Web應(yīng)用系統(tǒng)安全設(shè)計(jì)與檢測(cè)

第1章 概述
1.1 Web應(yīng)用技術(shù)的發(fā)展
1.2 Web應(yīng)用安全形勢(shì)
1.2.1 Web應(yīng)用安全攻擊的后果
1.2.2 Web應(yīng)用安全問題
1.2.3 Web應(yīng)用安全的特點(diǎn)
1.3 Web應(yīng)用安全防護(hù)
1.3.1 設(shè)計(jì)實(shí)現(xiàn)階段
1.3.2 配置部署階段
1.3.3 運(yùn)行維護(hù)階段
1.3.4 安全測(cè)評(píng)
第2章 Web應(yīng)用安全隱患
2.1 概述
2.1.1 Web應(yīng)用系統(tǒng)安全隱患的成因
2.1.2 Web應(yīng)用系統(tǒng)安全隱患研究現(xiàn)狀
2.2 Web應(yīng)用程序設(shè)計(jì)安全隱患
2.2.1 用戶訪問處理安全隱患
2.2.2 用戶輸入驗(yàn)證安全隱患
2.2.3 文件系統(tǒng)管理安全隱患
2.2.4 代碼編寫安全隱患
2.3 Web應(yīng)用配置安全隱患
2.3.1 Web服務(wù)器的配置安全隱患
2.3.2 數(shù)據(jù)庫管理系統(tǒng)的配置管理安全隱患
2.3.3 應(yīng)用系統(tǒng)配置管理安全隱患
2.4 Web應(yīng)用系統(tǒng)平臺(tái)安全隱患
2.4.1 Web服務(wù)器軟件漏洞
2.4.2 數(shù)據(jù)庫管理系統(tǒng)漏洞
2.4.3 第三方內(nèi)容管理系統(tǒng)漏洞
第3章 設(shè)計(jì)安全的Web應(yīng)用系統(tǒng)架構(gòu)
3.1 運(yùn)行環(huán)境設(shè)計(jì)和部署
3.1.1 網(wǎng)絡(luò)基礎(chǔ)環(huán)境
3.1.2 主機(jī)系統(tǒng)安全
3.2 應(yīng)用系統(tǒng)設(shè)計(jì)、實(shí)現(xiàn)及配置
3.2.1 安全加固
3.2.2 設(shè)計(jì)實(shí)現(xiàn)
3.2.3 安全配置
第4章 設(shè)計(jì)Web應(yīng)用系統(tǒng)的安全功能
4.1 示例系統(tǒng)--辦公自動(dòng)化系統(tǒng)
4.1.1 系統(tǒng)背景
4.1.2 系統(tǒng)業(yè)務(wù)需求分析
4.1.3 系統(tǒng)業(yè)務(wù)功能設(shè)計(jì)
4.2 安全的身份鑒別機(jī)制
4.2.1 安全目標(biāo)
4.2.2 系統(tǒng)問題分析
4.2.3 可供選擇的安全實(shí)現(xiàn)技術(shù)
4.2.4 身份鑒別安全功能設(shè)計(jì)
4.3 安全的訪問控制機(jī)制
4.3.1 安全目標(biāo)
4.3.2 系統(tǒng)問題分析
4.3.3 訪問控制安全功能設(shè)計(jì)
4.4 安全的會(huì)話管理機(jī)制
4.4.1 安全目標(biāo)
4.4.2 系統(tǒng)問題分析
4.4.3 示例系統(tǒng)的會(huì)話管理安全功能設(shè)計(jì)
4.5 安全的審計(jì)管理機(jī)制
4.5.1 安全目標(biāo)
4.5.2 系統(tǒng)問題分析
4.5.3 常見的第三方日志組件
4.5,4 安全審計(jì)功能設(shè)計(jì)
4.6 安全的資源管理機(jī)制
4.6.1 安全目標(biāo)
4.6.2 系統(tǒng)問題分析
4.6.3 資源管理功能設(shè)計(jì)
4.7 安全的軟件容錯(cuò)機(jī)制
4.7.1 安全目標(biāo)
4.7.2 系統(tǒng)問題分析
4.7.3 軟件容錯(cuò)安全功能詳細(xì)設(shè)計(jì)
4.8 安全的數(shù)據(jù)處理機(jī)制
4.8.1 安全目標(biāo)
4.8.2 系統(tǒng)問題分析
4.8.3 數(shù)據(jù)處理安全功能設(shè)計(jì)
第5章 設(shè)計(jì)安全的源代碼
5.1 實(shí)現(xiàn)安全的輸入輸出處理機(jī)制
5.2 實(shí)現(xiàn)安全的Web請(qǐng)求處理機(jī)制
5.3 實(shí)現(xiàn)安全的文件系統(tǒng)源代碼
5.4 實(shí)現(xiàn)安全的數(shù)據(jù)庫系統(tǒng)源代碼
5.5 實(shí)現(xiàn)安全的日志處理源代碼
5.6 實(shí)現(xiàn)安全的安全特性源代碼
第6章 配置安全的Web應(yīng)用系統(tǒng)
6.1 配置安全的Web服務(wù)器
6.1.1 IIS的安全配置
6.1.2 Tomcat的安全配置
6.1.3 Apache的安全配置
6.1.4 WebSphere的安全配置
6.1.5 WebLogic的安全配置
6.2 配置安全的數(shù)據(jù)庫管理系統(tǒng)
6.2.1 通用安全配置
6.2.2 MySQL的安全配置
6.2.3 Microsoft SQL Server的安全配置
6.2.4 ORACLE的安全配置
6.3 配置安全的應(yīng)用系統(tǒng)
6.3.1 身份鑒別
6.3.2 訪問控制
6.3.3 安全審計(jì)
6.3.4 資源管理
第7章 Web應(yīng)用系統(tǒng)源代碼安全審查
7.1 概述
7.2 源代碼靜態(tài)分析常見方法
7.3 人工審查
7.3.1 代碼檢查方法簡(jiǎn)介
7.3.2 人工審查流程
7.4 自動(dòng)化審查
7.4.1 常見的源代碼安全審查工具簡(jiǎn)介
7.4.2 借助自動(dòng)化工具的審查流程
第8章 Web應(yīng)用系統(tǒng)符合性檢測(cè)
8.1 Web應(yīng)用系統(tǒng)安全功能符合性檢測(cè)
8.1.1 身份鑒別
8.1.2 訪問控制
8.1.3 安全審計(jì)
8.1.4 系統(tǒng)容錯(cuò)
8.1.5 資源管理
8.1.6 數(shù)據(jù)完整性
8.1.7 數(shù)據(jù)保密性
8.1.8 備份和恢復(fù)
8.2 Web服務(wù)器配置安全符合性檢測(cè)
8.2.1 IIS
8.2.2 Tomcat
8.2.3 Weblogic
8.2.4 Websphere
8.3 Web應(yīng)用系統(tǒng)數(shù)據(jù)庫管理系統(tǒng)配置安全符合性檢測(cè)
8.3.1 SQL Server數(shù)據(jù)庫
8.3.2 Oracle數(shù)據(jù)庫
第9章 Web應(yīng)用系統(tǒng)滲透測(cè)試
9.1 Web滲透測(cè)試概述
9.1.1 Web滲透測(cè)試的作用
9.1.2 Web滲透測(cè)試的流程
9.1.3 Web滲透測(cè)試工具
9.2 信息挖掘與分析
9.2.1 Web應(yīng)用程序信息分析
9.2.2 Web應(yīng)用系統(tǒng)結(jié)構(gòu)分析
9.3 測(cè)試身份鑒別機(jī)制
9.3.1 測(cè)試鑒別憑據(jù)管理缺陷
9.3.2 測(cè)試驗(yàn)證碼缺陷
9.4 測(cè)試輸入驗(yàn)證機(jī)制
9.4.1 測(cè)試跨站腳本漏洞
9.4.2 測(cè)試SQL注入漏洞
9.5 測(cè)試文件操作漏洞
9.5.1 測(cè)試目錄遍歷漏洞
9.5.2 測(cè)試文件包含漏洞
9.5.3 測(cè)試文件上傳漏洞
附錄
附錄1 Web應(yīng)用系統(tǒng)程序設(shè)計(jì)常見安全缺陷列表
附錄2 Web應(yīng)用程序的安全檢測(cè)表（節(jié)選）
附錄3 Web安全檢測(cè)常見工具
附錄4 wASC WST、Cv2應(yīng)用安全漏洞分類
參考文獻(xiàn)