目录
第1章Web系统安全概述1
1.1Web系统安全现状1
1.2Web网站系统结构3
1.2.1静态网站3
1.2.2动态网站3
1.2.3Web服务器5
1.3Web安全漏洞6
1.3.1应用系统安全漏洞6
1.3.2Web漏洞类型6
1.3.3Web系统安全技术8
1.4Web安全威胁前沿趋势9
思考题11
第2章Web应用防火墙12
2.1WAF简介12
2.2WAF的功能及特点12
2.2.1WAF的功能13
2.2.2WAF的特点13
2.2.3WAF产品性能指标14
2.3WAF部署16
2.3.1串联防护部署模式16
2.3.2旁路防护部署模式18
2.4WAF防护原理19
2.4.1Web应用安全监测19
2.4.2双重边界20
2.4.3纵深防御体系22
思考题23Web应用防火墙技术及应用目录第3章HTTP校验和访问控制24
3.1HTTP24
3.1.1HTTP简介24
3.1.2统一资源定位符25
3.1.3HTTP请求25
3.1.4HTTP响应27
3.1.5HTTP消息28
3.1.6Cookie30
3.2HTTP校验31
3.3HTTP访问控制32
思考题33
第4章Web防护34
4.1弱密码34
4.1.1弱密码攻击34
4.1.2弱密码检测35
4.1.3弱密码防范36
4.2SQL注入36
4.2.1SQL注入攻击原理37
4.2.2SQL注入漏洞利用38
4.2.3SQL注入漏洞检测40
4.2.4SQL注入漏洞防范42
4.3跨站脚本攻击44
4.3.1XSS攻击原理45
4.3.2XSS漏洞利用47
4.3.3XSS漏洞检测48
4.3.4XSS防范49
4.4跨站请求伪造攻击52
4.4.1CSRF攻击原理52
4.4.2CSRF漏洞利用53
4.4.3CSRF漏洞检测54
4.4.4CSRF漏洞防范55
4.5恶意流量攻击57
4.5.1爬虫攻击分析57
4.5.2爬虫攻击防范62
4.5.3盗链攻击分析64
4.5.4盗链攻击防范66
4.6文件上传与下载攻击67
4.6.1文件上传攻击原理67
4.6.2文件上传攻击防范69
4.6.3文件下载攻击原理70
4.6.4文件下载攻击防范72
4.7Web服务器敏感信息泄露74
4.7.1敏感信息泄露原理74
4.7.2敏感信息泄露检测78
4.7.3敏感信息泄露防范78
思考题80
第5章网页防篡改82
5.1网页篡改的原理82
5.2攻击者常用的网页篡改方法83
5.3网页篡改防范技术85
5.3.1时间轮询技术86
5.3.2核心内嵌技术86
5.3.3事件触发技术87
5.3.43种网页防篡改技术的对比88
5.3.5网页防篡改系统90
思考题91
第6章分布式拒绝服务攻击防护92
6.1DDoS攻击原理92
6.2DDoS攻击现象与特点94
6.3DDoS攻击方式96
6.3.1攻击网络带宽资源96
6.3.2攻击系统资源100
6.3.3攻击应用资源103
6.4DDoS攻击的防御方法109
6.4.1DDoS攻击的治理109
6.4.2DDoS攻击的缓解114
思考题121
第7章威胁情报中心122
7.1威胁情报概述122
7.1.1威胁情报定义122
7.1.2威胁情报分类125
7.2威胁情报服务和威胁情报的用途126
7.3智慧Web应用防火墙128
思考题129
第8章典型案例130
8.1防数据泄露解决方案130
8.1.1背景及需求130
8.1.2解决方案及分析131
8.2防DDoS攻击解决方案132
8.2.1背景及需求132
8.2.2解决方案及分析133
8.3防网页篡改解决方案134
8.3.1背景及需求134
8.3.2解决方案及分析135
附录AWAF技术英文缩略语136
参考文献139