Web應(yīng)用安全威脅與防治：基于OWASP Top 10與ESAPI

第1篇  引子
故事一：家有一IT，如有一寶 2
故事二：微博上的蠕蟲 3
故事三：明文密碼 5
故事四：IT青年VS禪師 5
第2篇  基礎(chǔ)篇
第1章  Web應(yīng)用技術(shù) 8
1.1  HTTP簡(jiǎn)介 8
1.2  HTTPS簡(jiǎn)介 10
1.3  URI 11
1.3.1  URL 11
1.3.2  URI/URL/URN 12
1.3.3  URI比較 13
1.4  HTTP消息 13
1.4.1  HTTP方法 14
1.4.2  HTTP狀態(tài)碼 19
1.5  HTTP Cookie 20
1.5.1  HTTP Cookie的作用 22
1.5.2  HTTP Cookie的缺點(diǎn) 23
1.6  HTTP session 23
1.7  HTTP的安全 24
第2章  OWASP 27
2.1  OWASP簡(jiǎn)介 27
2.2  OWASP風(fēng)險(xiǎn)評(píng)估方法 28
2.3  OWASP Top 10 34
2.4  ESAPI（Enterprise Security API） 35
第3篇  工具篇
第3章  Web服務(wù)器工具簡(jiǎn)介 38
3.1  Apache 38
3.2  其他Web服務(wù)器 39
第4章  Web瀏覽器以及調(diào)試工具 42
4.1  瀏覽器簡(jiǎn)介 42
4.1.1  基本功能 42
4.1.2  主流瀏覽器 43
4.1.3  瀏覽器內(nèi)核 44
4.2  開發(fā)調(diào)試工具 45
第5章  滲透測(cè)試工具 47
5.1  Fiddler 47
5.1.1  工作原理 47
5.1.2  如何捕捉HTTPS會(huì)話 48
5.1.3  Fiddler功能介紹 49
5.1.4  Fiddler擴(kuò)展功能 56
5.1.5  Fiddler第三方擴(kuò)展功能 56
5.2  ZAP 58
5.2.1  斷點(diǎn)調(diào)試 60
5.2.2  編碼/解碼 61
5.2.3  主動(dòng)掃描 62
5.2.4  Spider 63
5.2.5  暴力破解 64
5.2.6  端口掃描 65
5.2.7  Fuzzer 66
5.2.8  API 66
5.3  WebScrab 67
5.3.1  HTTP代理 67
5.3.2  Manual Request 69
5.3.3  Spider 70
5.3.4  Session ID分析 71
5.3.5  Bean Shell的支持 71
5.3.6  Web編碼和解碼 73
第6章  掃描工具簡(jiǎn)介 74
6.1  萬(wàn)能的掃描工具——WebInspect 74
6.1.1  引言 74
6.1.2  WebInspect特性 74
6.1.3  環(huán)境準(zhǔn)備 74
6.1.4  HP WebInspect總覽 76
6.1.5  Web網(wǎng)站測(cè)試 79
6.1.6  企業(yè)測(cè)試 86
6.1.7  生成報(bào)告 88
6.2  開源掃描工具——w3af 91
6.2.1  w3af概述 91
6.2.2  w3af環(huán)境配置 92
6.2.3  w3af使用示例 93
6.3  被動(dòng)掃描的利器——Ratproxy 94
6.3.1  Ratproxy概述 94
6.3.2  Ratproxy環(huán)境配置 95
6.3.3  Ratproxy運(yùn)行 96
第7章  漏洞學(xué)習(xí)網(wǎng)站 98
7.1  WebGoat 98
7.2  DVWA 99
7.3  其他的漏洞學(xué)習(xí)網(wǎng)站 99
第4篇  攻防篇
第8章  代碼注入 102
8.1  注入的分類 104
8.1.1  OS命令注入 104
8.1.2  XPath注入 109
8.1.3  LDAP注入 114
8.1.4  SQL注入 118
8.1.5  JSON注入 131
8.1.6  URL參數(shù)注入 133
8.2  OWASP ESAPI與注入問題的預(yù)防 135
8.2.1  命令注入的ESAPI預(yù)防 135
8.2.2  XPath注入的ESAPI預(yù)防 138
8.2.3  LDAP注入的ESAPI預(yù)防 138
8.2.4  SQL注入的ESAPI預(yù)防 141
8.2.5  其他注入的ESAPI預(yù)防 143
8.3  注入預(yù)防檢查列表 143
8.4  小結(jié) 144
第9章  跨站腳本（XSS） 146
9.1  XSS簡(jiǎn)介 146
9.2  XSS分類 146
9.2.1  反射式XSS 146
9.2.2  存儲(chǔ)式XSS 148
9.2.3  基于DOM的XSS 149
9.2.4  XSS另一種分類法 151
9.3  XSS危害 154
9.4  XSS檢測(cè) 156
9.4.1  手動(dòng)檢測(cè) 156
9.4.2  半自動(dòng)檢測(cè) 158
9.4.3  全自動(dòng)檢測(cè) 158
9.5  XSS的預(yù)防 159
9.5.1  一刀切 159
9.5.2  在服務(wù)器端預(yù)防 160
9.5.3  在客戶端預(yù)防 168
9.5.4  富文本框的XSS預(yù)防措施 170
9.5.5  CSS 172
9.5.6  FreeMarker 174
9.5.7  OWASP ESAPI與XSS的預(yù)防 177
9.6  XSS檢查列表 183
9.7  小結(jié) 184
第10章  失效的身份認(rèn)證和會(huì)話管理 185
10.1  身份認(rèn)證和會(huì)話管理簡(jiǎn)介 185
10.2  誰(shuí)動(dòng)了我的琴弦——會(huì)話劫持 186
10.3  請(qǐng)君入甕——會(huì)話固定 188
10.4  我很含蓄——非直接會(huì)話攻擊 191
10.5  如何測(cè)試 199
10.5.1  會(huì)話固定測(cè)試 199
10.5.2  用Web Scrab分析會(huì)話ID 200
10.6  如何預(yù)防會(huì)話攻擊 202
10.6.1  如何防治固定會(huì)話 202
10.6.2  保護(hù)你的會(huì)話令牌 204
10.7  身份驗(yàn)證 208
10.7.1  雙因子認(rèn)證流程圖 209
10.7.2  雙因子認(rèn)證原理說明 210
10.7.3  隱藏在QR Code里的秘密 211
10.7.4  如何在服務(wù)器端實(shí)現(xiàn)雙因子認(rèn)證 212
10.7.5  我沒有智能手機(jī)怎么辦 216
10.8  身份認(rèn)證設(shè)計(jì)的基本準(zhǔn)則 216
10.8.1  密碼長(zhǎng)度和復(fù)雜性策略 216
10.8.2  實(shí)現(xiàn)一個(gè)安全的密碼恢復(fù)策略 217
10.8.3  重要的操作應(yīng)通過HTTPS傳輸 217
10.8.4  認(rèn)證錯(cuò)誤信息以及賬戶鎖定 219
10.9  檢查列表 219
10.9.1  身份驗(yàn)證和密碼管理檢查列表 219
10.9.2  會(huì)話管理檢查列表 220
10.10  小結(jié) 221
第11章  不安全的直接對(duì)象引用 222
11.1  坐一望二——直接對(duì)象引用 222
11.2  不安全直接對(duì)象引用的危害 224
11.3  其他可能的不安全直接對(duì)象引用 224
11.4  不安全直接對(duì)象引用的預(yù)防 225
11.5  如何使用OWASP ESAPI預(yù)防 227
11.6  直接對(duì)象引用檢查列表 230
11.7  小結(jié) 230
第12章  跨站請(qǐng)求偽造（CSRF） 232
12.1  CSRF簡(jiǎn)介 232
12.2  誰(shuí)動(dòng)了我的奶酪 232
12.3  跨站請(qǐng)求偽造的攻擊原理 233
12.4  剝繭抽絲見真相 235
12.5  其他可能的攻擊場(chǎng)景 236
12.5.1  家用路由器被CSRF攻擊 236
12.5.2  別以為用POST你就躲過了CSRF 238
12.5.3  寫一個(gè)自己的CSRF Redirector 241
12.5.4  利用重定向欺騙老實(shí)人 243
12.6  跨站請(qǐng)求偽造的檢測(cè) 245
12.6.1  手工檢測(cè) 245
12.6.2  半自動(dòng)CSRFTester 246
12.7  跨站請(qǐng)求偽造的預(yù)防 250
12.7.1  用戶需要知道的一些小技巧 250
12.7.2  增加一些確認(rèn)操作 250
12.7.3  重新認(rèn)證 250
12.7.4  加入驗(yàn)證碼（CAPTCHA） 250
12.7.5  ESAPI解決CSRF 250
12.7.6  CSRFGuard 256
12.8  CSRF檢查列表 260
12.9  小結(jié) 261
第13章  安全配置錯(cuò)誤 262
13.1  不能說的秘密——Google hacking 262
13.2  Tomcat那些事 264
13.3  安全配置錯(cuò)誤的檢測(cè)與預(yù)防 264
13.3.1  系統(tǒng)配置 264
13.3.2  Web應(yīng)用服務(wù)器的配置 268
13.3.3  數(shù)據(jù)庫(kù) 282
13.3.4  日志配置 284
13.3.5  協(xié)議 285
13.3.6  開發(fā)相關(guān)的安全配置 291
13.3.7  編譯器的安全配置 302
13.4  安全配置檢查列表 305
13.5  小結(jié) 307
第14章  不安全的加密存儲(chǔ) 308
14.1  關(guān)于加密 310
14.1.1  加密算法簡(jiǎn)介 310
14.1.2  加密算法作用 312
14.1.3  加密分類 313
14.2  加密數(shù)據(jù)分類 314
14.3  加密數(shù)據(jù)保護(hù) 315
14.3.1  密碼的存儲(chǔ)與保護(hù) 315
14.3.2  重要信息的保護(hù) 323
14.3.3  密鑰的管理 336
14.3.4  數(shù)據(jù)的完整性 339
14.3.5  云系統(tǒng)存儲(chǔ)安全 342
14.3.6  數(shù)據(jù)保護(hù)的常犯錯(cuò)誤 343
14.4  如何檢測(cè)加密存儲(chǔ)數(shù)據(jù)的安全性 344
14.4.1  審查加密內(nèi)容 344
14.4.2  已知答案測(cè)試（Known Answer Test） 344
14.4.3  自發(fā)明加密算法的檢測(cè) 345
14.4.4  AES加密算法的測(cè)試 345
14.4.5  代碼審查 346
14.5  如何預(yù)防不安全的加密存儲(chǔ)的數(shù)據(jù) 347
14.6  OWASP ESAPI與加密存儲(chǔ) 348
14.6.1  OWASP ESAPI與隨機(jī)數(shù) 353
14.6.2  OWASP ESAPI 與FIPS 140-2 354
14.7  加密存儲(chǔ)檢查列表 355
14.8  小結(jié) 355
第15章  沒有限制的URL訪問 357
15.1  掩耳盜鈴——隱藏（Disable）頁(yè)面按鈕 357
15.2  權(quán)限認(rèn)證模型 358
15.2.1  自主型訪問控制 360
15.2.2  強(qiáng)制型訪問控制 360
15.2.3  基于角色的訪問控制 361
15.3  繞過認(rèn)證 363
15.3.1  網(wǎng)絡(luò)嗅探 364
15.3.2  默認(rèn)或者可猜測(cè)用戶賬號(hào) 364
15.3.3  直接訪問內(nèi)部URL 364
15.3.4  修改參數(shù)繞過認(rèn)證 365
15.3.5  可預(yù)測(cè)的SessionID 365
15.3.6  注入問題 365
15.3.7  CSRF 365
15.3.8  繞過認(rèn)證小結(jié) 366
15.4  繞過授權(quán)驗(yàn)證 367
15.4.1  水平越權(quán) 368
15.4.2  垂直越權(quán) 369
15.5  文件上傳與下載 373
15.5.1  文件上傳 373
15.5.2  文件下載和路徑遍歷 377
15.6  靜態(tài)資源 382
15.7  后臺(tái)組件之間的認(rèn)證 383
15.8  SSO 385
15.9  OWASP ESAPI與授權(quán) 386
15.9.1  AccessController的實(shí)現(xiàn) 387
15.9.2  一個(gè)AccessController的代碼示例 390
15.9.3  我們還需要做些什么 391
15.10  訪問控制檢查列表 393
15.11  小結(jié) 393
第16章  傳輸層保護(hù)不足 395
16.1  臥底的故事——對(duì)稱加密和非對(duì)稱加密 395
16.2  明文傳輸問題 396
16.3  有什么危害 398
16.3.1  會(huì)話劫持 398
16.3.2  中間人攻擊 399
16.4  預(yù)防措施 399
16.4.1  密鑰交換算法 400
16.4.2  對(duì)稱加密和非對(duì)稱加密結(jié)合 401
16.4.3  SSL/TLS 406
16.5  檢查列表 423
16.6  小結(jié) 423
第17章  未驗(yàn)證的重定向和轉(zhuǎn)發(fā) 425
17.1  三角借貸的故事——轉(zhuǎn)發(fā)和重定向 425
17.1.1  URL轉(zhuǎn)發(fā) 425
17.1.2  URL重定向 426
17.1.3  轉(zhuǎn)發(fā)與重定向的區(qū)別 429
17.1.4  URL 重定向的實(shí)現(xiàn)方式 430
17.2  危害 438
17.3  如何檢測(cè) 439
17.4  如何預(yù)防 440
17.4.1  OWASP ESAPI與預(yù)防 441
17.5  重定向和轉(zhuǎn)發(fā)檢查列表 443
17.6  小結(jié) 443
第5篇  安全設(shè)計(jì)、編碼十大原則
第18章  安全設(shè)計(jì)十大原則 448
設(shè)計(jì)原則1——簡(jiǎn)單易懂 448
設(shè)計(jì)原則2——最小特權(quán) 448
設(shè)計(jì)原則3——故障安全化 450
設(shè)計(jì)原則4——保護(hù)最薄弱環(huán)節(jié) 451
設(shè)計(jì)原則5——提供深度防御 452
設(shè)計(jì)原則6——分隔 453
設(shè)計(jì)原則7——總體調(diào)節(jié) 454
設(shè)計(jì)原則8——默認(rèn)不信任 454
設(shè)計(jì)原則9——保護(hù)隱私 455
設(shè)計(jì)原則10——公開設(shè)計(jì)，不要假設(shè)隱藏秘密就是安全 455
第19章  安全編碼十大原則 457
編碼原則1——保持簡(jiǎn)單 457
編碼原則2——驗(yàn)證輸入 458
編碼原則3——注意編譯器告警 459
編碼原則4——框架和設(shè)計(jì)要符合安全策略 459
編碼原則5——默認(rèn)拒絕 460
編碼原則6——堅(jiān)持最小權(quán)限原則 462
編碼原則7——凈化發(fā)送到其他系統(tǒng)的數(shù)據(jù) 463
編碼原則8——深度預(yù)防 464
編碼原則9——使用有效的質(zhì)量保證技術(shù) 464
編碼原則10——采用一個(gè)安全編碼規(guī)范 465