第1章 Web简介 1
1.1 Internet Web简史 2
1.1.1引言 2
1.1.2 Internet的起源 2
1.1.3 Internet Web的发展 3
1.1.4无处不在的Internet Web 7
1.1.5下一代Internet的发展计划 8
1.1.6 Internet及 Web进一步发展急需解决的问题 8
1.2 Internet功能概要 9
1.3 Web技术简介 10
1.3.1 HTTP协议 11
1.3.2 HTML语言及其他Web编程语言 12
1.3.3 Web服务器 13
1.3.5公共网关接口介绍 14
1.3.4 Web浏览器 14
第2章Web的安全需求 17
2.1 Web带来的好处 18
2.2 Web带来的忧虑 18
2.3 Web的安全风险 20
2.4 Web安全体系结构 20
2.4.1 Web安全体系结构概述 21
2.4.2主机系统的安全需求 21
2.4.3网络系统的安全 22
2.4.4 Web应用的安全 28
2.5 Web服务器的安全需求 28
2.5.5确保Web服务器不被用做跳板来进一步侵入内部网络 29
2.5.3保护访问Web服务器用户的隐私 29
2.5.2维护Web服务的可用性 29
2.5.1维护所公布信息的完整性和真实性 29
2.5.5确保Web服务器不被用做跳板来进一步侵入其他网络 30
2.6 Web浏览器的安全需求 30
2.7 Web传输过程的安全需求 30
第3章Web服务器的安全策略 32
3.1周密制定安全政策 33
3.1.1安全资源的定义和重要等级划分 33
3.1.2安全风险评估 33
3.1.3安全策略的基本原则和安全管理规定 34
3.1.4安全培训制度 34
3.1.5意外事件处理措施 34
3.2认真选择Web服务器设备和相关软件 35
3.3.1将Web服务器与内部网络相隔开来 36
3.3仔细配置Web服务器 36
3.3.2维护一份安全的Web站点的拷贝 37
3.3.3合理配置主机系统 37
3.3.4合理配置Web服务器软件 40
3.4谨慎组织Web服务器的内容 47
3.4.1链接检查 47
3.4.2 CGI程序检测 48
3.5安全管理Web服务器 48
3.5.1以安全的方式更新Web服务器内容 49
3.5.2经常审查有关日志记录 49
3.5.3进行必要的数据备份 49
3.5.5辅助工具 50
3.5.4定期对Web服务器进行安全检查 50
3.6积极跟踪最新安全指南 52
3.7沉着处理意外事件 53
3.7.1检测入侵迹象的一般方法 53
3.7.2意外事件处理措施 54
3.7.3关于追捕入侵者 54
第4章 分布式拒绝服务攻击:原理、工具和对策 56
4.1拒绝服务攻击 57
4.2分布式拒绝服务攻击 59
4.2.1概念描述 60
4.2.2结构和工作原理 60
4.2.3通信 60
4.2.4攻击方法 61
4.3.1概述 62
4.2.5安装 62
4.3安全对策 62
4.3.2紧密跟踪安全动态 63
4.3.3简单的服务、严格的访问控制策略 63
4.3.4定期对系统进行安全检查 64
4.3.5建立基准值超标报警机制 64
4.3.6准备简单实用的网络协议记录、分析工具 65
4.3.7沉着处理意外事件 65
4.4未来的攻击 65
第5章 CGI的安全管理 67
5.1 CGI的安全风险 68
5.2安全的程序语言 68
5.3 CGI输入数据的编码和解码 69
5.4 CGI程序的常见安全隐患 71
5.4.1敏感数据保护 71
5.4.2环境变量提供的信息 71
5.4.3对Post和Get输入数据的检查 73
5.4.4系统调用 77
5.5加强CGI安全性的措施 78
5.5.1使用专门的目录CGI程序 78
5.5.2使用最小的特权运行CGI程序 79
5.5.3在有限的文件系统空间内运行CGI 79
5.5.4关闭可有可元的服务器选项 79
5.5.5仔细检查CGI编程安全 80
5.5.6有关辅助工具介绍 80
5.5.7安全Perl编程 81
第6章 Cookies及其安全 85
6.1 Cookies的工作原理 86
6.2 Cookies的特点 87
6.3 Cookies安全特性 87
6.3.1 Cookies与系统安全 87
6.3.2 Cookies与个人隐私 88
6.3.3 Cookies之间的关系 88
6.3.4来源不明的Cookies 88
6.4 Cookies的删除方法 89
第7章 Java的安全性 92
7.1 Java平台简介 93
7.2.1第一代Java中的沙箱模型 94
7.2 Java的安全特性 94
7.2.2 Java2中的安全模型概览 95
7.2.3 Java2的安全保护机制 96
7.2.4 Java2中的安全工具 102
7.3 Java Applet的安全性 103
7.3.1 Applet的限制 104
7.3.2 扩充Applet的功能 105
7.3.3 Applet写文件功能的实现方法 105
7.3.4利用Applet获取系统信息 106
7.3.5 Applet联接其他主机的方法 107
7.3.6 Applet维持连续状态的方法 107
第8章 加密技术在Web安全管理中的应用 108
8.1 HTTP网络传输引入的安全隐患 109
8.2.1 HTTP的基本认证机制 110
8.2 HTTP协议的基本认证的脆弱性 110
8.2.2基本认证的实施 112
8.3加密算法简介 112
8.3.1术语解释 113
8.3.2私钥系统 114
8.3.3公钥系统 116
8.3.4加密算法在Web中的应用 117
8.4 Web安全认证方案 118
8.4.1识别方法 118
8.4.2 认证方案 120
8.5 Web安全传输 123
8.5.1 SSL 123
8.5.3 SHTTP 125
8.5.2 TLS 125
8.5.5 Shen 126
8.6电子商务安全支付模型 126
8.6.1 SET 126
8.6.2 First Virtual账号 128
8.6.3 DigiCash 128
8.6.4 CyberCash 129
8.7免费的安全的Web服务器程序 129
第9章Web浏览器的安全 133
9.1浏览器自动引发的应用 134
9.1.1 PostScript文件 134
9.1.3 Javal Applet的安全性 135
9.1.2配置/bin/csh作为查看器 135
9.1.4 JavaScript的安全性 137
9.1.5 ActiveX的安全性 139
9.1.6安全对策 141
9.2 Web页面或下载文件中内嵌的恶意代码 143
9.3浏览器本身的漏洞 144
9.3.1 UNIX下的Lynx的一个安全漏洞 144
9.3.2 Microsoft Internet Explorer的安全漏洞 144
9.3.3 Netscape的安全漏洞 146
9.4浏览器泄露的敏感信息 148
9.5 Web欺骗 151
9.5.1欺骗攻击 151
9.5.2 Web欺骗攻击的原理 152
9.5.3对策 153
第10章 Apache服务器的安全性 155
10.1 Apache服务器简介 156
10.2 Apache服务器的安全特性 157
10.2.1选择性访问控制和自由选择性访问控制 157
10.2.2 Apache的安全模块 158
10.3 Apache服务器的安全配置 158
10.3.1 Apache服务器的安装配置和运行 159
10.3.2 Apache Sever 基于主机的访问控制 162
10.3.3 Apache Sever的用户认证与授权 165
10.4建立支持SSL的Apache服务器 167
10.4.1系统需求 167
10.4.4生成SSL支持的Apache Server 168
10.4.3产生私有密钥及获取证书(Certificate) 168
10.4.2安装SSL 168
10.4.5 SSL和基于名字的虚拟主机(Name-Based Virtual Hosts) 169
10.5 suEXEC安全模型 169
10.5.1配置和安装suEXEC 171
10.5.2打开和关闭suEXEC 173
10.6 DBM用户认证 173
10.6.1 DBM介绍 174
10.6.2准备Apache的DBM文件 174
10.6.3创建DBM用户文件 174
10.6.4目录访问限制 175
10.6.5用户组 175
10.7.1 ServerRoot目录权限的设置 176
10.7 Apache配置技巧 176
10.6.6定制DBM文件的管理 176
10.7.2 Server Side Includes的配置 177
10.7.3阻止用户修改系统配置 177
10.7.4缺省地保护服务器文件 177
第11章 IIS服务器的安全管理 179
11.1 IIS 4.0特性 180
11.2 IIS 4.0安全性设置 184
11.2.1 HTTP服务的安全特征设置 184
11.2.2 FTP服务的安全特征设置 190
11.3 IIS 4.0服务器的安全管理——一揽子解决方案 193
第12章 Web服务器的安全 210
12.2.1 Internet信息传递过程 211
12.2利用防火墙增强Web服务器的安全性 211
12.1防火墙的概念和作用 211
12.2.2报文过滤技术 213
12.2.3应用网关技术 215
12.2.4防火墙技术进展 217
12.3防火墙的局限性 219
12.4入侵检测系统 220
12.4.1入侵检测系统的概念 220
12.4.2入侵检测系统的类型 220
12.5利用入侵检测系统保护Web服务的安全 221
12.5.1典型的入侵步骤 221
12.5.2入侵检测系统的功能 222
12.5.3入侵检测系统的使用 223
附录 缩略语参考对照表 225