Web應用安全威脅與防治：基於OWASP Top 10與ESAPI（簡體書）

《Web應用安全威脅與防治：基於OWASPTop10與ESAPI》是一本講解Web應用中最常見的安全風險以及解決方案的實用教材。它以當今公認的安全權威機構OWASP（OpenWebApplicationSecurityProject）制定的OWASPTop10為藍本，介紹了十項最嚴重的Web應用程序安全風險，並利用ESAPI（EnterpriseSecurityAPI）提出了解決方案。本書共有五篇，第1篇通過幾個故事引領讀者進入安全的世界；第2篇是基礎知識篇，讀者可以瞭解基本的Web應用安全的技術和知識；第3篇介紹了常用的安全測試和掃描工具；第4篇介紹了各種威脅以及測試和解決方案；第5篇在前幾篇的基礎上，總結在設計和編碼過程中的安全原則。本書各章以一個生動的小故事或者實例開頭，讓讀者快速瞭解其中的安全問題，然後分析其產生的原因和測試方法並提出有效的解決方案，最後列出處理相關問題的檢查列表，幫助讀者在以後的工作和學習中更好地理解和處理類似的問題。讀完本書之後，相信讀者可以將學過的內容應用到Web應用安全設計、開發、測試中，提高Web應用程序的安全，也可以很有信心地向客戶熟練地講解Web應用安全威脅和攻防，並在自己的事業發展中有更多的收穫。本書適用于Web開發人員、設計人員、測試人員、架構師、項目經理、安全諮詢顧問等。本書也可以作為對Web應用安全有興趣的高校學生的教材，是一本實用的講解Web應用安全的教材和使用手冊。．

《安全技術大系?Web應用安全威脅與防治:基于OWASP Top 10與ESAPI》適用于Web開發人員、設計人員、測試人員、架構師、項目經理、安全咨詢顧問等。《安全技術大系?Web應用安全威脅與防治:基于OWASP Top 10與ESAPI》也可以作為對Web應用安全有興趣的高校學生的教材，是一本實用的講解Web應用安全的教材和使用手冊。

第1篇 引子故事一：家有一IT，如有一寶故事二：微博上的蠕蟲故事三：明文密碼故事四：IT青年VS禪師第2篇 基礎篇第1章 Web應用技術1.1 HTTP簡介1.2 HTTPS簡介1.3 URI1.3.1 URL1.3.2 URI/URL/URN1.3.3 URI比較1.4 HTTP消息1.4.1 HTTP方法1.4.2 HTTP狀態碼1.5 HTTP Cookie1.5.1 HTTP Cookie的作用1.5.2 HTTP Cookie的缺點1.6 HTTP session1.7 HTTP的安全第2章 OWASP2.1 OWASP簡介2.2 OWASP風險評估方法2.3 OWASP Top 102.4 ESAPI（Enterprise Security API）第3篇 工具篇第3章 Web服務器工具簡介3.1 Apache3.2 其他Web服務器第4章 Web瀏覽器以及調試工具4.1 瀏覽器簡介4.1.1 基本功能4.1.2 主流瀏覽器4.1.3 瀏覽器內核4.2 開發調試工具第5章 滲透測試工具5.1 Fiddler5.1.1 工作原理5.1.2 如何捕捉HTTPS會話5.1.3 Fiddler功能介紹5.1.4 Fiddler擴展功能5.1.5 Fiddler第三方擴展功能5.2 ZAP5.2.1 斷點調試5.2.2 編碼/解碼5.2.3 主動掃描5.2.4 Spider5.2.5 暴力破解5.2.6 端口掃描5.2.7 Fuzzer5.2.8 API5.3 WebScrab5.3.1 HTTP代理5.3.2 Manual Request5.3.3 Spider5.3.4 Session ID分析5.3.5 Bean Shell的支持5.3.6 Web編碼和解碼第6章 掃描工具簡介6.1 萬能的掃描工具——WebInspect6.1.1 引言6.1.2 WebInspect特性6.1.3 環境準備6.1.4 HP WebInspect總覽6.1.5 Web網站測試6.1.6 企業測試6.1.7 生成報告6.2 開源掃描工具——w3af6.2.1 w3af概述6.2.2 w3af環境配置6.2.3 w3af使用示例6.3 被動掃描的利器——Ratproxy6.3.1 Ratproxy概述6.3.2 Ratproxy環境配置6.3.3 Ratproxy運行第7章 漏洞學習網站7.1 WebGoat7.2 DVWA7.3 其他的漏洞學習網站第4篇 攻防篇第8章 代碼注入8.1 注入的分類8.1.1 OS命令注入8.1.2 XPath注入8.1.3 LDAP注入8.1.4 SQL注入8.1.5 JSON注入8.1.6 URL參數注入8.2 OWASP ESAPI與注入問題的預防8.2.1 命令注入的ESAPI預防8.2.2 XPath注入的ESAPI預防8.2.3 LDAP注入的ESAPI預防8.2.4 SQL注入的ESAPI預防8.2.5 其他注入的ESAPI預防8.3 注入預防檢查列表8.4 小結第9章 跨站腳本（XSS）9.1 XSS簡介9.2 XSS分類9.2.1 反射式XSS9.2.2 存儲式XSS9.2.3 基於DOM的XSS9.2.4 XSS另一種分類法9.3 XSS危害9.4 XSS檢測9.4.1 手動檢測9.4.2 半自動檢測9.4.3 全自動檢測9.5 XSS的預防9.5.1 一刀切9.5.2 在服務器端預防9.5.3 在客戶端預防9.5.4 富文本框的XSS預防措施9.5.5 CSS9.5.6 FreeMarker9.5.7 OWASP ESAPI與XSS的預防9.6 XSS檢查列表9.7 小結第10章失效的身份認證和會話管理10.1 身份認證和會話管理簡介10.2 誰動了我的琴弦——會話劫持10.3 請君入甕——會話固定10.4 我很含蓄——非直接會話攻擊10.5 如何測試10.5.1 會話固定測試10.5.2 用Web Scrab分析會話ID10.6 如何預防會話攻擊10.6.1 如何防治固定會話10.6.2 保護你的會話令牌10.7 身份驗證10.7.1 雙因子認證流程圖10.7.2 雙因子認證原理說明10.7.3 隱藏在QR Code裡的秘密10.7.4 如何在服務器端實現雙因子認證10.7.5 我沒有智能手機怎麼辦10.8 身份認證設計的基本準則10.8.1 密碼長度和複雜性策略10.8.2 實現一個安全的密碼恢復策略10.8.3 重要的操作應通過HTTPS傳輸10.8.4 認證錯誤信息以及賬戶鎖定10.9 檢查列表10.9.1 身份驗證和密碼管理檢查列表10.9.2 會話管理檢查列表10.10 小結第11章 不安全的直接對象引用11.1 坐一望二——直接對象引用11.2 不安全直接對象引用的危害11.3 其他可能的不安全直接對象引用11.4 不安全直接對象引用的預防11.5 如何使用OWASP ESAPI預防11.6 直接對象引用檢查列表11.7 小結第12章 跨站請求偽造（CSRF）12.1 CSRF簡介12.2 誰動了我的奶酪12.3 跨站請求偽造的攻擊原理12.4 剝繭抽絲見真相12.5 其他可能的攻擊場景12.5.1 家用路由器被CSRF攻擊12.5.2 別以為用POST你就躲過了CSRF12.5.3 寫一個自己的CSRF Redirector12.5.4 利用重定向欺騙老實人12.6 跨站請求偽造的檢測12.6.1 手工檢測12.6.2 半自動CSRFTester12.7 跨站請求偽造的預防12.7.1 用戶需要知道的一些小技巧12.7.2 增加一些確認操作12.7.3 重新認證12.7.4 加入驗證碼（CAPTCHA）12.7.5 ESAPI解決CSRF12.7.6 CSRFGuard12.8 CSRF檢查列表12.9 小結第13章 安全配置錯誤13.1 不能說的秘密——Google hacking13.2 Tomcat那些事13.3 安全配置錯誤的檢測與預防13.3.1 系統配置13.3.2 Web應用服務器的配置13.3.3 數據庫13.3.4 日誌配置13.3.5 協議13.3.6 開發相關的安全配置13.3.7 編譯器的安全配置13.4 安全配置檢查列表13.5 小結第14章 不安全的加密存儲14.1 關於加密14.1.1 加密算法簡介14.1.2 加密算法作用14.1.3 加密分類14.2 加密數據分類14.3 加密數據保護14.3.1 密碼的存儲與保護14.3.2 重要信息的保護14.3.3 密鑰的管理14.3.4 數據的完整性14.3.5 雲系統存儲安全14.3.6 數據保護的常犯錯誤14.4 如何檢測加密存儲數據的安全性14.4.1 審查加密內容14.4.2 已知答案測試（Known Answer Test）14.4.3 自發明加密算法的檢測14.4.4 AES加密算法的測試14.4.5 代碼審查14.5 如何預防不安全的加密存儲的數據14.6 OWASP ESAPI與加密存儲14.6.1 OWASP ESAPI與隨機數14.6.2 OWASP ESAPI 與FIPS 140-214.7 加密存儲檢查列表14.8 小結第15章 沒有限制的URL訪問15.1 掩耳盜鈴——隱藏（Disable）頁面按鈕15.2 權限認證模型15.2.1 自主型訪問控制15.2.2 強制型訪問控制15.2.3 基於角色的訪問控制15.3 繞過認證15.3.1 網絡嗅探15.3.2 默認或者可猜測用戶賬號15.3.3 直接訪問內部URL15.3.4 修改參數繞過認證15.3.5 可預測的SessionID15.3.6 注入問題15.3.7 CSRF15.3.8 繞過認證小結15.4 繞過授權驗證15.4.1 水平越權15.4.2 垂直越權15.5 文件上傳與下載15.5.1 文件上傳15.5.2 文件下載和路徑遍歷15.6 靜態資源15.7 後臺組件之間的認證15.8 SSO15.9 OWASP ESAPI與授權15.9.1 AccessController的實現15.9.2 一個AccessController的代碼示例15.9.3 我們還需要做些什麼15.10 訪問控制檢查列表15.11 小結第16章 傳輸層保護不足16.1 臥底的故事——對稱加密和非對稱加密16.2 明文傳輸問題16.3 有什麼危害16.3.1 會話劫持16.3.2 中間人攻擊16.4 預防措施16.4.1 密鑰交換算法16.4.2 對稱加密和非對稱加密結合16.4.3 SSL/TLS16.5 檢查列表16.6 小結第17章 未驗證的重定向和轉發17.1 三角借貸的故事——轉發和重定向17.1.1 URL轉發17.1.2 URL重定向17.1.3 轉發與重定向的區別17.1.4 URL 重定向的實現方式17.2 危害17.3 如何檢測17.4 如何預防17.4.1 OWASP ESAPI與預防17.5 重定向和轉發檢查列表17.6 小結第5篇 安全設計、編碼十大原則第18章 安全設計十大原則設計原則1——簡單易懂設計原則2——最小特權設計原則3——故障安全化設計原則4——保護最薄弱環節設計原則5——提供深度防禦設計原則6——分隔設計原則7——總體調節設計原則8——默認不信任設計原則9——保護隱私設計原則10——公開設計，不要假設隱藏秘密就是安全第19章 安全編碼十大原則編碼原則1——保持簡單編碼原則2——驗證輸入編碼原則3——注意編譯器告警編碼原則4——框架和設計要符合安全策略編碼原則5——默認拒絕編碼原則6——堅持最小權限原則編碼原則7——淨化發送到其他系統的數據編碼原則8——深度預防編碼原則9——使用有效的質量保證技術編碼原則10——採用一個安全編碼規範．