Web应用安全威胁与防治-基于OWASP Top 10与ESAPI

内容简介

本书是一本讲解Web应用中见的安全风险以及解决方案的实用教材。它以当今的安全机构OWASP（Open Web
Application Security Project）制定的OWASP  Top
10为蓝本，介绍了十项重的Web应用程序安全风险，并利用ESAPI（Enterprise Security
API）提出了解决方案。本书共有五篇，第1篇通过几个故事读者进入安全的世界；第2篇是基础知识篇，读者可以了解基本的Web应用安全的技术和知识；第3篇介绍了常用的安全测试和扫描工具；第4篇介绍了各种威胁以及测试和解决方案；第5篇在前几篇的基础上，总结在设计和编码过程中的安全原则。
　　本书各章以一个生动的小故事或者实例开头，让读者快速了解其中的安全问题，然后分析其产生的原因和测试方法并提出有效的解决方案，列出处理相关问题的检查列表，帮助读者在以后的工作和学习中更好地理解和处理类似的问题。读完本书之后，相信读者可以将学过的内容应用到Web应用安全设计、开发、测试中，提高Web应用程序的安全，也可以很有信心地向客户熟练地讲解Web应用安全威胁和攻防，并在自己的事业发展中有更多的收获。
　　本书适用于Web开发人员、设计人员、测试人员、架构师、项目经理、安全咨询顾问等。本书也可以作为对Web应用安全有兴趣的高校学生的教材，是一本实用的讲解Web应用安全的教材和使用手册。

目录

第1篇  引子
故事一：家有一IT，如有一宝
故事二：微博上的蠕虫
故事三：明文密码
故事四：IT青年VS禅师
第2篇  基础篇
第1章  Web应用技术
1.1  HTTP简介
1.2  HTTPS简介
1.3  URI
1.3.1  URL
1.3.2  URI/URL/URN
1.3.3  URI比较
1.4  HTTP消息
1.4.1  HTTP方法
1.4.2  HTTP状态码
1.5  HTTP cookie
1.5.1  HTTP cookie的作用
1.5.2  HTTP cookie的缺点
1.6  HTTP session
1.7  HTTP的安全
第2章  OWASP
2.1  OWASP简介
2.2  OWASP风险评估方法
2.3  OWASP Top 10
2.4  ESAPI（Enterprise Security API）
第3篇  工具篇
第3章  Web服务器工具简介
3.1  Apache
3.2  其他Web服务器
第4章  Web浏览器以及调试工具
4.1  浏览器简介
4.1.1  基本功能
4.1.2  主流浏览器
4.1.3  浏览器内核
4.2  开发调试工具
第5章  渗透测试工具
5.1  Fiddler
5.1.1  工作原理
5.1.2  如何捕捉HTTPS会话
5.1.3  Fiddler功能介绍
5.1.4  Fiddler扩展功能
5.1.5  Fiddler第三方扩展功能
5.2  ZAP
5.2.1  断点调试
5.2.2  编码/解码
5.2.3  主动扫描
5.2.4  Spider
5.2.5  暴力破解
5.2.6  端口扫描
5.2.7  Fuzzer
5.2.8  API
5.3  WebScrab
5.3.1  HTTP代理
5.3.2  Manual Request
5.3.3  Spider
5.3.4  Session ID分析
5.3.5  Bean Shell的支持
5.3.6  Web编码和解码
第6章  扫描工具简介
6.1  的扫描工具——WebInspect
6.1.1  引言
6.1.2  WebInspect特性
6.1.3  环境准备
6.1.4  HP WebInspect总览
6.1.5  Web网站测试
6.1.6  企业测试
6.1.7  生成报告
6.2  开源扫描工具——w3af
6.2.1  w3af概述
6.2.2  w3af环境配置
6.2.3  w3af使用示例
6.3  被动扫描的利器——Ratproxy
6.3.1  Ratproxy概述
6.3.2  Ratproxy环境配置
6.3.3  Ratproxy运行
第7章  漏洞学习网站
7.1  WebGoat
7.2  DVWA
7.3  其他的漏洞学习网站
第4篇  攻防篇
第8章  代码注入
8.1  注入的分类
8.1.1  OS命令注入
8.1.2  XPath注入
8.1.3  LDAP注入
8.1.4  SQL注入
8.1.5  JSON注入
8.1.6  URL参数注入
8.2  OWASP ESAPI与注入问题的
8.2.1  命令注入的ESAPI
8.2.2  XPath注入的ESAPI
8.2.3  LDAP注入的ESAPI
8.2.4  SQL注入的ESAPI
8.2.5  其他注入的ESAPI
8.3  注入检查列表
8.4  小结
第9章  跨站脚本（XSS）
9.1  XSS简介
9.2  XSS分类
9.2.1  反射式XSS
9.2.2  存储式XSS
9.2.3  基于DOM的XSS
9.2.4  XSS另一种分类法
9.3  XSS危害
9.4  XSS检测
9.4.1  手动检测
9.4.2  半自动检测
9.4.3  全自动检测
9.5  XSS的
9.5.1  一切
9.5.2