
Web应用安全权威指南 PDF 高清版
- 大小:19.8 MB
- 类型:Web安全
- 格式:PDF
- 热度:627
- 作者:徳丸浩
- 更新:2020-05-25 11:40:18

给网友朋友们带来一篇Web安全相关的资料,介绍了关于Web应用安全、权威指南方面,格式为PDF,资源大小19.8 MB,目前在Web安全类资源综合评分为:8.3分。
《web应用安全权威指南》 系日本web安全第一人德丸浩所创,是作者从业多年的经验总结。作者首先简要介绍了web应用的安全隐患以及产生原因,然后详细介绍了web安全的基础,如http、会话管理、同源策略等。此外还重点介绍了web应用的各种安全隐患,对其产生原理及对策进行了详尽的讲解。最后对如何提高web网站的安全性和开发安全的web应用所需要的管理进行了深入的探讨。本书可操作性强,读者可以通过下载已搭建的虚拟机环境亲自体验书中的各种安全隐患。《web应用安全权威指南》适合web相关的开发人员特别是安全及测试人员阅读。 八大章节全面剖析,深入浅出地讲解了sql注入、xss、csrf等web开发人员必知的web安全知识。通过在vmware player虚拟机上对php样本的攻击,详细介绍了安全隐患产生的原理及应对方法,助你打造安全无虞的web应用。 目录 第1章 什么是 web应用的安全隐患 1 1-1 安全隐患即能用于作恶的bug 2 1-2 为什么存在安全隐患会有问题 3 经济损失 3 法律要求 3 对用户造成不可逆的伤害 4 欺骗用户 4 被用于构建僵尸网络 4 1-3 产生安全隐患的原因 6 1-4 安全性 bug与安全性功能 7 1-5 本书的结构 8 第2章 搭建试验环境 9 2-1试验环境概要 10 2-2 安装 vmware player 11 什么是 vmware player 11 下载 vmware player 11 安装 vmware player 12 2-3 安装虚拟机及运行确认 14 虚拟机启动确认 14 虚拟机的使用方法 15 编辑 hosts文件 16 使用 ping确认连接 16 apache 与php的运行确认 17 设置并确认邮箱账号 17 2-4 安装 fiddler 18 什么是 fiddler 18 安装 fiddler 18 fiddler 的运行确认及简单用法 18 参考:虚拟机的数据一览 19 参考:如果无法连接试验环境的pop3服务器 20 第3章 web 安全基础:http、会话管理、同源策略 21 3-1 http 与会话管理 22 为什么要学习 http 22 最简单的 http 22 使用 fiddler观察http消息 23 请求消息 24 响应消息 24 状态行 25 响应头信息 25 如果将 http比喻为对话 25 输入-确认-注册模式 26 post 方法 28 消息体 28 百分号编码 29 referer 29 get 和post的使用区别 29 hidden 参数能够被更改 30 将 hidden参数的更改比作对话 32 hidden 参数的优点 32 无状态的 http认证 33 体验 basic认证 33 专栏 认证与授权 36 cookie 与会话管理 36 使用 cookie的会话管理 39 会话管理的拟人化解说 39 会话 id泄漏的原因 42 cookie 的属性 42 专栏 cookie monster bug 44 总结 45 3-2 被动攻击与同源策略 46 主动攻击与被动攻击 46 主动攻击 46 被动攻击 46 恶意利用正规网站进行的被动攻击 47 跨站被动攻击 48 浏览器如何防御被动攻击 48 沙盒 49 同源策略 49 应用程序安全隐患与被动攻击 52 专栏 第三方 javascript 53 javascript 以外的跨域访问 54 frame 元素与iframe元素 54 专栏 x-frame-options 54 img 元素 54 script 元素 54 css 55 form 元素的action属性 55 总结 56 第4章 web应用的各种安全隐患 57 4-1 web 应用的功能与安全隐患的对应关系 58 安全隐患产生于何处 58 注入型隐患 59 总结 60 4-2 输入处理与安全性 61 什么是 web应用的输入处理 61 检验字符编码 62 转换字符编码 62 检验并转换字符编码的实例 62 专栏 字符编码的自动转换与安全性 64 输入校验 64 输入校验的目的 64 输入校验与安全性 65 二进制安全与空字节攻击 65 仅校验输入值并不是安全性策略 66 输入校验的依据是应用程序的规格 67 哪些参数需要校验 67 php 的正则表达式库 67 使用正则表达式检验输入值的实例(1) 1~5 个字符的字母数字 68 使用正则表达式检验输入值的实例(2) 住址栏 70 专栏 请注意 mb_ereg中的\d与\w 70 范例 70 专栏 输入校验与框架 71 总结 72 参考:表示非控制字符的字符的正则表达式 73 4-3 页面显示的相关问题 75 4.3.1 跨站脚本(基础篇) 75 概要 75 攻击手段与影响 76 xss 窃取cookie值 76 通过 javascript攻击 79 篡改网页 80 反射型 xss与存储型xss 82 安全隐患的产生原因 84 html 转义的概要 84 元素内容的 xss 85 没有用引号括起来的属性值的 xss 85 用引号括起来的属性值的 xss 85 对策 86 xss 对策的基础 86 指定响应的字符编码 87 xss 的辅助性对策 88 对策总结 89 参考:使用perl的对策示例 89 使用 perl进行html转义的方法 89 指定响应的字符编码 89 4.3.2 跨站脚本(进阶篇) 90 href 属性与src属性的xss 91 生成 url时的对策. 92 校验链接网址 92 javascript 的动态生成 92 事件绑定函数的 xss 92 script 元素的xss 94 javascript 字符串字面量动态生成的对策 95 dom based xss 97 允许 html标签或css时的对策 99 参考:perl中转义unicode的函数 99 4.3.3 错误
相关资源
-
《液压与气动技术》源代码
编辑推荐 贯彻职业教育定向性、实用性、先进性,深入浅出,图文并茂,较多的应用实例,吸收行业领域新知识、新技术、新方法。 内容简介 本书是以液压传动为主、气压传动为辅的机械类、机电类专业的教学用书。全书共分7章,内容包括液压传动和流体力学基础、液压动力元件、液压执行元件、液压控制与辅助元件、液压基本回路、典型液压系统分析、气压传动技术等,章后附有小结及复习思考题,便于读者学习。 本书的编写自始至终贯彻职业教
大小:24.51 KB液压技术配套资源
-
《网页制作案例教程(第2版)》课件,教案
编辑推荐 平台经典:Dreamweaver CS3 Flash CS3 Photoshop CS3,实用性强:大量应用实例 使用技巧 每章实践练习题,配套丰富:PPT 素材 实例源代码 习题答案 教学视频。 内容简介 本书是一本指导初学者快速掌握网页设计与制作方法的普及类教材,章节内容按照高等院校普遍使用的教学大纲进行编排,在编写上采用理论介绍和案例讲解相结合的方式。 全书共12章,详细地介绍了初学者必须掌握的网页设计基本知识,常用网页制作软件Dreamweaver CS3、Flash CS3、Photo
大小:1.48 GB网页制作配套资源
-
《轻松玩转jQuery》源代码
内容简介 《轻松玩转jQuery》围绕着获取需要的jQuery对象,操作获得的jQuery对象这条主线,全面讲解了选择器、文档操作、事件处理、动画特效、Ajax交互、jQuery插件、jQueryUI插件等重要知识点。同时,为了进一步完善jQuery的知识体系,一方面对Firebug调试工具进行了详细介绍,以此培养学以致用的调试技能;另一方面在每一章后面提供了有趣的习题,用来测试和巩固学习的成效。 为了帮助读者轻松掌握这些内容,全书力图为每一段话举例,让每一段话都明
大小:649.46 KBjQuery配套资源
-
《Mastercam X中文版应用与实例教程》教案
内容介绍 本书以实例贯穿全书,通过大量实例介绍Mastercam X相关功能的具体应用。本书重点在于培养读者使用Mastercam X绘图和编程的技能,提高读者解决实际问题的能力。 全书共分8章,主要内容包括Mastercam X的绘图环境及基本操作、二维图形的绘制和编辑、二维图形的铣削加工、三维建模的基本知识、三维曲面的编辑、创建三维实体模型、曲面模型和实体模型的铣削加工、车削加工的基本知识和典型零件的加工等。 本书可作为高职高专院校机电、数控及
大小:54.24 MBMastercam配套资源
-
《3ds Max 2018超级学习手册》动画技术,渲染设置,素材
编辑推荐 *内容采用全新的3ds Max 2018版本为基础进行设计。 *选取的案例更丰富、更典型、更实用。 *移动学习,简单高效。 *与三维设计相关网站共同推广,附加资源更丰富。 内容简介 本书面向零基础读者,通过案例组织知识点,系统地介绍了3ds Max 2018 的使用方法和三维建模的实战技巧。全书共14 章,详细介绍了3ds Max 2018 的软件安装、操作界面、基本操作、几何体建模、图形建模、高级建模、材质与纹理、灯光技术、摄影机技术、渲染设置、动画技术
大小:3.1 GB3dsMax配套资源
-
多媒体技术基础(第三版) 课后答案
在第2版的基础上,本版教材对部分章节的内容做了更新,增加了MPEG-4 AVI/H.264和多媒体传输方面的内容。为保持多媒体技术基础课程内容的完整性,本教材仍由四个部分组成: 一是多媒体压缩和编码(第2~13章),主要介绍声音、图像和数字电视媒体的基本知识、压缩和编码方法;二是多媒体存储(第14~16章),主要介绍CD、DVD、HD-DVD和Blu-ray Disc存储器的存储原理和存储格式;三是多媒体传输(第17~20章),主要介绍多媒体网络应用、服务质量(QoS)、因特网、
大小:421 KB多媒体技术课后答案
-
微机原理与接口技术 课后答案
《微机原理与接口技术》以Intel系列芯片为样本重点介绍了微机原理与接口技术。《微机原理与接口技术》根据微处理器的最新发展,从IA-32结构微处理器(x86微处理器系列)整体着眼,又落实到最基本、最常用的处理器8086,介绍了微机系统原理、IA-32微处理器结构、各代处理器的特点、IA-32微处理器的指令系统、8086汇编语言程序设计、IA-32微处理器的工作方式、主存储器及与CPU的接口、输入输出、中断以及常用的微机接口电路和数模(D/A)转换与模数(A/D)转换
大小:23.5 KB微机原理课后答案
-
野火 STM32 HAL 库开发实战指南—基于F103-MINI
STM32 HAL 库开发实战指南分为基础入门篇和提高篇,入门篇需要按照顺序学习,讲究循序渐进,步步为营。学习完基础篇之后,应该算基本入门 M3。提高篇属于高级例程,学习的时候并不一定要按照书中的章节排序,可根据需要跳跃式的学习。 本手册着重讲解 F103 的外设以及外设的应用,力争全面分析每个外设的功能框图和外设的使用方法,让读者可以零死角的玩转 STM32F103 系列。基本每个章节对应一个外设,每章的主要内容大概分为三个部分,第一部分
大小:19.7 MBSTM32 HAL
下载地址
相关声明: