资源名称：Web应用安全权威指南(文字版) 中文pdf

第1章 什么是 web应用的安全隐患　　1
1-1 安全隐患即“能用于作恶的bug”　　2
1-2 为什么存在安全隐患会有问题　　3
经济损失　　3
法律要求　　3
对用户造成不可逆的伤害　　4
欺骗用户　　4
被用于构建僵尸网络　　4
1-3 产生安全隐患的原因　　6
1-4 安全性 bug与安全性功能　　7
1-5 本书的结构　　8
第2章 搭建试验环境 9
2-1试验环境概要　　10
2-2 安装 vmware player　　11
什么是 vmware player　　11
下载 vmware player　　11
安装 vmware player　　12
2-3 安装虚拟机及运行确认　　14
虚拟机启动确认　　14
虚拟机的使用方法　　15
编辑 hosts文件　　16
使用 ping确认连接　　16
apache 与php的运行确认　　17
设置并确认邮箱账号　　17
2-4 安装 fiddler　　18
什么是 fiddler　　18
安装 fiddler　　18
fiddler 的运行确认及简单用法　　18
参考：虚拟机的数据一览　　19
参考：如果无法连接试验环境的pop3服务器　　20
第3章 web 安全基础：http、会话管理、同源策略　　21
3-1 http 与会话管理　　22
为什么要学习 http　　22
最简单的 http　　22
使用 fiddler观察http消息　　23
请求消息　　24
响应消息　　24
状态行　　25
响应头信息　　25
如果将 http比喻为对话　　25
输入－确认－注册模式　　26
post 方法　　28
消息体　　28
百分号编码　　29
referer　　29
get 和post的使用区别　　29
hidden 参数能够被更改　　30
将 hidden参数的更改比作对话　　32
hidden 参数的优点　　32
无状态的 http认证　　33
体验 basic认证　　33
专栏 　认证与授权　　36
cookie 与会话管理　　36
使用 cookie的会话管理　　39
会话管理的拟人化解说　　39
会话 id泄漏的原因　　42
cookie 的属性　　42
专栏 　cookie monster bug　　44
总结　　45
3-2 被动攻击与同源策略　　46
主动攻击与被动攻击　　46
主动攻击　　46
被动攻击　　46
恶意利用正规网站进行的被动攻击　　47
跨站被动攻击　　48
浏览器如何防御被动攻击　　48
沙盒　　49
同源策略　　49
应用程序安全隐患与被动攻击　　52
专栏 　第三方 javaｓｃｒｉｐｔ　　53
javaｓｃｒｉｐｔ 以外的跨域访问　　54
frame 元素与iframe元素　　54
专栏 　x-frame-options　　54
img 元素　　54
ｓｃｒｉｐｔ 元素　　54
css　　55
form 元素的action属性　　55
总结　　56
第4章 web应用的各种安全隐患 57
4-1 web 应用的功能与安全隐患的对应关系　　58
安全隐患产生于何处　　58
注入型隐患　　59
总结　　60
4-2 输入处理与安全性　　61
什么是 web应用的输入处理　　61
检验字符编码　　62
转换字符编码　　62
检验并转换字符编码的实例　　62
专栏 　字符编码的自动转换与安全性　　64
输入校验　　64
输入校验的目的　　64
输入校验与安全性　　65
二进制安全与空字节攻击　　65
仅校验输入值并不是安全性策略　　66
输入校验的依据是应用程序的规格　　67
哪些参数需要校验　　67
php 的正则表达式库　　67
使用正则表达式检验输入值的实例（1） 1～5 个字符的字母数字　　68
使用正则表达式检验输入值的实例（2） 住址栏　　70
专栏 　请注意 mb_ereg中的\\\\d与\\\\w　　70
范例　　70
专栏 　输入校验与框架　　71
总结　　72
参考：表示“非控制字符的字符”的正则表达式　　73
4-3 页面显示的相关问题　　75
4.3.1 跨站脚本（基础篇）　　75
概要　　75
攻击手段与影响　　76
xss 窃取cookie值　　76
通过 javaｓｃｒｉｐｔ攻击　　79
篡改网页　　80
反射型 xss与存储型xss　　82

……….

资源截图：