构建安全的Web站点PDF|Epub|txt|kindle电子书版本网盘下载

构建安全的Web站点PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第一章 Internet简介1

1.1 Internet的简史2

1.2 Internet功能概要4

1.3 Web结构5

1.3.1 Web服务器5

1.3.2 Web浏览器6

1.4 通用网关接口（CGI）介绍7

第二章 Web的安全问题9

2.1 Web安全框架11

2.1.1 定义资源11

2.1.2 定义风险12

2.1.3 建立安全策略12

2.1.5 Web服务存在风险的原因13

2.1.4 定义安全机制13

2.2 Web服务器的风险和安全提升机制14

2.2.1 Internet主机的风险14

2.2.2 Internet主机的安全机制16

2.2.3 Web服务器软件易受攻击性18

2.2.4 Web服务器安全配置原则20

2.2.5 认证和访问控制机制21

2.3 Web客户端的风险和安全提升机制25

2.3.1 信息泄漏26

2.3.2 内容协商与查看器27

2.4 防火墙的功能29

2.4.1 防火墙的功能29

2.4.2 防火墙的使用29

2.4.3 代理服务器30

2.4.4 Internet与防火墙的关系31

第三章 Web服务器的安全33

3.1 安全隐患34

3.2 Internet各层的安全模型34

3.2.1 传输层的安全38

3.2.2 应用层的安全39

3.3 服务器和文档根目录的权限设置41

3.4 Web服务器一些功能的安全43

3.4.1 自动目录列表功能43

3.4.2 符号连接44

3.4.3 Server Side Includes44

3.4.4 用户维护的目录44

3.5 以root身份运行的Web服务器45

3.6 Web服务器和FTP服务器共用文档树的情况46

3.7 在chroot环境下运行Web服务器46

3.8 检查站点是否被攻破47

第四章 Web站点上数据的安全49

4.1 访问限制类型50

4.1.1 通过IP地址、子网或域名来控制50

4.1.2 通过用户名/口令限制50

4.1.3 用公用密钥加密方法50

4.2 通过IP地址或域名限制实例50

4.3 通过用户名/口令限制实例52

4.3.1 用户名/口令的安全性52

4.3.2 授权新的用户53

4.4 用户认证56

4.5 允许用户在线地修改口令的CGI程序56

4.6 access.conf文件与每个目录的访问控制文件的比较57

4.7 加密的工作原理57

4.8.2 SHTTP58

4.8 SSL、SHTTP和Shen58

4.8.1 SSL58

4.8.3 Shen59

4.9 免费的SSL软件模块59

4.10 用个人证书来控制服务器访问62

4.11 在Web上如何接受信用卡订单62

4.12 First Virtual帐号、DigiCash、CyberCash和SET63

4.12.1 First Virtual帐号63

4.12.2 DigiCash64

4.12.3 CyberCash64

4.12.4 SET65

4.12.5 Open Market Web商业系统66

第五章 CGI脚本的安全性67

5.2 CGI脚本带来的安全问题69

5.1 安全隐患69

5.2.1 脚本和其他程序的比较70

5.2.2 表单中数据的真实性70

5.3 cgi-bin目录与.cgi文件70

5.4 编译型语言与解释型语言的比较71

5.5 确认CGI脚本的安全性72

5.6 Internet上含有漏洞的CGI程序73

5.6.1 TextCounter73

5.6.2 各种guestbook脚本73

5.6.3 Excite Web搜索引擎（EWS）74

5.6.4 info2www74

5.6.5 count.cgi74

5.6.7 php.cgi75

5.6.8 files.pl75

5.6.6 Web dist.cgi75

5.6.9 Microsoft FrontPage扩展76

5.6.10 nph-test-cgi76

5.6.11 nph-publish76

5.6.12 AnyForm76

5.6.13 FormMail77

5.7 编写CGI脚本时要考虑的问题77

5.8 CGI与数据库/搜索引擎连接79

5.9 PATH环境变量80

5.10 CGIWRAP81

5.11 Sbox82

5.12 cgi程序的运行与用户接口82

5.13 表单中的hidden变量82

5.15.1 调用exec ( )和system( )的问题83

5.14 POST与PUT方法83

5.15 安全的Perl脚本程序83

5.15.2 Perl的taint检查85

5.15.3 打开taint检查后的问题85

5.15.4 取消某个变量的taint86

5.15.5 $foo=~/$user_variable/模式匹配的安全性86

5.15.6 suid87

第六章 Cookies及其安全89

6.1 cookies介绍90

6.2 工作方式90

6.3 cookies中保存的内容90

6.4 存放位置91

6.6.3 不同站点的cookies92

6.6.1 cookies不能从用户的硬盘上读取数据92

6.6.2 cookies不能被用于收集敏感信息92

6.6 cookies安全须知92

6.5 生命周期92

6.7 用户的浏览器泄漏的信息93

6.8 服务器保存客户端状态信息的方法93

6.9 用户泄露信息的原因93

6.10 如何去掉cookies的方法94

第七章 Java的安全性97

7.1 Java的安全模型98

7.1.1 类装载器98

7.1.2 字节码验证器99

7.1.3 安全管理器100

7.1.4 Java语言提供的安全特性101

7.2 JavaSecurity API101

7.2.1 数字签名和JAR文件102

7.2.2 密钥管理、消息文摘和访问列表103

7.3 Java应用安全103

7.3.1 Java Applet安全103

7.3.2 浏览器上Applet的安全104

7.4 Applet不能做什么104

7.5 如何使Applet读取文件的方法105

7.6 使Applet向文件中写数据的方法106

7.7 Applet能够获取的系统信息106

7.8 Applet连接其他主机的方法107

7.9 Applet维持连续状态的方法108

7.10 Applet不能在客户端启动其他的程序108

第八章 提高IIS的安全性109

8.1 Windows NT的安全与IIS的安全概述111

8.2 Internet Information Server的安全机制116

8.3 控制对Web节点的匿名访问117

8.3.1 配置匿名用户帐号118

8.3.2 允许匿名访问119

8.3.3 更改匿名访问的帐号或密码120

8.3.4 使用域控制器上的匿名帐号120

8.4 帐号的安全122

8.5 身份认证123

8.5.1 WWW服务的身份认证124

8.5.2 FTP服务的身份认证124

8.5.3 匿名登录与客户身份认证的交互126

8.6 通过文件夹和文件的权限控制访问127

8.7 设置WWW目录访问权132

8.7.1 读取权限132

8.7.2 执行权限133

8.8 通过IP地址控制访问权134

8.8.2 允许访问特定计算机或计算机组135

8.8.1 拒绝访问特定计算机或计算机组135

8.9 运行其他网络服务136

8.9.1 只运行所需要的服务136

8.9.2 检查网络共享权限137

8.9.3 禁止目录浏览137

8.10 通过SSL保护数据传送138

第九章 Apache服务器的安全性141

9.1 Apache服务器介绍142

9.2 控制CGI脚本的执行142

9.3 如何使用SSI143

9.4 /etc/passwd与Web页面认证143

9.5 Apache在每次响应中都加入cookie144

9.6 Apache没有加入SSL的原因144

9.7.2 suEXEC安全模型145

9.7 Apache的suEXEC145

9.7.1 suEXEC介绍145

9.7.3 配置和安装suEXEC147

9.7.4 打开和关闭suEXEC150

9.8 DBM用户认证151

9.8.1 DBM介绍151

9.8.2 准备Apache的DBM文件152

9.8.3 创建DBM用户文件152

9.8.4 限制目录访问153

9.8.5 用户组154

9.8.6 定制DBM文件的管理154

9.9 Apache配置技巧155

9.9.1 ServerRoot目录权限的设置155

9.9.2 Server Side Includes的配置155

9.9.4 缺省地保护服务器文件156

9.9.3 阻止用户修改系统配置156

第十章 客户端的安全性159

10.1 客户端可能泄漏的信息160

10.2 配置/bin/csh作为查看器160

10.3 SSL使用的加密方法的安全性161

10.4 Java和JavaScript的区别162

10.5 JavaScript的安全性163

10.5.1 截取用户的电子邮件地址和其他信息163

10.5.2 截取用户本地机器上的文件164

10.5.3 监视用户的会话过程164

10.5.4 Frame造成的信息泄漏165

10.5.5 文件上传漏洞166

10.6 ActiveX的安全性166

10.8 UNIX下的Lynx的安全性168

10.7 浏览器暴露用户的局域网登录的用户名/口令168

10.9.1 缓冲区溢出漏洞169

10.9 Microsoft Internet Explorer的安全漏洞169

10.9.2 递归Frames漏洞170

10.9.3 “快捷方式漏洞”171

10.10 Netscape的安全漏洞172

10.10.1 缓冲区溢出漏洞172

10.10.2 个人喜好漏洞172

10.10.3 类装载器Java漏洞173

10.10.4 长文件名电子邮件漏洞173

10.10.5 Singapore隐私漏洞173

第十一章 已知的Web服务器漏洞175

11.1 Windows NT上的Web服务器176

11.1.1 Netscape Communications Server for NT的安全漏洞176

11.1.3 Purveyor Server for Windows NT的安全漏洞178

11.1.2 O Reilly WebSite Server for Windows NT的安全漏洞178

11.1.4 Microsoft IIS Web服务器的安全漏洞179

11.1.5 Sun的JavaWebServer for Windows NT安全漏洞180

11.1.6 MctaInfo MetaWeb服务器的安全漏洞180

11.2 UNIX系统上的Web服务器181

11.2.1 NCSA httpd的安全漏洞181

11.2.2 Apache httpd的安全漏洞182

11.2.3 Netscape Servers的安全漏洞185

11.2.4 Lotus Domino Go Server 的安全漏洞185

11.3 Macintosh系统上的Web服务器185

11.3.1 WebStar的安全漏洞185

11.3.2 Quid Pro Quo的安全漏洞186

11.4 Novell WebServer的安全漏洞186