日本免费精品视频,男人的天堂在线免费视频,成人久久久精品乱码一区二区三区,高清成人爽a毛片免费网站

第1篇 引子

故事一：家有一IT，如有一寶

故事二：微博上的蠕蟲

故事三：明文密碼

故事四：IT青年VS禪師

第2篇 基礎篇

第1章 Web應用技術

1.1 HTTP簡介

1.2 HTTPS簡介

1.3 URI

1.3.1 URL

1.3.2 URI/URL/URN

1.3.3 URI比較

1.4 HTTP消息

1.4.1 HTTP方法

1.4.2 HTTP狀態碼

1.5 HTTP Cookie

1.5.1 HTTP Cookie的作用

1.5.2 HTTP Cookie的缺點

1.6 HTTP session

1.7 HTTP的安全

第2章 OWASP

2.1 OWASP簡介

2.2 OWASP風險評估方法

2.3 OWASP Top 10

2.4 ESAPI(Enterprise Security API)

第3篇 工具篇

第3章 Web服務器工具簡介

3.1 Apache

3.2 其他Web服務器

第4章 Web瀏覽器以及調試工具

4.1 瀏覽器簡介

4.1.1 基本功能

4.1.2 主流瀏覽器

4.1.3 瀏覽器內核

4.2 開發調試工具

第5章 滲透測試工具

5.1 Fiddler

5.1.1 工作原理

5.1.2 如何捕捉HTTPS會話

5.1.3 Fiddler功能介紹

5.1.4 Fiddler擴展功能

5.1.5 Fiddler第三方擴展功能

5.2 ZAP

5.2.1 斷點調試

5.2.2 編碼/解碼

5.2.3 主動掃描

5.2.4 Spider

5.2.5 暴力破解

5.2.6 端口掃描

5.2.7 Fuzzer

5.2.8 API

5.3 WebScrab

5.3.1 HTTP

5.3.2 Manual Request

5.3.3 Spider

5.3.4 Session ID分析

5.3.5 Bean Shell的支持

5.3.6 Web編碼和解碼

第6章 掃描工具簡介

6.1 萬能的掃描工具——WebInspect

6.1.1 引言

6.1.2 WebInspect特性

6.1.3 環境準備

6.1.4 HP WebInspect總覽

6.1.5 Web網站測試

6.1.6 企業測試

6.1.7 生成報告

6.2 開源掃描工具——w3af

6.2.1 w3af概述

6.2.2 w3af環境配置

6.2.3 w3af使用示例

6.3 被動掃描的利器——Ratproxy

6.3.1 Ratproxy概述

6.3.2 Ratproxy環境配置

6.3.3 Ratproxy運行

第7章 漏洞學習網站

7.1 WebGoat

7.2 DVWA

7.3 其他的漏洞學習網站

第4篇 攻防篇

第8章 代碼注入

8.1 注入的分類

8.1.1 OS命令注入

8.1.2 XPath注入

8.1.3 LDAP注入

8.1.4 SQL注入

8.1.5 JSON注入

8.1.6 URL參數注入

8.2 OWASP ESAPI與注入問題的預防

8.2.1 命令注入的ESAPI預防

8.2.2 XPath注入的ESAPI預防

8.2.3 LDAP注入的ESAPI預防

8.2.4 SQL注入的ESAPI預防

8.2.5 其他注入的ESAPI預防

8.3 注入預防檢查列表

8.4 小結

第9章 跨站腳本(XSS)

9.1 XSS簡介

9.2 XSS分類

9.2.1 反射式XSS

9.2.2 存儲式XSS

9.2.3 基于DOM的XSS

9.2.4 XSS另一種分類法

9.3 XSS危害

9.4 XSS檢測

9.4.1 手動檢測

9.4.2 半自動檢測

9.4.3 全自動檢測

9.5 XSS的預防

9.5.1 一刀切

9.5.2 在服務器端預防

9.5.3 在客戶端預防

9.5.4 富文本框的XSS預防措施

9.5.5 CSS

9.5.6 FreeMarker

9.5.7 OWASP ESAPI與XSS的預防

9.6 XSS檢查列表

9.7 小結

第10章 失效的身份認證和會話管理

10.1 身份認證和會話管理簡介

10.2 誰動了我的琴弦——會話劫持

10.3 請君入甕——會話固定

10.4 我很含蓄——非直接會話攻擊

10.5 如何測試

10.5.1 會話固定測試

10.5.2 用Web Scrab分析會話ID

10.6 如何預防會話攻擊

10.6.1 如何防治固定會話

10.6.2 保護你的會話令牌

10.7 身份驗證

10.7.1 雙因子認證流程圖

10.7.2 雙因子認證原理說明

10.7.3 隱藏在QR Code里的秘密

10.7.4 如何在服務器端實現雙因子認證

10.7.5 我沒有智能手機怎么辦

10.8 身份認證設計的基本準則

10.8.1 密碼長度和復雜性策略

10.8.2 實現一個安全的密碼恢復策略

10.8.3 重要的操作應通過HTTPS傳輸

10.8.4 認證錯誤信息以及賬戶鎖定

10.9 檢查列表

10.9.1 身份驗證和密碼管理檢查列表

10.9.2 會話管理檢查列表

10.10 小結

第11章 不安全的直接對象引用

11.1 坐一望二——直接對象引用

11.2 不安全直接對象引用的危害

11.3 其他可能的不安全直接對象引用

11.4 不安全直接對象引用的預防

11.5 如何使用OWASP ESAPI預防

11.6 直接對象引用檢查列表

11.7 小結

第12章 跨站請求偽造(CSRF)

12.1 CSRF簡介

12.2 誰動了我的奶酪

12.3 跨站請求偽造的攻擊原理

12.4 剝繭抽絲見真相

12.5 其他可能的攻擊場景

12.5.1 家用路由器被CSRF攻擊

12.5.2 別以為用POST你就躲過了CSRF

12.5.3 寫一個自己的CSRF Redirector

12.5.4 利用重定向欺騙老實人

12.6 跨站請求偽造的檢測

12.6.1 手工檢測

12.6.2 半自動CSRFTester

12.7 跨站請求偽造的預防

12.7.1 用戶需要知道的一些小技巧

12.7.2 增加一些確認操作

12.7.3 重新認證

12.7.4 加入驗證碼(CAPTCHA)

12.7.5 ESAPI解決CSRF

12.7.6 CSRFGuard

12.8 CSRF檢查列表

12.9 小結

第13章 安全配置錯誤

13.1 不能說的秘密——Google hacking

13.2 Tomcat那些事

13.3 安全配置錯誤的檢測與預防

13.3.1 系統配置

13.3.2 Web應用服務器的配置

13.3.3 數據庫

13.3.4 日志配置

13.3.5 協議

13.3.6 開發相關的安全配置

13.3.7 編譯器的安全配置

13.4 安全配置檢查列表

13.5 小結

第14章 不安全的加密存儲

14.1 關于加密

14.1.1 加密算法簡介

14.1.2 加密算法作用

14.1.3 加密分類

14.2 加密數據分類

14.3 加密數據保護

14.3.1 密碼的存儲與保護

14.3.2 重要信息的保護

14.3.3 密鑰的管理

14.3.4 數據的完整性

14.3.5 云系統存儲安全

14.3.6 數據保護的常犯錯誤

14.4 如何檢測加密存儲數據的安全性

14.4.1 審查加密內容

14.4.2 已知答案測試(Known Answer Test)

14.4.3 自發明加密算法的檢測

14.4.4 AES加密算法的測試

14.4.5 代碼審查

14.5 如何預防不安全的加密存儲的數據

14.6 OWASP ESAPI與加密存儲

14.6.1 OWASP ESAPI與隨機數

14.6.2 OWASP ESAPI 與FIPS 140-2

14.7 加密存儲檢查列表

14.8 小結

第15章 沒有限制的URL訪問

15.1 掩耳盜鈴——隱藏(Disable)頁面按鈕

15.2 權限認證模型

15.2.1 自主型訪問控制

15.2.2 強制型訪問控制

15.2.3 基于角色的訪問控制

15.3 繞過認證

15.3.1 網絡嗅探

15.3.2 默認或者可猜測用戶賬號

15.3.3 直接訪問內部URL

15.3.4 修改參數繞過認證

15.3.5 可預測的SessionID

15.3.6 注入問題

15.3.7 CSRF

15.3.8 繞過認證小結

15.4 繞過授權驗證

15.4.1 水平越權

15.4.2 垂直越權

15.5 文件上傳與下載

15.5.1 文件上傳

15.5.2 文件下載和路徑遍歷

15.6 靜態資源

15.7 后臺組件之間的認證

15.8 SSO

15.9 OWASP ESAPI與授權

15.9.1 AccessController的實現

15.9.2 一個AccessController的代碼示例

15.9.3 我們還需要做些什么

15.10 訪問控制檢查列表

15.11 小結

第16章 傳輸層保護不足

16.1 臥底的故事——對稱加密和非對稱加密

16.2 明文傳輸問題

16.3 有什么危害

16.3.1 會話劫持

16.3.2 中間人攻擊

16.4 預防措施

16.4.1 密鑰交換算法

16.4.2 對稱加密和非對稱加密結合

16.4.3 SSL/TLS

16.5 檢查列表

16.6 小結

第17章 未驗證的重定向和轉發

17.1 三角借貸的故事——轉發和重定向

17.1.1 URL轉發

17.1.2 URL重定向

17.1.3 轉發與重定向的區別

17.1.4 URL 重定向的實現方式

17.2 危害

17.3 如何檢測

17.4 如何預防

17.4.1 OWASP ESAPI與預防

17.5 重定向和轉發檢查列表

17.6 小結

第5篇 安全設計、編碼十大原則

第18章 安全設計十大原則

設計原則1——簡單易懂

設計原則2——最小特權

設計原則3——故障安全化

設計原則4——保護最薄弱環節

設計原則5——提供深度防御

設計原則6——分隔

設計原則7——總體調節

設計原則8——默認不信任

設計原則9——保護隱私

設計原則10——公開設計，不要假設隱藏秘密就是安全

第19章 安全編碼十大原則

編碼原則1——保持簡單

編碼原則2——驗證輸入

編碼原則3——注意編譯器告警

編碼原則4——框架和設計要符合安全策略

編碼原則5——默認拒絕

編碼原則6——堅持最小權限原則

編碼原則7——凈化發送到其他系統的數據

編碼原則8——深度預防

編碼原則9——使用有效的質量保障技術

編碼原則10——采用一個安全編碼規范