更新时间:2020-04-09 10:47:18
封面
版权信息
序1
序2
序3
第1篇 引子
故事一:家有一IT,如有一宝
故事二:微博上的蠕虫
故事三:明文密码
故事四:IT青年VS禅师
第2篇 基础篇
第1章 Web应用技术
1.1 HTTP简介
1.2 HTTPS简介
1.3 URI
1.4 HTTP消息
1.5 HTTP Cookie
1.6 HTTP session
1.7 HTTP的安全
第2章 OWASP
2.1 OWASP简介
2.2 OWASP风险评估方法
2.3 OWASP Top 10
2.4 ESAPI(Enterprise Security API)
第3篇 工具篇
第3章 Web服务器工具简介
3.1 Apache
3.2 其他Web服务器
第4章 Web浏览器以及调试工具
4.1 浏览器简介
4.2 开发调试工具
第5章 渗透测试工具
5.1 Fiddler
5.2 ZAP
5.3 WebScrab
第6章 扫描工具简介
6.1 万能的扫描工具——WebInspect
6.2 开源扫描工具——w3af
6.3 被动扫描的利器——Ratproxy
第7章 漏洞学习网站
7.1 WebGoat
7.2 DVWA
7.3 其他的漏洞学习网站
第4篇 攻防篇
第8章 代码注入
8.1 注入的分类
8.2 OWASP ESAPI与注入问题的预防
8.3 注入预防检查列表
8.4 小结
第9章 跨站脚本(XSS)
9.1 XSS简介
9.2 XSS分类
9.3 XSS危害
9.4 XSS检测
9.5 XSS的预防
9.6 XSS检查列表
9.7 小结
第10章 失效的身份认证和会话管理
10.1 身份认证和会话管理简介
10.2 谁动了我的琴弦——会话劫持
10.3 请君入瓮——会话固定
10.4 我很含蓄——非直接会话攻击
10.5 如何测试
10.6 如何预防会话攻击
10.7 身份验证
10.8 身份认证设计的基本准则
10.9 检查列表
10.10 小结
第11章 不安全的直接对象引用
11.1 坐一望二——直接对象引用
11.2 不安全直接对象引用的危害
11.3 其他可能的不安全直接对象引用
11.4 不安全直接对象引用的预防
11.5 如何使用OWASP ESAPI预防
11.6 直接对象引用检查列表
11.7 小结
第12章 跨站请求伪造(CSRF)
12.1 CSRF简介
12.2 谁动了我的奶酪
12.3 跨站请求伪造的攻击原理
12.4 剥茧抽丝见真相
12.5 其他可能的攻击场景
12.6 跨站请求伪造的检测
12.7 跨站请求伪造的预防
12.8 CSRF检查列表
12.9 小结
第13章 安全配置错误
13.1 不能说的秘密——Google hacking
13.2 Tomcat那些事
13.3 安全配置错误的检测与预防
13.4 安全配置检查列表
13.5 小结
第14章 不安全的加密存储
14.1 关于加密
14.2 加密数据分类
14.3 加密数据保护
14.4 如何检测加密存储数据的安全性
14.5 如何预防不安全的加密存储的数据
14.6 OWASP ESAPI与加密存储
14.7 加密存储检查列表
