构建安全Web站点2025|PDF|Epub|mobi|kindle电子书版本百度云盘下载

构建安全Web站点PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章 Web简介1

1．1 Internet Web简史2

1．1．1引言2

1．1．2 Internet的起源2

1．1．3 Internet Web的发展3

1．1．4无处不在的Internet Web7

1．1．5下一代Internet的发展计划8

1．1．6 Internet及 Web进一步发展急需解决的问题8

1．2 Internet功能概要9

1．3 Web技术简介10

1．3．1 HTTP协议11

1．3．2 HTML语言及其他Web编程语言12

1．3．3 Web服务器13

1．3．5公共网关接口介绍14

1．3．4 Web浏览器14

第2章Web的安全需求17

2．1 Web带来的好处18

2．2 Web带来的忧虑18

2．3 Web的安全风险20

2．4 Web安全体系结构20

2．4．1 Web安全体系结构概述21

2．4．2主机系统的安全需求21

2．4．3网络系统的安全22

2．4．4 Web应用的安全28

2．5 Web服务器的安全需求28

2．5．5确保Web服务器不被用做跳板来进一步侵入内部网络29

2．5．3保护访问Web服务器用户的隐私29

2．5．2维护Web服务的可用性29

2．5．1维护所公布信息的完整性和真实性29

2．5．5确保Web服务器不被用做跳板来进一步侵入其他网络30

2．6 Web浏览器的安全需求30

2．7 Web传输过程的安全需求30

第3章Web服务器的安全策略32

3．1周密制定安全政策33

3．1．1安全资源的定义和重要等级划分33

3．1．2安全风险评估33

3．1．3安全策略的基本原则和安全管理规定34

3．1．4安全培训制度34

3．1．5意外事件处理措施34

3．2认真选择Web服务器设备和相关软件35

3．3．1将Web服务器与内部网络相隔开来36

3．3仔细配置Web服务器36

3．3．2维护一份安全的Web站点的拷贝37

3．3．3合理配置主机系统37

3．3．4合理配置Web服务器软件40

3．4谨慎组织Web服务器的内容47

3．4．1链接检查47

3．4．2 CGI程序检测48

3．5安全管理Web服务器48

3．5．1以安全的方式更新Web服务器内容49

3．5．2经常审查有关日志记录49

3．5．3进行必要的数据备份49

3．5．5辅助工具50

3．5．4定期对Web服务器进行安全检查50

3．6积极跟踪最新安全指南52

3．7沉着处理意外事件53

3．7．1检测入侵迹象的一般方法53

3．7．2意外事件处理措施54

3．7．3关于追捕入侵者54

第4章 分布式拒绝服务攻击：原理、工具和对策56

4．1拒绝服务攻击57

4．2分布式拒绝服务攻击59

4．2．1概念描述60

4．2．2结构和工作原理60

4．2．3通信60

4．2．4攻击方法61

4．3．1概述62

4．2．5安装62

4．3安全对策62

4．3．2紧密跟踪安全动态63

4．3．3简单的服务、严格的访问控制策略63

4．3．4定期对系统进行安全检查64

4．3．5建立基准值超标报警机制64

4．3．6准备简单实用的网络协议记录、分析工具65

4．3．7沉着处理意外事件65

4．4未来的攻击65

第5章 CGI的安全管理67

5．1 CGI的安全风险68

5．2安全的程序语言68

5．3 CGI输入数据的编码和解码69

5．4 CGI程序的常见安全隐患71

5．4．1敏感数据保护71

5．4．2环境变量提供的信息71

5．4．3对Post和Get输入数据的检查73

5．4．4系统调用77

5．5加强CGI安全性的措施78

5．5．1使用专门的目录CGI程序78

5．5．2使用最小的特权运行CGI程序79

5．5．3在有限的文件系统空间内运行CGI79

5．5．4关闭可有可元的服务器选项79

5．5．5仔细检查CGI编程安全80

5．5．6有关辅助工具介绍80

5．5．7安全Perl编程81

第6章 Cookies及其安全85

6．1 Cookies的工作原理86

6．2 Cookies的特点87

6．3 Cookies安全特性87

6．3．1 Cookies与系统安全87

6．3．2 Cookies与个人隐私88

6．3．3 Cookies之间的关系88

6．3．4来源不明的Cookies88

6．4 Cookies的删除方法89

第7章 Java的安全性92

7．1 Java平台简介93

7．2．1第一代Java中的沙箱模型94

7．2 Java的安全特性94

7．2．2 Java2中的安全模型概览95

7．2．3 Java2的安全保护机制96

7．2．4 Java2中的安全工具102

7．3 Java Applet的安全性103

7．3．1 Applet的限制104

7．3．2 扩充Applet的功能105

7．3．3 Applet写文件功能的实现方法105

7．3．4利用Applet获取系统信息106

7．3．5 Applet联接其他主机的方法107

7．3．6 Applet维持连续状态的方法107

第8章 加密技术在Web安全管理中的应用108

8．1 HTTP网络传输引入的安全隐患109

8．2．1 HTTP的基本认证机制110

8．2 HTTP协议的基本认证的脆弱性110

8．2．2基本认证的实施112

8．3加密算法简介112

8．3．1术语解释113

8．3．2私钥系统114

8．3．3公钥系统116

8．3．4加密算法在Web中的应用117

8．4 Web安全认证方案118

8．4．1识别方法118

8．4．2 认证方案120

8．5 Web安全传输123

8．5．1 SSL123

8．5．3 SHTTP125

8．5．2 TLS125

8．5．5 Shen126

8．6电子商务安全支付模型126

8．6．1 SET126

8．6．2 First Virtual账号128

8．6．3 DigiCash128

8．6．4 CyberCash129

8．7免费的安全的Web服务器程序129

第9章Web浏览器的安全133

9．1浏览器自动引发的应用134

9．1．1 PostScript文件134

9．1．3 Javal Applet的安全性135

9．1．2配置/bin/csh作为查看器135

9．1．4 JavaScript的安全性137

9．1．5 ActiveX的安全性139

9．1．6安全对策141

9．2 Web页面或下载文件中内嵌的恶意代码143

9．3浏览器本身的漏洞144

9．3．1 UNIX下的Lynx的一个安全漏洞144

9．3．2 Microsoft Internet Explorer的安全漏洞144

9．3．3 Netscape的安全漏洞146

9．4浏览器泄露的敏感信息148

9．5 Web欺骗151

9．5．1欺骗攻击151

9．5．2 Web欺骗攻击的原理152

9．5．3对策153

第10章 Apache服务器的安全性155

10．1 Apache服务器简介156

10．2 Apache服务器的安全特性157

10．2．1选择性访问控制和自由选择性访问控制157

10．2．2 Apache的安全模块158

10．3 Apache服务器的安全配置158

10．3．1 Apache服务器的安装配置和运行159

10．3．2 Apache Sever 基于主机的访问控制162

10．3．3 Apache Sever的用户认证与授权165

10．4建立支持SSL的Apache服务器167

10．4．1系统需求167

10．4．4生成SSL支持的Apache Server168

10．4．3产生私有密钥及获取证书（Certificate）168

10．4．2安装SSL168

10．4．5 SSL和基于名字的虚拟主机（Name-Based Virtual Hosts）169

10．5 suEXEC安全模型169

10．5．1配置和安装suEXEC171

10．5．2打开和关闭suEXEC173

10．6 DBM用户认证173

10．6．1 DBM介绍174

10．6．2准备Apache的DBM文件174

10．6．3创建DBM用户文件174

10．6．4目录访问限制175

10．6．5用户组175

10．7．1 ServerRoot目录权限的设置176

10．7 Apache配置技巧176

10．6．6定制DBM文件的管理176

10．7．2 Server Side Includes的配置177

10．7．3阻止用户修改系统配置177

10．7．4缺省地保护服务器文件177

第11章 IIS服务器的安全管理179

11．1 IIS 4.0特性180

11．2 IIS 4.0安全性设置184

11．2．1 HTTP服务的安全特征设置184

11．2．2 FTP服务的安全特征设置190

11．3 IIS 4.0服务器的安全管理——一揽子解决方案193

第12章 Web服务器的安全210

12．2．1 Internet信息传递过程211

12．2利用防火墙增强Web服务器的安全性211

12．1防火墙的概念和作用211

12．2．2报文过滤技术213

12．2．3应用网关技术215

12．2．4防火墙技术进展217

12．3防火墙的局限性219

12．4入侵检测系统220

12．4．1入侵检测系统的概念220

12．4．2入侵检测系统的类型220

12．5利用入侵检测系统保护Web服务的安全221

12．5．1典型的入侵步骤221

12．5．2入侵检测系统的功能222

12．5．3入侵检测系统的使用223

附录 缩略语参考对照表225