构建安全的WEB站点

     目录
   第一章Internet简介
    1.1 Internet的简史
    1.2 Internet功能概要
    1.3 Web结构
    1.3.1 Web服务器
    1.3.2 Web浏览器
    1.4 通用网关接口（CGI）介绍
   第二章 Web的安全问题
    2.1 Web安全框架
    2.1.1 定义资源
    2.1.2 定义风险
    2.1.3 建立安全策略
    2.1.4 定义安全机制
    2.1.5 Web服务存在风险的原因
    2.2 Web服务器的风险和安全提升机制
    2.2.1 Internet主机的风险
    2.2.2 Internet主机的安全机制
    2.2.3 Web服务器软件易受攻击性
    2.2.4 Web服务器安全配置原则
    2.2.5 认证和访问控制机制
    2.3 Web客户端的风险和安全提升机制
    2.3.1 信息泄漏
    2.3.2 内容协商与查看器
    2.4 防火墙的角色
    2.4.1 防火墙的功能
    2.4.2 防火墙的使用
    2.4.3 代理服务器
    2.4.4 Internet与防火墙的关系
   第三章 Web服务器的安全
    3.1 安全隐患
    3.2 Internet各层的安全模型
    3.2.1 传输层的安全
    3.2.2 应用层的安全
    3.3 服务器和文档根目录的权限设置
    3.4 Web服务器一些功能的安全
    3.4.1 自动目录列表功能
    3.4.2 符号连接
    3.4.3 ServerSideIncludes
    3.4.4 用户维护的目录
    3.5 以root身份运行的Web服务器
    3.6 Web服务器和FTP服务器共用文档树的情况
    3.7 在chroot环境下运行Web服务器
    3.8 检查站点是否被攻破
   第四章 Web站点上数据的安全
    4.1 访问限制类型
    4.1.1 通过IP地址、子网或域名来控制
    4.1.2 通过用户名/口令限制
    4.1.3 用公用密钥加密方法
    4.2 通过IP地址或域名限制实例
    4.3 通过用户名/口令限制实例
    4.3.1 用户名/口令的安全性
    4.3.2 授权新的用户
    4.4 用户认证
    4.5 允许用户在线地修改口令的CGI程序
    4.6 access.conf文件与每个目录的访问控制文件的比较
    4.7 加密的工作原理
    4.8 SSL、SHTTP和Shen
    4.8.1 SSL
    4.8.2 SHTTP
    4.8.3 Shen
    4.9 免费的SSL软件模块
    4.10 用个人证书来控制服务器访问
    4.11 在Web上如何接受信用卡订单
    4.12 FirstVirtual帐号、DigiCash、CyberCash和SET
    4.12.1 FirstVirtual帐号
    4.12.2 DigiCash
    4.12.3 CyberCash
    4.12.4 SET
    4.12.5 OpenMarketWeb商业系统
   第五章 CGI脚本的安全性
    5.1 安全隐患
    5.2 CGI脚本带来的安全问题
    5.2.1 脚本和其他程序的比较
    5.2.2 表单中数据的真实性
    5.3 cgi－bin目录与.cgi文件
    5.4 编译型语言与解释型语言的比较
    5.5 确认CGI脚本的安全性
    5.6 Internet上含有漏洞的CGI程序
    5.6.1 TextCounter
    5.6.2 各种guestbook脚本
    5.6.3 ExciteWeb搜索引擎（EWS）
    5.6.4 info2www
    5.6.5 count.cgi
    5.6.6 Webdist.cgi
    5.6.7 php.cgi
    5.6.8 files.pl
    5.6.9 MicrosoftfrontPage扩展
    5.6.10 nph－test－cgi
    5.6.11 nph－publish
    5.6.12 AnyForm
    5.6.13 FormMail
    5.7 编写CGI脚本时要考虑的问题
    5.8 CGI与数据库/搜索引擎连接
    5.9 PAT H环境变量
    5.10 CGIWRAP
    5.11 Sbox
    5.12 cgi程序的运行与用户接口
    5.13 表单中的hidden变量
    5.14 POST与PUT方法
    5.15 安全的Perl脚本程序
    5.15.1 调用exec（）和system（）的问题
    5.15.2 Perl的taint检查
    5.15.3 打开taont检查后的问题
    5.15.4 取消某个变量的taint
    5.15.5 ＄foo＝～/＄uservariable/模式匹配的安全性
    5.15.6 suid
   第六章 Cookies及其安全
    6.1 cookies介绍
    6.2 工作方式
    6.3 cookies中保存的内容
    6.4 存放位置
    6.5 生命周期
    6.6 cookies安全须知
    6.6.1 cookies不能从用户的硬盘上读取数据
    6.6.2 cookies不能被用于收集敏感信息
    6.6.3 不同站点的cookies
    6.7 用户的浏览器泄漏的信息
    6.8 服务器保存客户端状态信息的方法
    6.9 用户泄露信息的原因
    6.10 如何去掉cookies的方法
   第七章 Java的安全性
    7.1 Java的安全模型
    7.1.1 类装载器
    7.1.2 字节码验证器
    7.1.3 安全管理器
    7.1.4 Java语言提供的安全特性
    7.2 JavaSecurityAPI
    7.2.1 数字签名和JAR文件
    7.2.2 密钥管理、消息文摘和访问列表
    7.3 Java应用安全
    7.3.1 JavaApplet安全
    7.3.2 浏览器上Applet的安全
    7.4 Applet不能做什么
    7.5 如何使Applet读取文件的方法
    7.6 使Applet向文件中写数据的方法
    7.7 Applet能够获取的系统信息
    7.8 Applet连接其他主机的方法
    7.9 Applet维持连续状态的方法
    7.10 Applet不能在客户端启动其他的程序
   第八章 提高IIS的安全性
    8.1 WindowsNT的安全与IIS的安全概述
    8.2 InternetInformationServer的安全机制
    8.3 控制对Web节点的匿名访问
    8.3.1 配置匿名用户帐号
    8.3.2 允许匿名访问
    8.3.3 更改匿名访问的帐号或密码
    8.3.4 使用域控制器上的匿名帐号
    8.4 帐号的安全
    8.5 身份认证
    8.5.1 WWW服务的身份认证
    8.5.2 FTP服务的身份认证
    8.5.3 匿名登录与客户身份认证的交互
    8.6 通过文件夹和文件的权限控制访问
    8.7 设置WWW 目录访问权
    8.7.1 读取权限
    8.7.2 执行权限
    8.8 通过IP地址控制访问权
    8.8.1 拒绝访问特定计算机或计算机组
    8.8.2 允许访问特定计算机或计算机组
    8.9 运行其他网络服务
    8.9.1 只运行所需要的服务
    8.9.2 检查网络共享权限
    8.9.3 禁止目录浏览
    8.10 通过SSL保护数据传送
   第九章 Apache服务器的安全性
    9.1 Apache服务器介绍
    9.2 控制CGI脚本的执行
    9.3 如何使用SSI
    9.4 /etc/passwd与Web页面认证
    9.5 Apache在每次响应中都加入cookie
    9.6 Apache没有加入SSL的原因
    9.7 Apache的suEXEC
    9.7.1 suEXEC介绍
    9.7.2 suEXEC 安全模型
    9.7.3 配置和安装suEXEC
    9.7.4 打开和关闭suEXEC
    9.8 DBM用户认证
    9.8.1 DBM介绍
    9.8.2 准备Apache的DBM文件
    9.8.3 创建DBM用户文件
    9.8.4 限制目录访问
    9.8.5 用户组
    9.8.6 定制DBM文件的管理
    9.9 Apache配置技巧
    9.9.1 ServerRoot目录权限的设置
    9.9.2 ServerSideIncludes的配置
    9.9.3 阻止用户修改系统配置
    9.9.4 缺省地保护服务器文件
   第十章 客户端的安全性
    10.1 客户端可能泄漏的信息
    10.2 配置/bin/csh作为查看器
    10.3 SSL使用的加密方法的安全性
    10.4 Java和JavaScript的区别
    10.5 JavaScript的安全性
    10.5.1 截取用户的电子邮件地址和其他信息
    10.5.2 截取用户本地机器上的文件
    10.5.3 监视用户的会话过程
    10.5.4 Frame造成的信息泄漏
    10.5.5 文件上传漏洞
    10.6 ActiveX的安全性
    10.7 浏览器暴露用户的局域网登录的用户名/口令
    10.8 UNIX下的Lynx的安全性
    10.9 MicrosoftInternetExplorer的安全漏洞
    10.9.1 缓冲区溢出漏洞
    10.9.2 递归Frames漏洞
    10.9.3 “快捷方式漏洞”
    10.10 Netscape的安全漏洞
    10.10.1 缓冲区溢出漏洞
    10.10.2 个人喜好漏洞
    10.10.3 类装载器Java漏洞
    10.10.4 长文件名电子邮件漏洞
    10.10.5 Singapore隐私漏洞
   第十一章 已知的Web服务器漏洞
    11.1 WindowsNT上的Web服务器
    11.1.1 NetscapeCommunicationsServerforNT的安全漏洞
    11.1.2 O＇ReillyWebSiteServerforWindowsNT的安全漏洞
    11.1.3 PurveyorServerforWindowsNT的安全漏洞
    11.1.4 MicrosoftIISWeb服务器的安全漏洞
    11.1.5 Sun的JavaWebServerforWindowsNT安全漏洞
    11.1.6 MetaInfoMetaWeb服务器的安全漏洞
    11.2 UNIX系统上的Web服务器
    11.2.1 NCSAhttpd的安全漏洞
    11.2.2 Apachehttpd的安全漏洞
    11.2.3 NetscapeServers的安全漏洞
    11.2.4 LotusDominoGoServer的安全漏洞
    11.3 Macintosh系统上的Web服务器
    11.3.1 WebStar的安全漏洞
    11.3.2 QuidProQuo的安全漏洞
    11.4 NovellWebServer的安全漏洞