Web安全防护指南(基础篇)/网络空间安全技术丛书

Web系统由于其高度可定制的特点，非常适合承 载现有的互联网应用。同时，由于大量Web应用功能 及版本的快速更新，也导致各类新型Web安全问题的 出现。尽管Web安全问题的表现形式各异，但深入分 析各类安全问题的成因会发现，这些安全问题有一定 的共性并能通过相关的网络安全技术来加以防御和解 决。 本书作者基于多年的安全研究、教学、工程实践 经验，以帮助读者建立知识体系为目标，通过原理、 方法、代码、实践的层层深入，使读者充分理解Web 安全问题的成因、危害、关联，进而有效地保护Web 系统，抵御攻击。 蔡晶晶、张兆心、林天翔编著的《Web安全防护 指南(基础篇)》以知识递进的层次安排内容，首先介 绍Web应用中的基础漏洞和Web应用的业务逻辑层面的 基础安全问题，然后介绍实际Web站点上线之后的基 础防护方式，并从Web整体应用的视角下展示攻防对 抗过程中的技术细节，最后总结Web安全防护体系建 设的基本方法，最终掌握Web安全防护的整体内容。

蔡晶晶 北京永信至诚科技有限公司创始人，董事长。从事网络安全相关工作17年，国内资深互联网安全专家之一。多年浸润攻防一线，培养出许多安全专家。中国国家信恩安全漏洞库特聘专家，互联网网络安全应急专家组委员，2008年曾担任奥运安保互联网应急处置技术支援专家，并担任反黑客组组长。目前专注于网络空间安全学科人才的培养、企业安全能力的提高及公众安全意识的提升，创办的i春秋学院已成为国内影响力最大的信息安全教育机构，e春秋网络安全实验室已成为国内顶级信安赛事的支持平台。他相信信息安全技术是一种生存技能，并希望通过有温度的技术培育信息时代的安全感。

推荐序 前言 第一部分 基础知识 第1章 Web安全基础 1.1 Web安全的核心问题 1.2 HTTP协议概述 1.2.1 HTTP请求头的内容 1.2.2 HTTP协议响应头的内容 1.2.3 URL的基本格式 1.3 HTTPS协议的安全性分析 1.3.1 HTTPS协议的基本概念 1.3.2 HTTPS认证流程 1.3.3 HTTPS协议的特点总结 1.4 Web应用中的编码与加密 1.4.1 针对字符的编码 1.4.2 传输过程的编码 1.4.3 Web系统中的加密措施 1.5 本章小结 第二部分 网络攻击的基本防护方法 第2章 XSS攻击 2.1 XSS攻击的原理 2.2 XSS攻击的分类 2.2.1 反射型XSS 2.2.2 存储型XSS 2.2.3 基于DOM的XSS 2.3 XSS攻击的条件 2.4 漏洞测试的思路 2.4.1 基本测试流程 2.4.2 XSS进阶测试方法 2.4.3 测试流程总结 2.5 XSS攻击的利用方式 2.5.1 窃取Cookie 2.5.2 网络钓鱼 2.5.3 窃取客户端信息 2.6 XSS漏洞的标准防护方法 2.6.1 过滤特殊字符 2.6.2 使用实体化编码 2.6.3 HttpOnly 2.7 本章小结 第3章 请求伪造漏洞与防护 3.1 CSRF攻击 3.1.1 CSRF漏洞利用场景 3.1.2 针对CSRF的防护方案 3.1.3 CSRF漏洞总结 3.2 SSRF攻击 3.2.1 SSRF漏洞利用场景 3.2.2 针对SSRF的防护方案 3.2.3 SSRF漏洞总结 3.3 本章小结 第4章 SQL注入