导语

  

内容提要

  

    本书以OWASP Top 10 2017中涉及的漏洞为基础，系统阐述了常见的Web漏洞的防护方式。书中首先介绍了漏洞演示平台及一些常用的安全防护工具，然后对OWASP Top 10 2017中涉及的漏洞防护方式及防护工具进行了说明，接着介绍了如何通过HTTP响应头提升Web客户端自身对漏洞的防护能力，最后讨论了在无法更改应用程序源码的情况下，如何对应用进行外层的WAF防护。
    本书适合关注于Web漏洞防护的任何读者。

    李建熠，毕业于北京邮电大学，安全从业者及爱好者，曾任职于美团点评，参与过美团点评安全从0到1的构建。

第1章  使用工具介绍
  1.1  WebGoat
  1.2  ESAPI
  1.3  Apache Shiro
    1.3.1  Apache Shiro的特征
    1.3.2  Apache Shiro的核心概念
    1.3.3  与Spring集成
  1.4  Spring Security
  1.5  OWASP Top 10
第2章  SQL注入防护
  2.1  SQL注入介绍
  2.2  SQL注入分类
    2.2.1  按参数类型分类
    2.2.2  按注入位置分类
    2.2.3  按结果反馈分类
    2.2.4  其他类型
  2.3  实例讲解
    2.3.1  字符型注入
    2.3.2  数字型注入
    2.3.3  联合查询注入及堆查询注入
    2.3.4  盲注入
  2.4  检测SQL注入
  2.5  防护方案
    2.5.1  漏洞实例
    2.5.2  预编译与参数绑定
    2.5.3  白名单验证
    2.5.4  输入编码
    2.5.5  MyBatis安全使用
  2.6  小结
第3章  其他注入防护
  3.1  命令注入防护
  3.2  XML注入防护
  3.3  XPATH注入防护
  3.4  LDAP注入防护
  3.5  JPA注入防护
  3.6  小结
第4章  认证防护
  4.1  认证缺陷
  4.2  认证防护
    4.2.1  用户名及密码设置
    4.2.2  忘记密码
    4.2.3  凭证存储
    4.2.4  密码失窃
    4.2.5  其他安全防护
  4.3  会话管理安全
    4.3.1  会话ID的属性
    4.3.2  会话管理的实现
    4.3.3  Cookie
    4.3.4  会话ID的注意事项
    4.3.5  会话过期
    4.3.6  会话管理及其他客户端防御
    4.3.7  会话攻击检测
    4.3.8  会话管理的WAF保护
  4.4  防护工具
    4.4.1  Argon2密码散列
    4.4.2  Apache Shiro认证
    4.4.3  Apache Shiro会话管理
  4.5  小结
第5章  数据泄露防护
  5.1  传输层安全防护
    5.1.1  SSL/TLS注意事项
    5.1.2  其他注意事项
    5.1.3  传输层安全检测工具
  5.2  数据加密存储
    5.2.1  密码学简史
    5.2.2  加密模式及填充模式
    5.2.3  杂凑函数及数据完整性保护
    5.2.4  加解密使用规范
  5.3  安全数据共享
    5.3.1  数据仓库的构建
    5.3.2  数据仓库的保护
    5.3.3  数据仓库的管理
  5.4  小结
第6章  XXE防护
  6.1  XML介绍
  6.2  XXE攻击方式及实例介绍
    6.2.1  内部XXE实例
    6.2.2  外部XXE实例
  6.3  检测XXE
  6.4  XXE防护
    6.4.1  DOM
    6.4.2  SAX
    6.4.3  其他
  6.5  小结
第7章  访问控制防护
  7.1  访问控制的分类
  7.2  常见问题
    7.2.1  不安全对象的直接引用
    7.2.2  功能级访问控制缺失
    7.2.3  跨域资源共享的错误配置
  7.3  工具防护
    7.3.1  Apache Shiro访问控制
    7.3.2  ESAPI随机化对象引用
    7.3.3  Spring Security CORS配置
  7.4  小结
第8章  安全配置
第9章  XSS防护
  9.1  XSS分类
    9.1.1  反射型XSS
    9.1.2  DOM型XSS
    9.1.3  存储型XSS
    9.1.4  其他分类
  9.2  检测XSS
  9.3  XSS防护方法
    9.3.1  反射型XSS和存储型XSS的防护
    9.3.2  DOM型XSS防护
  9.4  防护工具
    9.4.1  OWASP Java Encoder
    9.4.2  OWASP Java HTML Sanitizer
    9.4.3  AnjularJS SCE
    9.4.4  ESAPI4JS
    9.4.5  jQuery Encoder
  9.5  小结
第10章  反序列化漏洞防护
  10.1  Java的序列化与反序列化
    10.1.1  序列化
    10.1.2  反序列化
    10.1.3  自定义序列化与反序列化
    10.1.4  Java反序列化漏洞
    10.1.5  其他反序列化漏洞
  10.2  检测反序列化漏洞
  10.3  反序列化漏洞的防护
  10.4  防护工具
    10.4.1  自定义工具
    10.4.2  SerialKiller
    10.4.3  contra-rO0
  10.5  小结
第11章  组件缺陷的检测
  11.1  潜在缺陷
  11.2  检测缺陷组件
    11.2.1  Retire.js
    11.2.2  OWASP Dependency Check
    11.2.3  Sonatype AHC
  11.3  小结
第12章  跨站点请求伪造防护
  12.1  CSRF分类
    12.1.1  GET型CSRF
    12.1.2  POST型CSRF
    12.1.3  CSRF实例
    12.1.4  CSRF结合XSS
  12.2  检测CSRF
  12.3  CSRF防护
    12.3.1  不完全的防护方式
    12.3.2  正确的防护方式
  12.4  防护工具
    12.4.1  自定义防护工具
    12.4.2  Spring Security防护CSRF
    12.4.3  前后端分离
  12.5  小结
第13章  输入验证
  13.1  输入验证的方式
  13.2  ESAPI输入验证
第14章  HTTP安全响应头
  14.1  安全响应头介绍
    14.1.1  HSTS
    14.1.2  HPKP
    14.1.3  X-Frame-Options
    14.1.4  X-XSS-Protection
    14.1.5  X-Content-Type-Options
    14.1.6  Content-Security-Policy
    14.1.7  Referrer-Policy
    14.1.8  Expect-CT
    14.1.9  X-Permitted-Cross-Domain-Policies
    14.1.10  Cache-Control
  14.2  HTTP安全头检测
    14.2.1  命令行检测工具
    14.2.2  在线检测工具
    14.2.3  插件检测工具
  14.3  安全响应头设置建议
    14.3.1  知名网站实例
    14.3.2  设置建议
  14.4  配置安全响应头
    14.4.1  Spring Security统一配置
    14.4.2  http_hardening配置安全响应头
    14.4.3  服务器配置文件配置安全响应头
  14.5  小结
第15章  WAF 防护
  15.1  ModSecurity
    15.1.1  编译与导入
    15.1.2  配置ModSecurity
    15.1.3  ModSecurity测试
  15.2  规则解析
    15.2.1  指令
    15.2.2  处理阶段
    15.2.3  变量
    15.2.4  转换函数
    15.2.5  行为
    15.2.6  操作符
  15.3  OWASP ModSecurity CRS
    15.3.1  CRS 导入
    15.3.2  CRS 规则文件
  15.4  防护测试
    15.4.1  DVWA环境搭建
    15.4.2  SQL注入测试
    15.4.3  命令注入测试
    15.4.4  XSS测试
    15.4.5  文件包含测试
    15.4.6  文件上传测试
  15.5  小结
参考文献