故事1:有了它的家就像寶藏2。
故事二:微博上的蟲子3
故事3:明文密碼5
故事四:IT青年VS禪師5
第二條基本條款
第1章Web應用技術8
1.1 HTTP 8簡介
1.2 HTTPS 10簡介
1.3 URI
1.3.1網址11
1.3.2 URI/URL/URN 12
1.3.3 URI比較
1.4 HTTP消息13
1.4.1 HTTP方法14
1.4.2 HTTP狀態代碼19
1.5 HTTP Cookie20
1.5.1 HTTP Cookie 22的作用
1 . 5 . 2 HTTP cookie的缺點23
1.6 HTTP會話23
1.7 HTTP 24的安全性
第二章OWASP
OWASP簡介27
2.2 OWASP風險評估方法28
2.3 OWASP Top 10 34
2.4 ESAPI(企業安全API) 35
第三篇工具文章
第3章Web服務器工具簡介38
3.1
3.2其他網絡服務器39
第4章Web瀏覽器和調試工具42
4.1瀏覽器簡介42
4.1.1基本功能42
4.1.2主流瀏覽器43
4.1.3瀏覽器內核44
4.2開發和調試工具45
第5章滲透測試工具47
小提琴手47
5.1.1工作原理47
5.1.2如何捕捉HTTPS會話48
5.1.3提琴手函數介紹49
5.1.4提琴手擴展功能56
5.1.5 Fiddler第三方擴展函數56
5.2 ZAP 58
5.2.1斷點調試60
編碼/解碼61
主動掃描62
蜘蛛63
劇烈開裂64
端口掃描65
模糊控制器66
API 66
5.3 WebScrab 67
5.3.1 HTTP代理67
5.3.2手工請求69
蜘蛛70
5.3.4會話ID分析71
5.3.5豆殼支架71
5.3.6網絡編碼和解碼73
第6章掃描工具介紹74
6.1通用掃描工具-WebInspect 74
6.1.1簡介74
6.1.2 WebInspect功能74
6.1.3環境準備74
6.1.4 HP WebInspect 76概述
6.1.5網站測試79
6.1.6企業測試86
6.1.7生成報告88
6.2開源掃描工具-W3AF91
6.2.1 w3af概述91
w3af環境配置92
w3af使用示例93
6.3被動掃描的利器——rat proxy 94
6.3.1 Ratproxy概述94
6.3.2 Ratproxy環境配置95
6.3.3 Ratproxy運行96
第7章漏洞學習網站98
7.1 WebGoat 98
7.2 DVWA 99
7.3其他漏洞學習網站99
第四條進攻和防禦物品
第八章代碼註入102
8.1註射的分類104
8.1.1 OS命令註入104
8.1.2 XPath註入109
8.1.3 LDAP註入114
SQL註入118
8.1.5 JSON註射液131
8.1.6 URL參數註入133
8.2 OWASP ESAPI和預防註射問題135
8.2.1命令註入135的ESAPI預防
8.2.2通過XPath註入防止XPath 138
8.2.3通過LDAP註入進行LDAP預防138
8.2.4 ESAPI註入ESAPI預防141
8.2.5其他進樣的ESAPI預防143
8.3註射預防清單143
8.4摘要144
第九章跨站腳本(XSS)146
9.1 XSS 146簡介
9.2 XSS分類146
9.2.1反光XSS 146
9.2.2存儲XSS 148
9.2.3基於DOM的XSS 149
9 . 2 . 4 XSS的另壹分類151
9.3 XSS危險154
9.4 XSS檢測156
9.4.1人工檢測156
9.4.2半自動檢測158
9.4.3自動檢測158
9.5的預防159
9.5.1全線159
9.5.2在服務器端防止160
9.5.3在客戶端防止168
9.5.4豐富文本框的XSS預防措施170
CSS 172
自由市場174
9.5.7 OWASP ESAPI和XSS預防177
9.6 XSS清單183
9.7摘要184
第10章無效認證和會話管理185
10.1身份驗證和會話管理簡介185
10.2誰動了我的字符串會話劫持186
10.3請輸入骨灰盒固定對話188
10.4我很微妙——間接談話攻擊191
10.5如何考199
10 . 5 . 1會話固定測試199
10.5.2使用Web Scrab分析會話ID 200
10.6如何防止會話攻擊202
10.6.1如何防止固定對話202
保護您的會話令牌204
10.7認證208
10.7.1雙因素身份認證流程圖209
10.7.2雙因素認證原理講解210
10.7.3隱藏在二維碼中的秘密211
10.7.4如何在服務器端實現雙因素認證212
10.7.5沒有智能手機怎麽辦?216
10.8身份認證設計的基本標準216
10 . 8 . 1密碼長度和復雜性政策216
10.8.2實施安全的密碼恢復策略217
10.8.3重要操作應通過HTTPS 217傳送。
10.8.4認證錯誤信息和帳戶鎖定219
10.9清單219
10 . 9 . 1認證和密碼管理清單219
10.9.2會話管理清單220
10.10匯總221
第11章不安全的直接對象引用222
11.1-直接對象引用222
11.2不安全直接物體的危害參考224
11.3其他可能的不安全直接對象引用224
11.4防止不安全的直接對象引用225
11.5如何使用OWASP ESAPI防止227
11.6直接對象參考清單230
11.7匯總230
第12章跨站請求偽造(CSRF) 232
12.1 CSRF 232簡介
誰動了我的奶酪?
12.3跨站點請求偽造的攻擊原理233
12.4剝繭繅絲看真相。
12.5其他可能的攻擊場景236
12.5.1家用路由器被CSRF 236攻擊
12.5.2不要以為用POST就可以避開CSRF 238。
12.5.3寫自己的CSRF導演241。
12.5.4通過重定向欺騙老實人243
12.6跨站點請求偽造的檢測245
1人工檢查245
12.6.2半自動csrf測試儀246
12.7防止跨站點請求偽造250
12 . 7 . 1用戶需要了解的壹些提示250
12.7.2增加了壹些確認操作250。
12.7.3重新認證250
12.7.4加驗證碼)250。
12.7.5 ESAPI求解CSRF 250
12.7.6
12.8 CSRF清單260
12.9匯總261
第13章安全配置錯誤262
13.1的不可告人的秘密——谷歌黑客262
雄貓那些東西264
13.3安全配置錯誤的檢測和預防46666.68666666667
13.3.1系統配置
13 . 3 . 2 Web應用服務器268的配置
13.3.3數據庫282
13.3.4日誌配置284
第285號議定書
13.3.6開發相關安全配置291
13.3.7編譯器302的安全配置
13.4安全配置清單305
13.5匯總307
第14章不安全的加密存儲308
14.1關於加密310
14.1.1加密算法簡介310
14.1.2加密算法函數312
14.1.3加密分類313
14.2加密數據分類314
14.3加密數據保護315
密碼的存儲和保護14.3.1315
14.3.2重要信息保護
14.3.3密鑰管理
數據完整性339
14.3.5雲系統存儲安全342
14.3.6數據保護常見錯誤343
14.4如何檢測加密存儲數據的安全性344
14 . 4 . 1查看加密內容344
14.4.2已知答案測試)344
14.4.3自行發明的加密算法的檢測56666.86866868661
14.4.4 AES加密算法的測試58666 . 86668686661
代碼審查346
14.5如何防止不安全的加密存儲數據347
14.6 OWASP ESAPI和加密存儲348
14.6.1 OWASP ESAPI和隨機數353
奧瓦斯普和FIPS
14.7加密存儲清單355
14.8摘要355
第15章無限制的URL訪問357
15.1-禁用頁面按鈕357
15.2權威認證模型358
15.2.1自主訪問控制360
強制訪問控制360
15.2.3基於角色的訪問控制
15.3旁路認證363
15 . 3 . 1網絡探查364
15.3.2默認或可預測的用戶帳號364
15.3.3直接訪問內部URL364
15.3.4修改參數以繞過驗證365
15.3.5可預測會話ID365
15.3.6註射問題365
CSRF 365
15.3.8旁路認證總結366
15.4繞過授權驗證367
15.4.1的水平超過了368的權限。
15.4.2垂直越權369
15.5文件上傳和下載373
15.5.1文件上傳373
15.5.2文件下載和路徑遍歷377
15.6靜態資源382
15.7後臺組件之間的驗證383
15.8 SSO 385
15.9 OWASP ESAPI和授權386
15 . 9 . 1訪問控制器的實現
15 . 9 . 2 access controller 390的代碼示例
我們還需要做什麽
15.10訪問控制清單393
15.11匯總393
第16章傳輸層保護不足395
臥底的故事——對稱加密和非對稱加密36638+06.6543886865
16.2明文傳輸問題396
16.3 398有什麽危害
16.3.1會話劫持398
16.3.2中間人攻擊399
16.4預防措施
16.4.1密鑰交換算法
16.4.2對稱加密和非對稱加密的組合401
16.4.3 SSL/TLS 406
清單423
16.6摘要423
第17章未經驗證的重定向和轉發425
17.1三角借貸的故事——前進與重定向425
17.1.1網址轉發425
17.1.2 URL重定向426
17.1.3轉發和重定向之間的差異429
實施17.1.4 URL重定向430
17.2危險438
17.3如何檢測439
17.4如何防範440
17.4.1 OWASP ESAPI和prevention441
17.5重定向和轉發清單443
17.6摘要443
第五條安全設計和編碼的十項原則
第18章安全設計的十大原則448
設計原則1-簡單易懂448
設計原則2-最低特權448
設計原則3-故障安全450
設計原則4-保護最薄弱的環節451
設計原則5-提供深度防禦452
設計原則6-分離453
設計原則7-整體調整454
設計原則8-默認不信任454
設計原則9-隱私保護455
設計原則10-開放式設計,不要以為藏著秘密就是安全455
第19章安全編碼的十大原則457
編碼原則1-保持簡單457
編碼原則2-驗證輸入458
編碼原則3-註意編譯器警報459
編碼原則4-框架和設計應符合安全政策459。
編碼原則5-默認拒絕460
編碼原則6-堅持最低權限原則462
編碼原則7-凈化發送到其他系統的數據463
編碼原則8-深度防護464
編碼原則9-使用有效的質量保證技術464
編碼原則10-采用安全編碼規範465。
媒體評論
這是壹個“硬貨”,有壹些很酷的工科老師和人文氣質。作為壹名資深IT文藝老人,我特別喜歡這本有思想氣息但案例豐富的實用信息安全書籍,但過去往往只有國外作者閱讀。正如書開頭的介紹所說:“家裏有它,就有寶藏。”那麽在網絡安全越來越普及的今天,妳看完這本書以後會成為傳說中的大牛嗎——
——IDF威懾防禦實驗室易雲(公共互聯網)社會創新中心聯合創始人萬濤@ Hackhawk。
隨著互聯網的快速發展,基於B/S架構的業務系統對安全性的要求越來越高,安全從業者面臨著前所未有的壓力。如何讓安全從業者快速掌握Web應用的安全性?本書用幽默的語言,精彩豐富的例子,幫助安全從業者從頭到尾了解Web應用安全。是近年來最好的關於Web應用安全的書。
—— RIP,SecZone高級安全顧問,OWASP中國區主席。
很高興看到有人把自己的資深安全積累和OWASP的最佳實踐出版成壹本書,嚴謹細致卻又生動形象。這本信息安全領域的實用手冊將成為致力於互聯網安全的銀基安全的參考和指南書籍之壹,我們的電信、銀行、保險、證券、政府部門等廣大客戶將從中受益。
——上海尹姬信息安全技術有限公司首席技術官庫勞
隨著安全訪問控制策略ACL的推廣應用,互聯網公司面臨的安全風險主要集中在Web服務層。其中,Web應用系統是架構設計、開發、編碼過程中引入安全漏洞和風險的主要階段,但壹般我們的架構、開發、測試崗位相對缺乏安全技能和意識。本書詳細介紹了Web安全的基礎知識、測試平臺和方法、常見漏洞的形式和原理,並基於OWASP最佳實踐經驗給出了防範建議、設計和編碼原則。書中實例生動,圖文並茂,步驟總結清晰。特別推薦給Web開發、測試、安全崗位的朋友。
——中國金山軟件集團信息安全負責人成沖
在網絡攻擊日益復雜的今天,Web攻擊仍然是大多數攻擊者的首選。反思CSDN泄密事件和新浪微博蠕蟲事件,Web應用安全凸顯其重要性。OWASP作為全球領先的Web應用安全研究團隊,通過本書對Web應用安全的威脅、防禦以及相關工具進行了詳細的探討和研究。詳細的操作步驟是本書的壹大亮點,這些詳細且圖文並茂的內容為逐步深入學習Web應用安全提供了很好的幫助。衷心希望這本書能成為信息安全專業學生和應用安全相關從業者的學習指南。
——上海交通大學信息安全工程學院CISSP·CISA