Web应用安全权威指南 PDF 高清版

给网友朋友们带来一篇Web安全相关的资料，介绍了关于Web应用安全、权威指南方面，格式为PDF，资源大小19.8 MB，目前在Web安全类资源综合评分为：8.3分。

《web应用安全权威指南》 系日本web安全第一人德丸浩所创，是作者从业多年的经验总结。作者首先简要介绍了web应用的安全隐患以及产生原因，然后详细介绍了web安全的基础，如http、会话管理、同源策略等。此外还重点介绍了web应用的各种安全隐患，对其产生原理及对策进行了详尽的讲解。最后对如何提高web网站的安全性和开发安全的web应用所需要的管理进行了深入的探讨。本书可操作性强，读者可以通过下载已搭建的虚拟机环境亲自体验书中的各种安全隐患。《web应用安全权威指南》适合web相关的开发人员特别是安全及测试人员阅读。 八大章节全面剖析，深入浅出地讲解了sql注入、xss、csrf等web开发人员必知的web安全知识。通过在vmware player虚拟机上对php样本的攻击，详细介绍了安全隐患产生的原理及应对方法，助你打造安全无虞的web应用。 目录 第1章 什么是 web应用的安全隐患 1 1-1 安全隐患即能用于作恶的bug 2 1-2 为什么存在安全隐患会有问题 3 经济损失 3 法律要求 3 对用户造成不可逆的伤害 4 欺骗用户 4 被用于构建僵尸网络 4 1-3 产生安全隐患的原因 6 1-4 安全性 bug与安全性功能 7 1-5 本书的结构 8 第2章 搭建试验环境 9 2-1试验环境概要 10 2-2 安装 vmware player 11 什么是 vmware player 11 下载 vmware player 11 安装 vmware player 12 2-3 安装虚拟机及运行确认 14 虚拟机启动确认 14 虚拟机的使用方法 15 编辑 hosts文件 16 使用 ping确认连接 16 apache 与php的运行确认 17 设置并确认邮箱账号 17 2-4 安装 fiddler 18 什么是 fiddler 18 安装 fiddler 18 fiddler 的运行确认及简单用法 18 参考：虚拟机的数据一览 19 参考：如果无法连接试验环境的pop3服务器 20 第3章 web 安全基础：http、会话管理、同源策略 21 3-1 http 与会话管理 22 为什么要学习 http 22 最简单的 http 22 使用 fiddler观察http消息 23 请求消息 24 响应消息 24 状态行 25 响应头信息 25 如果将 http比喻为对话 25 输入－确认－注册模式 26 post 方法 28 消息体 28 百分号编码 29 referer 29 get 和post的使用区别 29 hidden 参数能够被更改 30 将 hidden参数的更改比作对话 32 hidden 参数的优点 32 无状态的 http认证 33 体验 basic认证 33 专栏 认证与授权 36 cookie 与会话管理 36 使用 cookie的会话管理 39 会话管理的拟人化解说 39 会话 id泄漏的原因 42 cookie 的属性 42 专栏 cookie monster bug 44 总结 45 3-2 被动攻击与同源策略 46 主动攻击与被动攻击 46 主动攻击 46 被动攻击 46 恶意利用正规网站进行的被动攻击 47 跨站被动攻击 48 浏览器如何防御被动攻击 48 沙盒 49 同源策略 49 应用程序安全隐患与被动攻击 52 专栏 第三方 javascript 53 javascript 以外的跨域访问 54 frame 元素与iframe元素 54 专栏 x-frame-options 54 img 元素 54 script 元素 54 css 55 form 元素的action属性 55 总结 56 第4章 web应用的各种安全隐患 57 4-1 web 应用的功能与安全隐患的对应关系 58 安全隐患产生于何处 58 注入型隐患 59 总结 60 4-2 输入处理与安全性 61 什么是 web应用的输入处理 61 检验字符编码 62 转换字符编码 62 检验并转换字符编码的实例 62 专栏 字符编码的自动转换与安全性 64 输入校验 64 输入校验的目的 64 输入校验与安全性 65 二进制安全与空字节攻击 65 仅校验输入值并不是安全性策略 66 输入校验的依据是应用程序的规格 67 哪些参数需要校验 67 php 的正则表达式库 67 使用正则表达式检验输入值的实例（1） 1～5 个字符的字母数字 68 使用正则表达式检验输入值的实例（2） 住址栏 70 专栏 请注意 mb_ereg中的\d与\w 70 范例 70 专栏 输入校验与框架 71 总结 72 参考：表示非控制字符的字符的正则表达式 73 4-3 页面显示的相关问题 75 4.3.1 跨站脚本（基础篇） 75 概要 75 攻击手段与影响 76 xss 窃取cookie值 76 通过 javascript攻击 79 篡改网页 80 反射型 xss与存储型xss 82 安全隐患的产生原因 84 html 转义的概要 84 元素内容的 xss 85 没有用引号括起来的属性值的 xss 85 用引号括起来的属性值的 xss 85 对策 86 xss 对策的基础 86 指定响应的字符编码 87 xss 的辅助性对策 88 对策总结 89 参考：使用perl的对策示例 89 使用 perl进行html转义的方法 89 指定响应的字符编码 89 4.3.2 跨站脚本（进阶篇） 90 href 属性与src属性的xss 91 生成 url时的对策. 92 校验链接网址 92 javascript 的动态生成 92 事件绑定函数的 xss 92 script 元素的xss 94 javascript 字符串字面量动态生成的对策 95 dom based xss 97 允许 html标签或css时的对策 99 参考：perl中转义unicode的函数 99 4.3.3 错误