构建安全Web站点PDF电子书下载

第1章 Web简介 1

1．1 Internet Web简史 2

1．1．1引言 2

1．1．2 Internet的起源 2

1．1．3 Internet Web的发展 3

1．1．4无处不在的Internet Web 7

1．1．5下一代Internet的发展计划 8

1．1．6 Internet及 Web进一步发展急需解决的问题 8

1．2 Internet功能概要 9

1．3 Web技术简介 10

1．3．1 HTTP协议 11

1．3．2 HTML语言及其他Web编程语言 12

1．3．3 Web服务器 13

1．3．5公共网关接口介绍 14

1．3．4 Web浏览器 14

第2章Web的安全需求 17

2．1 Web带来的好处 18

2．2 Web带来的忧虑 18

2．3 Web的安全风险 20

2．4 Web安全体系结构 20

2．4．1 Web安全体系结构概述 21

2．4．2主机系统的安全需求 21

2．4．3网络系统的安全 22

2．4．4 Web应用的安全 28

2．5 Web服务器的安全需求 28

2．5．5确保Web服务器不被用做跳板来进一步侵入内部网络 29

2．5．3保护访问Web服务器用户的隐私 29

2．5．2维护Web服务的可用性 29

2．5．1维护所公布信息的完整性和真实性 29

2．5．5确保Web服务器不被用做跳板来进一步侵入其他网络 30

2．6 Web浏览器的安全需求 30

2．7 Web传输过程的安全需求 30

第3章Web服务器的安全策略 32

3．1周密制定安全政策 33

3．1．1安全资源的定义和重要等级划分 33

3．1．2安全风险评估 33

3．1．3安全策略的基本原则和安全管理规定 34

3．1．4安全培训制度 34

3．1．5意外事件处理措施 34

3．2认真选择Web服务器设备和相关软件 35

3．3．1将Web服务器与内部网络相隔开来 36

3．3仔细配置Web服务器 36

3．3．2维护一份安全的Web站点的拷贝 37

3．3．3合理配置主机系统 37

3．3．4合理配置Web服务器软件 40

3．4谨慎组织Web服务器的内容 47

3．4．1链接检查 47

3．4．2 CGI程序检测 48

3．5安全管理Web服务器 48

3．5．1以安全的方式更新Web服务器内容 49

3．5．2经常审查有关日志记录 49

3．5．3进行必要的数据备份 49

3．5．5辅助工具 50

3．5．4定期对Web服务器进行安全检查 50

3．6积极跟踪最新安全指南 52

3．7沉着处理意外事件 53

3．7．1检测入侵迹象的一般方法 53

3．7．2意外事件处理措施 54

3．7．3关于追捕入侵者 54

第4章 分布式拒绝服务攻击：原理、工具和对策 56

4．1拒绝服务攻击 57

4．2分布式拒绝服务攻击 59

4．2．1概念描述 60

4．2．2结构和工作原理 60

4．2．3通信 60

4．2．4攻击方法 61

4．3．1概述 62

4．2．5安装 62

4．3安全对策 62

4．3．2紧密跟踪安全动态 63

4．3．3简单的服务、严格的访问控制策略 63

4．3．4定期对系统进行安全检查 64

4．3．5建立基准值超标报警机制 64

4．3．6准备简单实用的网络协议记录、分析工具 65

4．3．7沉着处理意外事件 65

4．4未来的攻击 65

第5章 CGI的安全管理 67

5．1 CGI的安全风险 68

5．2安全的程序语言 68

5．3 CGI输入数据的编码和解码 69

5．4 CGI程序的常见安全隐患 71

5．4．1敏感数据保护 71

5．4．2环境变量提供的信息 71

5．4．3对Post和Get输入数据的检查 73

5．4．4系统调用 77

5．5加强CGI安全性的措施 78

5．5．1使用专门的目录CGI程序 78

5．5．2使用最小的特权运行CGI程序 79

5．5．3在有限的文件系统空间内运行CGI 79

5．5．4关闭可有可元的服务器选项 79

5．5．5仔细检查CGI编程安全 80

5．5．6有关辅助工具介绍 80

5．5．7安全Perl编程 81

第6章 Cookies及其安全 85

6．1 Cookies的工作原理 86

6．2 Cookies的特点 87

6．3 Cookies安全特性 87

6．3．1 Cookies与系统安全 87

6．3．2 Cookies与个人隐私 88

6．3．3 Cookies之间的关系 88

6．3．4来源不明的Cookies 88

6．4 Cookies的删除方法 89

第7章 Java的安全性 92

7．1 Java平台简介 93

7．2．1第一代Java中的沙箱模型 94

7．2 Java的安全特性 94

7．2．2 Java2中的安全模型概览 95

7．2．3 Java2的安全保护机制 96

7．2．4 Java2中的安全工具 102

7．3 Java Applet的安全性 103

7．3．1 Applet的限制 104

7．3．2 扩充Applet的功能 105

7．3．3 Applet写文件功能的实现方法 105

7．3．4利用Applet获取系统信息 106

7．3．5 Applet联接其他主机的方法 107

7．3．6 Applet维持连续状态的方法 107

第8章 加密技术在Web安全管理中的应用 108

8．1 HTTP网络传输引入的安全隐患 109

8．2．1 HTTP的基本认证机制 110

8．2 HTTP协议的基本认证的脆弱性 110

8．2．2基本认证的实施 112

8．3加密算法简介 112

8．3．1术语解释 113

8．3．2私钥系统 114

8．3．3公钥系统 116

8．3．4加密算法在Web中的应用 117

8．4 Web安全认证方案 118

8．4．1识别方法 118

8．4．2 认证方案 120

8．5 Web安全传输 123

8．5．1 SSL 123

8．5．3 SHTTP 125

8．5．2 TLS 125

8．5．5 Shen 126

8．6电子商务安全支付模型 126

8．6．1 SET 126

8．6．2 First Virtual账号 128

8．6．3 DigiCash 128

8．6．4 CyberCash 129

8．7免费的安全的Web服务器程序 129

第9章Web浏览器的安全 133

9．1浏览器自动引发的应用 134

9．1．1 PostScript文件 134

9．1．3 Javal Applet的安全性 135

9．1．2配置/bin/csh作为查看器 135

9．1．4 JavaScript的安全性 137

9．1．5 ActiveX的安全性 139

9．1．6安全对策 141

9．2 Web页面或下载文件中内嵌的恶意代码 143

9．3浏览器本身的漏洞 144

9．3．1 UNIX下的Lynx的一个安全漏洞 144

9．3．2 Microsoft Internet Explorer的安全漏洞 144

9．3．3 Netscape的安全漏洞 146

9．4浏览器泄露的敏感信息 148

9．5 Web欺骗 151

9．5．1欺骗攻击 151

9．5．2 Web欺骗攻击的原理 152

9．5．3对策 153

第10章 Apache服务器的安全性 155

10．1 Apache服务器简介 156

10．2 Apache服务器的安全特性 157

10．2．1选择性访问控制和自由选择性访问控制 157

10．2．2 Apache的安全模块 158

10．3 Apache服务器的安全配置 158

10．3．1 Apache服务器的安装配置和运行 159

10．3．2 Apache Sever 基于主机的访问控制 162

10．3．3 Apache Sever的用户认证与授权 165

10．4建立支持SSL的Apache服务器 167

10．4．1系统需求 167

10．4．4生成SSL支持的Apache Server 168

10．4．3产生私有密钥及获取证书（Certificate） 168

10．4．2安装SSL 168

10．4．5 SSL和基于名字的虚拟主机（Name-Based Virtual Hosts） 169

10．5 suEXEC安全模型 169

10．5．1配置和安装suEXEC 171

10．5．2打开和关闭suEXEC 173

10．6 DBM用户认证 173

10．6．1 DBM介绍 174

10．6．2准备Apache的DBM文件 174

10．6．3创建DBM用户文件 174

10．6．4目录访问限制 175

10．6．5用户组 175

10．7．1 ServerRoot目录权限的设置 176

10．7 Apache配置技巧 176

10．6．6定制DBM文件的管理 176

10．7．2 Server Side Includes的配置 177

10．7．3阻止用户修改系统配置 177

10．7．4缺省地保护服务器文件 177

第11章 IIS服务器的安全管理 179

11．1 IIS 4.0特性 180

11．2 IIS 4.0安全性设置 184

11．2．1 HTTP服务的安全特征设置 184

11．2．2 FTP服务的安全特征设置 190

11．3 IIS 4.0服务器的安全管理——一揽子解决方案 193

第12章 Web服务器的安全 210

12．2．1 Internet信息传递过程 211

12．2利用防火墙增强Web服务器的安全性 211

12．1防火墙的概念和作用 211

12．2．2报文过滤技术 213

12．2．3应用网关技术 215

12．2．4防火墙技术进展 217

12．3防火墙的局限性 219

12．4入侵检测系统 220

12．4．1入侵检测系统的概念 220

12．4．2入侵检测系统的类型 220

12．5利用入侵检测系统保护Web服务的安全 221

12．5．1典型的入侵步骤 221

12．5．2入侵检测系统的功能 222

12．5．3入侵检测系统的使用 223

附录 缩略语参考对照表 225