Web应用系统安全设计与检测PDF电子书下载

第1章 概述 1

1.1 Web应用技术的发展 1

1.2 Web应用安全形势 3

1.2.1 Web应用安全攻击的后果 3

1.2.2 Web应用安全问题 3

1.2.3 Web应用安全的特点 4

1.3 Web应用安全防护 6

1.3.1设计实现阶段 7

1.3.2配置部署阶段 9

1.3.3运行维护阶段 10

1.3.4安全测评 11

第2章Web应用安全隐患 13

2.1概述 13

2.1.1 Web应用系统安全隐患的成因 13

2.1.2 Web应用系统安全隐患研究现状 14

2.2 Web应用程序设计安全隐患 18

2.2.1用户访问处理安全隐患 18

2.2.2用户输入验证安全隐患 23

2.2.3文件系统管理安全隐患 34

2.2.4代码编写安全隐患 36

2.3 Web应用配置安全隐患 41

2.3.1 Web服务器的配置安全隐患 42

2.3.2数据库管理系统的配置管理安全隐患 49

2.3.3应用系统配置管理安全隐患 54

2.4 Web应用系统平台安全隐患 55

2.4.1 Web服务器软件漏洞 55

2.4.2数据库管理系统漏洞 68

2.4.3第三方内容管理系统漏洞 74

第3章 设计安全的Web应用系统架构 76

3.1运行环境设计和部署 77

3.1.1 网络基础环境 77

3.1.2主机系统安全 77

3.2应用系统设计、实现及配置 78

3.2.1安全加固 78

3.2.2设计实现 78

3.2.3安全配置 79

第4章 设计Web应用系统的安全功能 80

4.1示例系统——办公自动化系统 80

4.1.1系统背景 80

4.1.2系统业务需求分析 80

4.1.3系统业务功能设计 81

4.2安全的身份鉴别机制 82

4.2.1安全目标 82

4.2.2系统问题分析 83

4.2.3可供选择的安全实现技术 84

4.2.4身份鉴别安全功能设计 85

4.3安全的访问控制机制 89

4.3.1安全目标 90

4.3.2系统问题分析 90

4.3.3访问控制安全功能设计 91

4.4安全的会话管理机制 97

4.4.1安全目标 97

4.4.2系统问题分析 97

4.4.3示例系统的会话管理安全功能设计 98

4.5安全的审计管理机制 100

4.5.1安全目标 100

4.5.2系统问题分析 100

4.5.3常见的第三方日志组件 101

4.5.4安全审计功能设计 102

4.6安全的资源管理机制 104

4.6.1安全目标 104

4.6.2系统问题分析 104

4.6.3资源管理功能设计 105

4.7安全的软件容错机制 106

4.7.1安全目标 106

4.7.2系统问题分析 107

4.7.3软件容错安全功能详细设计 107

4.8安全的数据处理机制 109

4.8.1安全目标 109

4.8.2系统问题分析 109

4.8.3数据处理安全功能设计 109

第5章 设计安全的源代码 111

5.1实现安全的输入输出处理机制 111

5.2实现安全的Web请求处理机制 116

5.3实现安全的文件系统源代码 118

5.4实现安全的数据库系统源代码 119

5.5实现安全的日志处理源代码 120

5.6实现安全的安全特性源代码 121

第6章 配置安全的Web应用系统 125

6.1配置安全的Web服务器 125

6.1.1 IIS的安全配置 125

6.1.2 Tomcat的安全配置 132

6.1.3 Apache的安全配置 135

6.1.4 WebSphere的安全配置 139

6.1.5 WebLogic的安全配置 143

6.2配置安全的数据库管理系统 149

6.2.1通用安全配置 149

6.2.2 MySQL的安全配置 150

6.2.3 Microsoft SQL Server的安全配置 150

6.2.4 ORACLE的安全配置 152

6.3配置安全的应用系统 155

6.3.1身份鉴别 155

6.3.2访问控制 155

6.3.3安全审计 156

6.3.4资源管理 156

第7章Web应用系统源代码安全审查 157

7.1概述 157

7.2源代码静态分析常见方法 157

7.3人工审查 159

7.3.1代码检查方法简介 159

7.3.2人工审查流程 160

7.4自动化审查 162

7.4.1常见的源代码安全审查工具简介 163

7.4.2借助自动化工具的审查流程 163

第8章Web应用系统符合性检测 167

8.1 Web应用系统安全功能符合性检测 167

8.1.1身份鉴别 167

8.1.2访问控制 168

8.1.3安全审计 169

8.1.4系统容错 170

8.1.5资源管理 170

8.1.6数据完整性 171

8.1.7数据保密性 171

8.1.8备份和恢复 171

8.2 Web服务器配置安全符合性检测 172

8.2.1 IIS 172

8.2.2 Tomcat 173

8.2.3 Weblogic 173

8.2.4 W ebsphere 174

8.3 Web应用系统数据库管理系统配置安全符合性检测 175

8.3.1 SQL Server数据库 175

8.3.2 Oracle数据库 178

第9章Web应用系统渗透测试 181

9.1 Web渗透测试概述 181

9.1.1 Web渗透测试的作用 181

9.1.2 Web渗透测试的流程 181

9.1.3 Web渗透测试工具 182

9.2信息挖掘与分析 183

9.2.1 Web应用程序信息分析 183

9.2.2 Web应用系统结构分析 190

9.3测试身份鉴别机制 193

9.3.1测试鉴别凭据管理缺陷 193

9.3.2测试验证码缺陷 195

9.4测试输入验证机制 200

9.4.1测试跨站脚本漏洞 200

9.4.2测试SQL注入漏洞 205

9.5测试文件操作漏洞 223

9.5.1测试目录遍历漏洞 223

9.5.2测试文件包含漏洞 224

9.5.3测试文件上传漏洞 227

附录 231

附录1 Web应用系统程序设计常见安全缺陷列表 233

附录2 Web应用程序的安全检测表（节选） 235

附录3 Web安全检测常见工具 237

附录4 WASC WSTCv2应用安全漏洞分类 244

参考文献 246