web应用安全权威指南(文摘)

第1章 什么是web应用的安全隐患

第3章 Web安全基础,HTTP,会话管理,同源策略

content_length 字节数

content_type mime类型

百分号编码

referer :请求的链接

要点:URL中包含重要信息时,就有Referer头信息泄漏的风险

get和post的区别:get方法仅用于查阅,Get方法被认为没有副作用,发送敏感数据时应使用post方法

hidden 参数能够被更改,原则上要避免使用使用会话变量,要使用hidden参数

无状态的HTTP认证

要点:浏览器发送的值都能够被变更

cookie 与会话管理

要点:使用开发工具提供的会话管理机制

要点:认证后改变会话ID

要点:原则上不设置cookie的domain属性

被动攻击与同源策略

主动攻击:

被动攻击:单纯的被动攻击;恶意利用正规网站进行的被动攻击;跨站被动攻击;

沙盒:禁止访问本地文件,禁止使用打印机等资源,限制网络访问(同源策略)

同源策略:禁止JS进行跨站访问

1.URL的主机一致 2协议一致 3端口号一致

同源策略保护不仅仅是iframe内的文档,ajax也受到了限制。

跨站脚本攻击

jsonp是不能用于传送隐私信息的

第4章 web应用的各种安全隐患

输入处理与安全性

跨站脚本:web应用安全权威指南(文摘)_第1张图片

生成URL时的对策:

javascript字符串字面量动态生成的对策:

允许HTML标签或CSS时的对策:

sql注入:

跨站请求伪造:(CSRF) 原因及对策

不完善的会话管理:原因及对策

重定向相关的安全隐患:原因及对策

cookie输出相关的安全隐患:原因及对策

发送邮件的问题:原因及对策

文件处理相关的问题:原因及对策

文件上传相关的问题:原因及对策 检验扩展名是否在允许范围内;图像文件的情况下确认其文件头

include相关的问题:

eval相关的问题:

共享资源相关的问题:

第5章 典型安全功能

认证,帐号管理 授权 日志管理

第6章 字符编码和安全

第7章 如何提高web网站的安全性

第8章 开发安全web应用所需要的管理

你可能感兴趣的:(web应用安全权威指南(文摘))