资源名称:Web应用安全权威指南(文字版) 中文pdf
第1章 什么是 web应用的安全隐患 1
1-1 安全隐患即“能用于作恶的bug” 2
1-2 为什么存在安全隐患会有问题 3
经济损失 3
法律要求 3
对用户造成不可逆的伤害 4
欺骗用户 4
被用于构建僵尸网络 4
1-3 产生安全隐患的原因 6
1-4 安全性 bug与安全性功能 7
1-5 本书的结构 8
第2章 搭建试验环境 9
2-1试验环境概要 10
2-2 安装 vmware player 11
什么是 vmware player 11
下载 vmware player 11
安装 vmware player 12
2-3 安装虚拟机及运行确认 14
虚拟机启动确认 14
虚拟机的使用方法 15
编辑 hosts文件 16
使用 ping确认连接 16
apache 与php的运行确认 17
设置并确认邮箱账号 17
2-4 安装 fiddler 18
什么是 fiddler 18
安装 fiddler 18
fiddler 的运行确认及简单用法 18
参考:虚拟机的数据一览 19
参考:如果无法连接试验环境的pop3服务器 20
第3章 web 安全基础:http、会话管理、同源策略 21
3-1 http 与会话管理 22
为什么要学习 http 22
最简单的 http 22
使用 fiddler观察http消息 23
请求消息 24
响应消息 24
状态行 25
响应头信息 25
如果将 http比喻为对话 25
输入-确认-注册模式 26
post 方法 28
消息体 28
百分号编码 29
referer 29
get 和post的使用区别 29
hidden 参数能够被更改 30
将 hidden参数的更改比作对话 32
hidden 参数的优点 32
无状态的 http认证 33
体验 basic认证 33
专栏 认证与授权 36
cookie 与会话管理 36
使用 cookie的会话管理 39
会话管理的拟人化解说 39
会话 id泄漏的原因 42
cookie 的属性 42
专栏 cookie monster bug 44
总结 45
3-2 被动攻击与同源策略 46
主动攻击与被动攻击 46
主动攻击 46
被动攻击 46
恶意利用正规网站进行的被动攻击 47
跨站被动攻击 48
浏览器如何防御被动攻击 48
沙盒 49
同源策略 49
应用程序安全隐患与被动攻击 52
专栏 第三方 javascript 53
javascript 以外的跨域访问 54
frame 元素与iframe元素 54
专栏 x-frame-options 54
img 元素 54
script 元素 54
css 55
form 元素的action属性 55
总结 56
第4章 web应用的各种安全隐患 57
4-1 web 应用的功能与安全隐患的对应关系 58
安全隐患产生于何处 58
注入型隐患 59
总结 60
4-2 输入处理与安全性 61
什么是 web应用的输入处理 61
检验字符编码 62
转换字符编码 62
检验并转换字符编码的实例 62
专栏 字符编码的自动转换与安全性 64
输入校验 64
输入校验的目的 64
输入校验与安全性 65
二进制安全与空字节攻击 65
仅校验输入值并不是安全性策略 66
输入校验的依据是应用程序的规格 67
哪些参数需要校验 67
php 的正则表达式库 67
使用正则表达式检验输入值的实例(1) 1~5 个字符的字母数字 68
使用正则表达式检验输入值的实例(2) 住址栏 70
专栏 请注意 mb_ereg中的\d与\w 70
范例 70
专栏 输入校验与框架 71
总结 72
参考:表示“非控制字符的字符”的正则表达式 73
4-3 页面显示的相关问题 75
4.3.1 跨站脚本(基础篇) 75
概要 75
攻击手段与影响 76
xss 窃取cookie值 76
通过 javascript攻击 79
篡改网页 80
反射型 xss与存储型xss 82
..........
资源截图: