF250

12.7.6 CSRFGuard256

12.8 CSRF检查列表260

12.9 小结261

第13章 安全配置错误262

13.1 不能说的秘密——Google hacking262

13.2 Tomcat那些事264

13.3 安全配置错误的检测与预防264

13.3.1 系统配置264

13.3.2 Web应用服务器的配置268

13.3.3 数据库282

13.3.4 日志配置284

13.3.5 协议285

13.3.6 开发相关的安全配置291

13.3.7 编译器的安全配置302

13.4 安全配置检查列表305

13.5 小结307

第14章 不安全的加密存储308

14.1 关于加密310

14.1.1 加密算法简介310

14.1.2 加密算法作用312

14.1.3 加密分类313

14.2 加密数据分类314

14.3 加密数据保护315

14.3.1 密码的存储与保护315

14.3.2 重要信息的保护323

14.3.3 密钥的管理336

14.3.4 数据的完整性339

14.3.5 云系统存储安全342

14.3.6 数据保护的常犯错误343

14.4 如何检测加密存储数据的安全性344

14.4.1 审查加密内容344

14.4.2 已知答案测试（KnownAnswerTest）344

14.4.3 自发明加密算法的检测345

14.4.4 AES加密算法的测试345

14.4.5 代码审查346

14.5 如何预防不安全的加密存储的数据347

14.6 OWASP ESAPI与加密存储348

14.6.1 OWASP ESAPI与随机数353

14.6.2 OWASP ESAPI与FIPS 140-2354

14.7 加密存储检查列表355

14.8 小结355

第15章 没有限制的URL访问357

15.1 掩耳盗铃——隐藏（Disable）页面按钮357

15.2 权限认证模型358

15.2.1 自主型访问控制360

15.2.2 强制型访问控制360

15.2.3 基于角色的访问控制361

15.3 绕过认证363

15.3.1 网络嗅探364

15.3.2 默认或者可猜测用户账号364

15.3.3 直接访问内部URL364

15.3.4 修改参数绕过认证365

15.3.5 可预测的SessionID365

15.3.6 注入问题365

15.3.7 CSRF365

15.3.8 绕过认证小结366

15.4 绕过授权验证367

15.4.1 水平越权368

15.4.2 垂直越权369

15.5 文件上传与下载373

15.5.1 文件上传373

15.5.2 文件下载和路径遍历377

15.6 静态资源382

15.7 后台组件之间的认证383

15.8 SSO385

15.9 OWASP ESAPI与授权386

15.9.1 AccessController的实现387

15.9.2 一个AccessController的代码示例390

15.9.3 我们还需要做些什么391

15.10 访问控制检查列表393

15.11 小结393

第16章 传输层保护不足395

16.1 卧底的故事——对称加密和非对称加密395

16.2 明文传输问题396

16.3 有什么危害398

16.3.1 会话劫持398

16.3.2 中间人攻击399

16.4 预防措施399

16.4.1 密钥交换算法400

16.4.2 对称加密和非对称加密结合401

16.4.3 SSL/TLS406

16.5 检查列表423

16.6 小结423

第17章 未验证的重定向和转发425

17.1 三角借贷的故事——转发和重定向425

17.1.1 URL转发425

17.1.2 URL重定向426

17.1.3 转发与重定向的区别429

17.1.4 URL重定向的实现方式430

17.2 危害438

17.3 如何检测439

17.4 如何预防440

17.4.1 OWASP ESAPI与预防441

17.5 重定向和转发检查列表443

17.6 小结443

第5篇 安全设计、编码十大原则448

第18章 安全设计十大原则448

设计原则1——简单易懂448

设计原则2——最小特权448

设计原则3——故障安全化450

设计原则4——保护最薄弱环节451

设计原则5——提供深度防御452

设计原则6——分隔453

设计原则7——总体调节454

设计原则8——默认不信任454

设计原则9——保护隐私455

设计原则10——公开设计，不要假设隐藏秘密就是安全455

第19章 安全编码十大原则457

编码原则1——保持简单457

编码原则2——验证输入458

编码原则3——注意编译器告警459

编码原则4——框架和设计要符合安全策略459

编码原则5——默认拒绝460

编码原则6——坚持最小权限原则462

编码原则7——净化发送到其他系统的数据463

编码原则8——深度预防464

编码原则9——使用有效的质量保证技术464

编码原则10——采用一个安全编码规范465