构建安全的Web站点PDF电子书下载

第一章 Internet简介 1

1.1 Internet的简史 2

1.2 Internet功能概要 4

1.3 Web结构 5

1.3.1 Web服务器 5

1.3.2 Web浏览器 6

1.4 通用网关接口（CGI）介绍 7

第二章 Web的安全问题 9

2.1 Web安全框架 11

2.1.1 定义资源 11

2.1.2 定义风险 12

2.1.3 建立安全策略 12

2.1.5 Web服务存在风险的原因 13

2.1.4 定义安全机制 13

2.2 Web服务器的风险和安全提升机制 14

2.2.1 Internet主机的风险 14

2.2.2 Internet主机的安全机制 16

2.2.3 Web服务器软件易受攻击性 18

2.2.4 Web服务器安全配置原则 20

2.2.5 认证和访问控制机制 21

2.3 Web客户端的风险和安全提升机制 25

2.3.1 信息泄漏 26

2.3.2 内容协商与查看器 27

2.4 防火墙的功能 29

2.4.1 防火墙的功能 29

2.4.2 防火墙的使用 29

2.4.3 代理服务器 30

2.4.4 Internet与防火墙的关系 31

第三章 Web服务器的安全 33

3.1 安全隐患 34

3.2 Internet各层的安全模型 34

3.2.1 传输层的安全 38

3.2.2 应用层的安全 39

3.3 服务器和文档根目录的权限设置 41

3.4 Web服务器一些功能的安全 43

3.4.1 自动目录列表功能 43

3.4.2 符号连接 44

3.4.3 Server Side Includes 44

3.4.4 用户维护的目录 44

3.5 以root身份运行的Web服务器 45

3.6 Web服务器和FTP服务器共用文档树的情况 46

3.7 在chroot环境下运行Web服务器 46

3.8 检查站点是否被攻破 47

第四章 Web站点上数据的安全 49

4.1 访问限制类型 50

4.1.1 通过IP地址、子网或域名来控制 50

4.1.2 通过用户名/口令限制 50

4.1.3 用公用密钥加密方法 50

4.2 通过IP地址或域名限制实例 50

4.3 通过用户名/口令限制实例 52

4.3.1 用户名/口令的安全性 52

4.3.2 授权新的用户 53

4.4 用户认证 56

4.5 允许用户在线地修改口令的CGI程序 56

4.6 access.conf文件与每个目录的访问控制文件的比较 57

4.7 加密的工作原理 57

4.8.2 SHTTP 58

4.8 SSL、SHTTP和Shen 58

4.8.1 SSL 58

4.8.3 Shen 59

4.9 免费的SSL软件模块 59

4.10 用个人证书来控制服务器访问 62

4.11 在Web上如何接受信用卡订单 62

4.12 First Virtual帐号、DigiCash、CyberCash和SET 63

4.12.1 First Virtual帐号 63

4.12.2 DigiCash 64

4.12.3 CyberCash 64

4.12.4 SET 65

4.12.5 Open Market Web商业系统 66

第五章 CGI脚本的安全性 67

5.2 CGI脚本带来的安全问题 69

5.1 安全隐患 69

5.2.1 脚本和其他程序的比较 70

5.2.2 表单中数据的真实性 70

5.3 cgi-bin目录与.cgi文件 70

5.4 编译型语言与解释型语言的比较 71

5.5 确认CGI脚本的安全性 72

5.6 Internet上含有漏洞的CGI程序 73

5.6.1 TextCounter 73

5.6.2 各种guestbook脚本 73

5.6.3 Excite Web搜索引擎（EWS） 74

5.6.4 info2www 74

5.6.5 count.cgi 74

5.6.7 php.cgi 75

5.6.8 files.pl 75

5.6.6 Web dist.cgi 75

5.6.9 Microsoft FrontPage扩展 76

5.6.10 nph-test-cgi 76

5.6.11 nph-publish 76

5.6.12 AnyForm 76

5.6.13 FormMail 77

5.7 编写CGI脚本时要考虑的问题 77

5.8 CGI与数据库/搜索引擎连接 79

5.9 PATH环境变量 80

5.10 CGIWRAP 81

5.11 Sbox 82

5.12 cgi程序的运行与用户接口 82

5.13 表单中的hidden变量 82

5.15.1 调用exec ( )和system( )的问题 83

5.14 POST与PUT方法 83

5.15 安全的Perl脚本程序 83

5.15.2 Perl的taint检查 85

5.15.3 打开taint检查后的问题 85

5.15.4 取消某个变量的taint 86

5.15.5 $foo=~/$user_variable/模式匹配的安全性 86

5.15.6 suid 87

第六章 Cookies及其安全 89

6.1 cookies介绍 90

6.2 工作方式 90

6.3 cookies中保存的内容 90

6.4 存放位置 91

6.6.3 不同站点的cookies 92

6.6.1 cookies不能从用户的硬盘上读取数据 92

6.6.2 cookies不能被用于收集敏感信息 92

6.6 cookies安全须知 92

6.5 生命周期 92

6.7 用户的浏览器泄漏的信息 93

6.8 服务器保存客户端状态信息的方法 93

6.9 用户泄露信息的原因 93

6.10 如何去掉cookies的方法 94

第七章 Java的安全性 97

7.1 Java的安全模型 98

7.1.1 类装载器 98

7.1.2 字节码验证器 99

7.1.3 安全管理器 100

7.1.4 Java语言提供的安全特性 101

7.2 JavaSecurity API 101

7.2.1 数字签名和JAR文件 102

7.2.2 密钥管理、消息文摘和访问列表 103

7.3 Java应用安全 103

7.3.1 Java Applet安全 103

7.3.2 浏览器上Applet的安全 104

7.4 Applet不能做什么 104

7.5 如何使Applet读取文件的方法 105

7.6 使Applet向文件中写数据的方法 106

7.7 Applet能够获取的系统信息 106

7.8 Applet连接其他主机的方法 107

7.9 Applet维持连续状态的方法 108

7.10 Applet不能在客户端启动其他的程序 108

第八章 提高IIS的安全性 109

8.1 Windows NT的安全与IIS的安全概述 111

8.2 Internet Information Server的安全机制 116

8.3 控制对Web节点的匿名访问 117

8.3.1 配置匿名用户帐号 118

8.3.2 允许匿名访问 119

8.3.3 更改匿名访问的帐号或密码 120

8.3.4 使用域控制器上的匿名帐号 120

8.4 帐号的安全 122

8.5 身份认证 123

8.5.1 WWW服务的身份认证 124

8.5.2 FTP服务的身份认证 124

8.5.3 匿名登录与客户身份认证的交互 126

8.6 通过文件夹和文件的权限控制访问 127

8.7 设置WWW目录访问权 132

8.7.1 读取权限 132

8.7.2 执行权限 133

8.8 通过IP地址控制访问权 134

8.8.2 允许访问特定计算机或计算机组 135

8.8.1 拒绝访问特定计算机或计算机组 135

8.9 运行其他网络服务 136

8.9.1 只运行所需要的服务 136

8.9.2 检查网络共享权限 137

8.9.3 禁止目录浏览 137

8.10 通过SSL保护数据传送 138

第九章 Apache服务器的安全性 141

9.1 Apache服务器介绍 142

9.2 控制CGI脚本的执行 142

9.3 如何使用SSI 143

9.4 /etc/passwd与Web页面认证 143

9.5 Apache在每次响应中都加入cookie 144

9.6 Apache没有加入SSL的原因 144

9.7.2 suEXEC安全模型 145

9.7 Apache的suEXEC 145

9.7.1 suEXEC介绍 145

9.7.3 配置和安装suEXEC 147

9.7.4 打开和关闭suEXEC 150

9.8 DBM用户认证 151

9.8.1 DBM介绍 151

9.8.2 准备Apache的DBM文件 152

9.8.3 创建DBM用户文件 152

9.8.4 限制目录访问 153

9.8.5 用户组 154

9.8.6 定制DBM文件的管理 154

9.9 Apache配置技巧 155

9.9.1 ServerRoot目录权限的设置 155

9.9.2 Server Side Includes的配置 155

9.9.4 缺省地保护服务器文件 156

9.9.3 阻止用户修改系统配置 156

第十章 客户端的安全性 159

10.1 客户端可能泄漏的信息 160

10.2 配置/bin/csh作为查看器 160

10.3 SSL使用的加密方法的安全性 161

10.4 Java和JavaScript的区别 162

10.5 JavaScript的安全性 163

10.5.1 截取用户的电子邮件地址和其他信息 163

10.5.2 截取用户本地机器上的文件 164

10.5.3 监视用户的会话过程 164

10.5.4 Frame造成的信息泄漏 165

10.5.5 文件上传漏洞 166

10.6 ActiveX的安全性 166

10.8 UNIX下的Lynx的安全性 168

10.7 浏览器暴露用户的局域网登录的用户名/口令 168

10.9.1 缓冲区溢出漏洞 169

10.9 Microsoft Internet Explorer的安全漏洞 169

10.9.2 递归Frames漏洞 170

10.9.3 “快捷方式漏洞” 171

10.10 Netscape的安全漏洞 172

10.10.1 缓冲区溢出漏洞 172

10.10.2 个人喜好漏洞 172

10.10.3 类装载器Java漏洞 173

10.10.4 长文件名电子邮件漏洞 173

10.10.5 Singapore隐私漏洞 173

第十一章 已知的Web服务器漏洞 175

11.1 Windows NT上的Web服务器 176

11.1.1 Netscape Communications Server for NT的安全漏洞 176

11.1.3 Purveyor Server for Windows NT的安全漏洞 178

11.1.2 O Reilly WebSite Server for Windows NT的安全漏洞 178

11.1.4 Microsoft IIS Web服务器的安全漏洞 179

11.1.5 Sun的JavaWebServer for Windows NT安全漏洞 180

11.1.6 MctaInfo MetaWeb服务器的安全漏洞 180

11.2 UNIX系统上的Web服务器 181

11.2.1 NCSA httpd的安全漏洞 181

11.2.2 Apache httpd的安全漏洞 182

11.2.3 Netscape Servers的安全漏洞 185

11.2.4 Lotus Domino Go Server 的安全漏洞 185

11.3 Macintosh系统上的Web服务器 185

11.3.1 WebStar的安全漏洞 185

11.3.2 Quid Pro Quo的安全漏洞 186

11.4 Novell WebServer的安全漏洞 186