目錄(150章)
倒序
- 封面
- 版權信息
- 序1
- 序2
- 序3
- 第1篇 引子
- 故事一:家有一IT,如有一寶
- 故事二:微博上的蠕蟲
- 故事三:明文密碼
- 故事四:IT青年VS禪師
- 第2篇 基礎篇
- 第1章 Web應用技術
- 1.1 HTTP簡介
- 1.2 HTTPS簡介
- 1.3 URI
- 1.4 HTTP消息
- 1.5 HTTP Cookie
- 1.6 HTTP session
- 1.7 HTTP的安全
- 第2章 OWASP
- 2.1 OWASP簡介
- 2.2 OWASP風險評估方法
- 2.3 OWASP Top 10
- 2.4 ESAPI(Enterprise Security API)
- 第3篇 工具篇
- 第3章 Web服務器工具簡介
- 3.1 Apache
- 3.2 其他Web服務器
- 第4章 Web瀏覽器以及調試工具
- 4.1 瀏覽器簡介
- 4.2 開發調試工具
- 第5章 滲透測試工具
- 5.1 Fiddler
- 5.2 ZAP
- 5.3 WebScrab
- 第6章 掃描工具簡介
- 6.1 萬能的掃描工具——WebInspect
- 6.2 開源掃描工具——w3af
- 6.3 被動掃描的利器——Ratproxy
- 第7章 漏洞學習網站
- 7.1 WebGoat
- 7.2 DVWA
- 7.3 其他的漏洞學習網站
- 第4篇 攻防篇
- 第8章 代碼注入
- 8.1 注入的分類
- 8.2 OWASP ESAPI與注入問題的預防
- 8.3 注入預防檢查列表
- 8.4 小結
- 第9章 跨站腳本(XSS)
- 9.1 XSS簡介
- 9.2 XSS分類
- 9.3 XSS危害
- 9.4 XSS檢測
- 9.5 XSS的預防
- 9.6 XSS檢查列表
- 9.7 小結
- 第10章 失效的身份認證和會話管理
- 10.1 身份認證和會話管理簡介
- 10.2 誰動了我的琴弦——會話劫持
- 10.3 請君入甕——會話固定
- 10.4 我很含蓄——非直接會話攻擊
- 10.5 如何測試
- 10.6 如何預防會話攻擊
- 10.7 身份驗證
- 10.8 身份認證設計的基本準則
- 10.9 檢查列表
- 10.10 小結
- 第11章 不安全的直接對象引用
- 11.1 坐一望二——直接對象引用
- 11.2 不安全直接對象引用的危害
- 11.3 其他可能的不安全直接對象引用
- 11.4 不安全直接對象引用的預防
- 11.5 如何使用OWASP ESAPI預防
- 11.6 直接對象引用檢查列表
- 11.7 小結
- 第12章 跨站請求偽造(CSRF)
- 12.1 CSRF簡介
- 12.2 誰動了我的奶酪
- 12.3 跨站請求偽造的攻擊原理
- 12.4 剝繭抽絲見真相
- 12.5 其他可能的攻擊場景
- 12.6 跨站請求偽造的檢測
- 12.7 跨站請求偽造的預防
- 12.8 CSRF檢查列表
- 12.9 小結
- 第13章 安全配置錯誤
- 13.1 不能說的秘密——Google hacking
- 13.2 Tomcat那些事
- 13.3 安全配置錯誤的檢測與預防
- 13.4 安全配置檢查列表
- 13.5 小結
- 第14章 不安全的加密存儲
- 14.1 關于加密
- 14.2 加密數據分類
- 14.3 加密數據保護
- 14.4 如何檢測加密存儲數據的安全性
- 14.5 如何預防不安全的加密存儲的數據
- 14.6 OWASP ESAPI與加密存儲
- 14.7 加密存儲檢查列表
- 14.8 小結
- 第15章 沒有限制的URL訪問
- 15.1 掩耳盜鈴——隱藏(Disable)頁面按鈕
- 15.2 權限認證模型
- 15.3 繞過認證
- 15.4 繞過授權驗證
- 15.5 文件上傳與下載
- 15.6 靜態資源
- 15.7 后臺組件之間的認證
- 15.8 SSO
- 15.9 OWASP ESAPI與授權
- 15.10 訪問控制檢查列表
- 15.11 小結
- 第16章 傳輸層保護不足
- 16.1 臥底的故事——對稱加密和非對稱加密
- 16.2 明文傳輸問題
- 16.3 有什么危害
- 16.4 預防措施
- 16.5 檢查列表
- 16.6 小結
- 第17章 未驗證的重定向和轉發
- 17.1 三角借貸的故事——轉發和重定向
- 17.2 危害
- 17.3 如何檢測
- 17.4 如何預防
- 17.5 重定向和轉發檢查列表
- 17.6 小結
- 第5篇 安全設計、編碼十大原則
- 第18章 安全設計十大原則
- 設計原則1——簡單易懂
- 設計原則2——最小特權
- 設計原則3——故障安全化
- 設計原則4——保護最薄弱環節
- 設計原則5——提供深度防御
- 設計原則6——分隔
- 設計原則7——總體調節
- 設計原則8——默認不信任
- 設計原則9——保護隱私
- 設計原則10——公開設計,不要假設隱藏秘密就是安全
- 第19章 安全編碼十大原則
- 編碼原則1——保持簡單
- 編碼原則2——驗證輸入
- 編碼原則3——注意編譯器告警
- 編碼原則4——框架和設計要符合安全策略
- 編碼原則6——堅持最小權限原則
- 編碼原則7——凈化發送到其他系統的數據
- 編碼原則8——深度預防
- 編碼原則9——使用有效的質量保證技術
- 編碼原則10——采用一個安全編碼規范 更新時間:2020-04-09 10:47:18
推薦閱讀
- Metasploit Penetration Testing Cookbook(Second Edition)
- Kali Linux Social Engineering
- 白帽子講Web安全(紀念版)
- 電子支付的規制結構配置研究
- 諸神之眼:Nmap網絡安全審計技術揭秘
- Kali Linux Wireless Penetration Testing Cookbook
- Computer Forensics with FTK
- 網絡安全技術與實訓(第4版)(微課版)
- CTF競賽權威指南(Pwn篇)
- Instant Java Password and Authentication Security
- Web安全之深度學習實戰
- 白話零信任
- 網絡入侵檢測系統原理與應用
- ATT&CK與威脅獵殺實戰
- CCNA Security 210-260 Certification Guide
- Cisco Firepower威脅防御(FTD)設備的高級排錯與配置
- 網警說安全:網絡陷阱防范110招
- 數字安全網絡戰
- 2018—2019年中國網絡安全發展藍皮書
- 數字與安全:數智時代安全先鋒
- 計算機網絡安全與防護
- 黑客大曝光:惡意軟件和Rootkit安全(原書第2版)
- 黑客攻防實戰從入門到精通(第2版)
- 計算機網絡安全原理
- Web安全漏洞原理及實戰
- 體育賽事信息化與網絡安全
- 云計算安全實踐:從入門到精通
- 維護網絡空間安全:中國網絡安全法解讀
- 黑客
- Mastering Azure Security
