本書內(nèi)容共分五章����,從Web應用漏洞掃描產(chǎn)品的技術實現(xiàn)和標準入手,對Web應用漏洞掃描產(chǎn)品的產(chǎn)生需求���、技術原理�����、實現(xiàn)機制���、產(chǎn)品標準�、典型應用和產(chǎn)品等內(nèi)容進行了全面���、翔實的介紹����。
俞優(yōu)�,碩士,副研究員�����。長期圍繞網(wǎng)絡安全等級保護�����、網(wǎng)絡安全產(chǎn)品等方向開展相關測試方法���、標準和工具的研究����。在網(wǎng)絡安全相關領域�����,作為負責人或子任務負責人完成多項國家\省部級科研項目��;牽頭或作為主要完成人制定30余項國家標準\行業(yè)標準�;先后獲得4次公安部科學技術獎三等獎,1次中國電子學會科技進步獎三等獎��,1次上海市標準化優(yōu)秀技術成果二等獎�����。
第1章 綜述 1
1.1 為什么需要進行Web應用漏洞掃描 1
1.1.1 Web應用安全現(xiàn)狀 1
1.1.2 Web應用攻擊形式 2
1.1.3 采用Web應用漏洞掃描技術的必要性 3
1.2 Web應用漏洞掃描技術發(fā)展歷程 5
1.2.1 漏洞檢測技術 5
1.2.2 Web應用漏洞檢測技術 6
第2章 Web系統(tǒng)及安全掃描技術 10
2.1 Web系統(tǒng) 10
2.1.1 Web的發(fā)展 10
2.1.2 Web系統(tǒng)構成 11
2.1.3 Web應用架構 15
2.1.4 Web訪問方法 16
2.1.5 Web編程語言 20
2.1.6 Web數(shù)據(jù)庫訪問技術 24
2.1.7 Web服務器 27
2.2 HTTP協(xié)議 30
2.2.1 HTTP協(xié)議通信過程 31
2.2.2 統(tǒng)一資源定位符 32
2.2.3 HTTP的連接方式和無狀態(tài)性 33
2.2.4 HTTP請求報文 34
2.2.5 HTTP響應報文 37
2.2.6 HTTP報文結構匯總 39
2.2.7 HTTP會話管理 40
2.3 HTTPS協(xié)議 42
2.3.1 HTTPS和HTTP的主要區(qū)別 43
2.3.2 HTTPS通信過程 44
2.3.3 HTTPS的優(yōu)點 44
2.3.4 HTTPS的缺點 45
2.4 Web應用漏洞的定義和分類 45
2.4.1 Web應用漏洞的定義 45
2.4.2 Web應用漏洞的分類 46
2.4.3 OWASP與WASC 49
2.4.4 Web應用漏洞產(chǎn)生的原因 51
2.5 Web應用漏洞掃描產(chǎn)品工作機制 51
2.6 掃描機制 55
2.6.1 被動模式 55
2.6.2 主動模式 62
2.7 爬蟲技術 65
2.8 漏洞檢測技術 68
2.8.1 SQL注入漏洞分析 68
2.8.2 跨站腳本攻擊漏洞分析 75
2.8.3 CSRF漏洞分析 79
2.8.4 任意文件下載漏洞分析 83
2.8.5 文件包含漏洞分析 85
2.8.6 網(wǎng)頁木馬分析 91
2.8.7 邏輯漏洞分析 95
2.8.8 暗鏈原理分析 98
2.9 漏洞驗證與滲透測試 99
2.9.1 SQL注入漏洞驗證與滲透測試 101
2.9.2 跨站腳本漏洞驗證 104
2.9.3 CSRF漏洞驗證 105
2.10 常見過濾繞過技術 105
2.11 網(wǎng)頁內(nèi)容檢測技術 107
2.11.1 本地檢測技術 108
2.11.2 遠程檢測技術 109
2.12 性能與效率 110
2.12.1 爬蟲效率的提升 110
2.12.2 檢測效率的提升 114
第3章 Web應用漏洞掃描產(chǎn)品標準介紹 115
3.1 如何評價Web應用漏洞掃描產(chǎn)品 115
3.2 行業(yè)標準編制情況概述 116
3.2.1 標準的主要內(nèi)容 116
3.2.2 標準的主要條目解釋 119
3.3 國家標準編制情況概述 123
3.3.1 標準介紹 123
3.3.2 標準的主要內(nèi)容 124
3.4 測試環(huán)境介紹 149
3.4.1 常見測試環(huán)境 149
3.4.2 WebGoat安裝部署 150
3.4.3 DVWA安裝部署 153
第4章 Web應用漏洞掃描產(chǎn)品的典型應用 155
4.1 應用場景一 155
4.1.1 背景及需求 155
4.1.2 應用案例 156
4.2 應用場景二 159
4.2.1 背景及需求 159
4.2.2 應用案例 159
4.3 應用場景三 161
4.3.1 背景及需求 161
4.3.2 解決方案分析 161
4.3.3 建設目標 162
4.3.4 系統(tǒng)架構 163
第5章 Web應用漏洞掃描產(chǎn)品介紹 164
5.1 Acunetix Web Vulnerability Scanner 164
5.2 IBM Rational AppScan 165
5.3 明鑒Web應用弱點掃描器 165
5.4 綠盟Web應用漏洞掃描系統(tǒng) 166
5.5 天融信Web掃描系統(tǒng) 167
5.6 360網(wǎng)站漏洞掃描系統(tǒng) 168
5.7 天泰Web安全監(jiān)測系統(tǒng) 169
5.8 更多產(chǎn)品 170
參考文獻 172
