第1章 Web简介
1.1 Internet Web简史
1.1.1 引言
1.1.2 Internet的起源
1.1.3 Internet Web的发展
1.1.4 无处不在的Internet Web
1.1.5 下一代Internet的发展计划
1.1.6 Internet及Web进一步发展急需解决的问题
1.2 Internet功能概要
1.3 Web技术简介
1.3.1 HTTP协议
1.3.2 HTML语言及其他Web编程语言
1.3.3 Web服务器
1.3.4 Web浏览器
1.3.5 公共网关接口介绍
第2章 Web的安全需求
2.1 Web带来的好处
2.2 Web带来的忧虑
2.3 Web的安全风险
2.4 Web安全体系结构
2.4.1 Web安全体系结构概述
2.4.2 主机系统的安全需求
2.4.3 网络系统的安全
2.4.4 Web应用的安全
2.5 Web服务器的安全需求
2.5.1 维护所公布信息的完整性和真实性
2.5.2 维持Web服务的可用性
2.5.3 保护访问Web服务器用户的隐私
2.5.4 确保Web服务器不被用做跳板来进一步侵入内部网络
2.5.5 确保Web服务器不被用做跳板来进一步侵入其他网络
2.6 Web浏览器的安全需求
2.7 Web传输过程的安全需求
第3章 Web服务器的安全策略
3.1 周密制定安全政策
3.1.1 安全资源的定义和重要等级划分
3.1.2 安全风险评估
3.1.3 安全策略的基本原则和安全管理规定
3.1.4 安全培训制度
3.1.5 意外事件处理措施
3.2 认真选择Web服务器设备和相关软件
3.3 仔细配置Web服务器
3.3.1 将Web服务器与内部网络相隔开来
3.3.2 维护一份安全的Web站点的拷贝
3.3.3 合理配置主机系统
3.3.4 合理配置Web服务器软件
3.4 谨慎组织Web服务器的内容
3.4.1 链接检查
3.4.2 CGI程序检测
3.5 安全管理Web服务器
3.5.1 以安全的方式更新Web服务器内容
3.5.2 经常审查有关日志记录
3.5.3 进行必要的数据备份
3.5.4 定期对Web服务器进行安全检查
3.5.5 辅助工具
3.6 积极跟踪最新安全指南
3.7 沉着处理意外事件
3.7.1 检测入侵迹象的一般方法
3.7.2 意外事件处理措施
3.7.3 关于追捕入侵者
第4章 分布式拒绝服务攻击:原理、工具和对策
4.1 拒绝服务攻击
4.2 分布式拒绝服务攻击
4.2.1 概念描述
4.2.2 结构和工作原理
4.2.3 通信
4.2.4 攻击方法
4.2.5 安装
4.3 安全对策
4.3.1 概述
4.3.2 紧密跟踪安全动态
4.3.3 简单的服务,严格的访问控制策略
4.3.4 定期对系统进行安全检查
4.3.5 建立基准值超标报警机制
4.3.6 准备简单实用的网络协议记录、分析工具
4.3.7 沉着处理意外事件
4.4 未来的攻击
第5章 CGI的安全管理
5.1 CGI的安全风险
5.2 安全的程序语言
5.3 CGI输入数据的编码和解码
5.4 CGI程序的常见安全隐患
5.4.1 敏感数据保护
5.4.2 环境变量提供的信息
5.4.3 对Post和Get输入数据的检查
5.4.4 系统调用
5.5 加强CGI安全性的措施
5.5.1 使用专门的目录CGI程序
5.5.2 使用最小的特权运行CGI程序
5.5.3 在有限的文件系统空间内运行CGI
5.5.4 关闭可有可无的服务器选项
5.5.5 仔细检查CGI编程安全
5.5.6 有关辅助工具介绍
5.5.7 安全Perl编程
第6章 Cookies及其安全
6.1 Cookies的工作原理
6.2 Cookies的特点
6.3 Cookies安全特性
6.3.1 Cookies与系统安全
6.3.2 Cookies与个人隐私
6.3.3 Cookies之间的关系
6.3.4 来源不明的Cookies
6.4 Cookies的删除方法
第7章 Java的安全性
7.1 Java平台简介
7.2 Java的安全特性
7.2.1 第一代Java中的沙箱模型
7.2.2 Java2中的安全模型概览
7.2.3 Java2的安全保护机制
7.2.4 Java2中的安全工具
7.3 Java Applet的安全性
7.3.1 Applet的限制
7.3.2 扩充Applet的功能
7.3.3 Applet写文件功能的实现方法
7.3.4 利用Applet获取系统信息
7.3.5 Applet联接其他主机的方法
7.3.6 Applet维持连续状态的方法
第8章 加密技术在Web安全管理中的应用
8.1 HTTP网络传输引入的安全隐患
8.2 HTTP协议的基本认证的脆弱性
8.2.1 HTTP的基本认证机制
8.2.2 基本认证的实施
8.3 加密算法简介
8.3.1 术语解释
8.3.2 私钥系统
8.3.3 公钥系统
8.3.4 加密算法在Web中的应用
8.4 Web安全认证方案
8.4.1 识别方法
8.4.2 认证方案
8.5 Web安全传输
8.5.1 SSL
8.5.2 TLS
8.5.3 SHTTP
8.5.4 Shen
8.6 电子商务安全支付模型
8.6.1 SET
8.6.2 First Virtual账号
8.6.3 DigiCash
8.6.4 CyberCash
8.7 免费的安全的Web服务器程序
第9章 Web浏览器的安全
9.1 浏览器自动引发的应用
9.1.1 PostScript文件
9.1.2 配置/bin/csh作为查看器
9.1.3 Java1 Applet的安全性
9.1.4 JavaScript的安全性
9.1.5 ActiveX的安全性
9.1.6 安全对策
9.2 Web页面或下载文件中内嵌的恶意代码
9.3 浏览器本身的漏洞
9.3.1 UNIX下的Lynx的一个安全漏洞
9.3.2 Microsoft Internet Explorer的安全漏洞
9.3.3 Netscape的安全漏洞
9.4 浏览器泄露的敏感信息
9.5 Web欺骗
9.5.1 欺骗攻击
9.5.2 Web欺骗攻击的原理
9.5.3 对策
第10章 Apache服务器的安全性
10.1 Apache服务器简介
10.2 Apache服务器的安全特性
10.2.1 选择性访问控制和自由选择性访问控制
10.2.2 Apache的安全模块
10.3 Apache服务器的安全配置
10.3.1 Apache服务器的安装配置和运行
10.3.2 Apache Sever基于主机的访问控制
10.3.3 Apache Sever的用户认证与授权
10.4 建立支持SSL的Apache服务器
10.4.1 系统需求
10.4.2 安装SSL
10.4.3 产生私有密钥及获取证书(Certificate)
10.4.4 生成SSL支持的Apache Server
10.4.5 SSL和基于名宇的虚拟主机(Name-Based Virtual Hosts)
10.5 suEXEC安全模型
10.5.1 配置和安装suEXEC
10.5.2 打开和关闭suEXEC
10.6 DBM用户认证
10.6.1 DBM介绍
10.6.2 准备Apache的DBM文件
10.6.3 创建DBM用户文件
10.6.4 目录访问限制
10.6.5 用户组
10.6.6 定制DBM文件的管理
10.7 Apache配置技巧
10.7.1 ServerRoot目录权限的设置
10.7.2 Server Side Includes的配置
10.7.3 阻止用户修改系统配置
10.7.4 缺省地保护服务器文件
第11章 IIS服务器的安全管理
11.1 IIS 4.0特性
11.2 IIS 4.0安全性设置
11.2.1 HTTP服务的安全特征设置
11.2.2 FTP服务的安全特征设置
11.3 IIS 4.0服务器的安全管理---一揽子解决方案
第12章 Web服务器的安全
12.1 防火墙的概念和作用
12.2 利用防火墙增强Web服务器的安全性
12.2.1 Internet信息传递过程
12.2.2 报文过滤技术
12.2.3 应用网关技术
12.2.4 防火墙技术进展
12.3 防火墙的局限性
12.4 入侵检测系统
12.4.1 入侵检测系统的概念
12.4.2 入侵检测系统的类型
12.5 利用入侵检测系统保护Web服务的安全
12.5.1 典型的入侵步骤
12.5.2 入侵检测系统的功能
12.5.3 入侵检测系统的使用
附录 缩略语参考对照表