構(gòu)建安全的WEB站點(diǎn)

     目錄
   第一章Internet簡介
    1.1 Internet的簡史
    1.2 Internet功能概要
    1.3 Web結(jié)構(gòu)
    1.3.1 Web服務(wù)器
    1.3.2 Web瀏覽器
    1.4 通用網(wǎng)關(guān)接口（CGI）介紹
   第二章 Web的安全問題
    2.1 Web安全框架
    2.1.1 定義資源
    2.1.2 定義風(fēng)險(xiǎn)
    2.1.3 建立安全策略
    2.1.4 定義安全機(jī)制
    2.1.5 Web服務(wù)存在風(fēng)險(xiǎn)的原因
    2.2 Web服務(wù)器的風(fēng)險(xiǎn)和安全提升機(jī)制
    2.2.1 Internet主機(jī)的風(fēng)險(xiǎn)
    2.2.2 Internet主機(jī)的安全機(jī)制
    2.2.3 Web服務(wù)器軟件易受攻擊性
    2.2.4 Web服務(wù)器安全配置原則
    2.2.5 認(rèn)證和訪問控制機(jī)制
    2.3 Web客戶端的風(fēng)險(xiǎn)和安全提升機(jī)制
    2.3.1 信息泄漏
    2.3.2 內(nèi)容協(xié)商與查看器
    2.4 防火墻的角色
    2.4.1 防火墻的功能
    2.4.2 防火墻的使用
    2.4.3 代理服務(wù)器
    2.4.4 Internet與防火墻的關(guān)系
   第三章 Web服務(wù)器的安全
    3.1 安全隱患
    3.2 Internet各層的安全模型
    3.2.1 傳輸層的安全
    3.2.2 應(yīng)用層的安全
    3.3 服務(wù)器和文檔根目錄的權(quán)限設(shè)置
    3.4 Web服務(wù)器一些功能的安全
    3.4.1 自動(dòng)目錄列表功能
    3.4.2 符號(hào)連接
    3.4.3 ServerSideIncludes
    3.4.4 用戶維護(hù)的目錄
    3.5 以root身份運(yùn)行的Web服務(wù)器
    3.6 Web服務(wù)器和FTP服務(wù)器共用文檔樹的情況
    3.7 在chroot環(huán)境下運(yùn)行Web服務(wù)器
    3.8 檢查站點(diǎn)是否被攻破
   第四章 Web站點(diǎn)上數(shù)據(jù)的安全
    4.1 訪問限制類型
    4.1.1 通過IP地址、子網(wǎng)或域名來控制
    4.1.2 通過用戶名/口令限制
    4.1.3 用公用密鑰加密方法
    4.2 通過IP地址或域名限制實(shí)例
    4.3 通過用戶名/口令限制實(shí)例
    4.3.1 用戶名/口令的安全性
    4.3.2 授權(quán)新的用戶
    4.4 用戶認(rèn)證
    4.5 允許用戶在線地修改口令的CGI程序
    4.6 access.conf文件與每個(gè)目錄的訪問控制文件的比較
    4.7 加密的工作原理
    4.8 SSL、SHTTP和Shen
    4.8.1 SSL
    4.8.2 SHTTP
    4.8.3 Shen
    4.9 免費(fèi)的SSL軟件模塊
    4.10 用個(gè)人證書來控制服務(wù)器訪問
    4.11 在Web上如何接受信用卡訂單
    4.12 FirstVirtual帳號(hào)、DigiCash、CyberCash和SET
    4.12.1 FirstVirtual帳號(hào)
    4.12.2 DigiCash
    4.12.3 CyberCash
    4.12.4 SET
    4.12.5 OpenMarketWeb商業(yè)系統(tǒng)
   第五章 CGI腳本的安全性
    5.1 安全隱患
    5.2 CGI腳本帶來的安全問題
    5.2.1 腳本和其他程序的比較
    5.2.2 表單中數(shù)據(jù)的真實(shí)性
    5.3 cgi－bin目錄與.cgi文件
    5.4 編譯型語言與解釋型語言的比較
    5.5 確認(rèn)CGI腳本的安全性
    5.6 Internet上含有漏洞的CGI程序
    5.6.1 TextCounter
    5.6.2 各種guestbook腳本
    5.6.3 ExciteWeb搜索引擎（EWS）
    5.6.4 info2www
    5.6.5 count.cgi
    5.6.6 Webdist.cgi
    5.6.7 php.cgi
    5.6.8 files.pl
    5.6.9 MicrosoftfrontPage擴(kuò)展
    5.6.10 nph－test－cgi
    5.6.11 nph－publish
    5.6.12 AnyForm
    5.6.13 FormMail
    5.7 編寫CGI腳本時(shí)要考慮的問題
    5.8 CGI與數(shù)據(jù)庫/搜索引擎連接
    5.9 PAT H環(huán)境變量
    5.10 CGIWRAP
    5.11 Sbox
    5.12 cgi程序的運(yùn)行與用戶接口
    5.13 表單中的hidden變量
    5.14 POST與PUT方法
    5.15 安全的Perl腳本程序
    5.15.1 調(diào)用exec（）和system（）的問題
    5.15.2 Perl的taint檢查
    5.15.3 打開taont檢查后的問題
    5.15.4 取消某個(gè)變量的taint
    5.15.5 ＄foo＝～/＄uservariable/模式匹配的安全性
    5.15.6 suid
   第六章 Cookies及其安全
    6.1 cookies介紹
    6.2 工作方式
    6.3 cookies中保存的內(nèi)容
    6.4 存放位置
    6.5 生命周期
    6.6 cookies安全須知
    6.6.1 cookies不能從用戶的硬盤上讀取數(shù)據(jù)
    6.6.2 cookies不能被用于收集敏感信息
    6.6.3 不同站點(diǎn)的cookies
    6.7 用戶的瀏覽器泄漏的信息
    6.8 服務(wù)器保存客戶端狀態(tài)信息的方法
    6.9 用戶泄露信息的原因
    6.10 如何去掉cookies的方法
   第七章 Java的安全性
    7.1 Java的安全模型
    7.1.1 類裝載器
    7.1.2 字節(jié)碼驗(yàn)證器
    7.1.3 安全管理器
    7.1.4 Java語言提供的安全特性
    7.2 JavaSecurityAPI
    7.2.1 數(shù)字簽名和JAR文件
    7.2.2 密鑰管理、消息文摘和訪問列表
    7.3 Java應(yīng)用安全
    7.3.1 JavaApplet安全
    7.3.2 瀏覽器上Applet的安全
    7.4 Applet不能做什么
    7.5 如何使Applet讀取文件的方法
    7.6 使Applet向文件中寫數(shù)據(jù)的方法
    7.7 Applet能夠獲取的系統(tǒng)信息
    7.8 Applet連接其他主機(jī)的方法
    7.9 Applet維持連續(xù)狀態(tài)的方法
    7.10 Applet不能在客戶端啟動(dòng)其他的程序
   第八章 提高IIS的安全性
    8.1 WindowsNT的安全與IIS的安全概述
    8.2 InternetInformationServer的安全機(jī)制
    8.3 控制對Web節(jié)點(diǎn)的匿名訪問
    8.3.1 配置匿名用戶帳號(hào)
    8.3.2 允許匿名訪問
    8.3.3 更改匿名訪問的帳號(hào)或密碼
    8.3.4 使用域控制器上的匿名帳號(hào)
    8.4 帳號(hào)的安全
    8.5 身份認(rèn)證
    8.5.1 WWW服務(wù)的身份認(rèn)證
    8.5.2 FTP服務(wù)的身份認(rèn)證
    8.5.3 匿名登錄與客戶身份認(rèn)證的交互
    8.6 通過文件夾和文件的權(quán)限控制訪問
    8.7 設(shè)置WWW 目錄訪問權(quán)
    8.7.1 讀取權(quán)限
    8.7.2 執(zhí)行權(quán)限
    8.8 通過IP地址控制訪問權(quán)
    8.8.1 拒絕訪問特定計(jì)算機(jī)或計(jì)算機(jī)組
    8.8.2 允許訪問特定計(jì)算機(jī)或計(jì)算機(jī)組
    8.9 運(yùn)行其他網(wǎng)絡(luò)服務(wù)
    8.9.1 只運(yùn)行所需要的服務(wù)
    8.9.2 檢查網(wǎng)絡(luò)共享權(quán)限
    8.9.3 禁止目錄瀏覽
    8.10 通過SSL保護(hù)數(shù)據(jù)傳送
   第九章 Apache服務(wù)器的安全性
    9.1 Apache服務(wù)器介紹
    9.2 控制CGI腳本的執(zhí)行
    9.3 如何使用SSI
    9.4 /etc/passwd與Web頁面認(rèn)證
    9.5 Apache在每次響應(yīng)中都加入cookie
    9.6 Apache沒有加入SSL的原因
    9.7 Apache的suEXEC
    9.7.1 suEXEC介紹
    9.7.2 suEXEC 安全模型
    9.7.3 配置和安裝suEXEC
    9.7.4 打開和關(guān)閉suEXEC
    9.8 DBM用戶認(rèn)證
    9.8.1 DBM介紹
    9.8.2 準(zhǔn)備Apache的DBM文件
    9.8.3 創(chuàng)建DBM用戶文件
    9.8.4 限制目錄訪問
    9.8.5 用戶組
    9.8.6 定制DBM文件的管理
    9.9 Apache配置技巧
    9.9.1 ServerRoot目錄權(quán)限的設(shè)置
    9.9.2 ServerSideIncludes的配置
    9.9.3 阻止用戶修改系統(tǒng)配置
    9.9.4 缺省地保護(hù)服務(wù)器文件
   第十章 客戶端的安全性
    10.1 客戶端可能泄漏的信息
    10.2 配置/bin/csh作為查看器
    10.3 SSL使用的加密方法的安全性
    10.4 Java和JavaScript的區(qū)別
    10.5 JavaScript的安全性
    10.5.1 截取用戶的電子郵件地址和其他信息
    10.5.2 截取用戶本地機(jī)器上的文件
    10.5.3 監(jiān)視用戶的會(huì)話過程
    10.5.4 Frame造成的信息泄漏
    10.5.5 文件上傳漏洞
    10.6 ActiveX的安全性
    10.7 瀏覽器暴露用戶的局域網(wǎng)登錄的用戶名/口令
    10.8 UNIX下的Lynx的安全性
    10.9 MicrosoftInternetExplorer的安全漏洞
    10.9.1 緩沖區(qū)溢出漏洞
    10.9.2 遞歸Frames漏洞
    10.9.3 “快捷方式漏洞”
    10.10 Netscape的安全漏洞
    10.10.1 緩沖區(qū)溢出漏洞
    10.10.2 個(gè)人喜好漏洞
    10.10.3 類裝載器Java漏洞
    10.10.4 長文件名電子郵件漏洞
    10.10.5 Singapore隱私漏洞
   第十一章 已知的Web服務(wù)器漏洞
    11.1 WindowsNT上的Web服務(wù)器
    11.1.1 NetscapeCommunicationsServerforNT的安全漏洞
    11.1.2 O＇ReillyWebSiteServerforWindowsNT的安全漏洞
    11.1.3 PurveyorServerforWindowsNT的安全漏洞
    11.1.4 MicrosoftIISWeb服務(wù)器的安全漏洞
    11.1.5 Sun的JavaWebServerforWindowsNT安全漏洞
    11.1.6 MetaInfoMetaWeb服務(wù)器的安全漏洞
    11.2 UNIX系統(tǒng)上的Web服務(wù)器
    11.2.1 NCSAhttpd的安全漏洞
    11.2.2 Apachehttpd的安全漏洞
    11.2.3 NetscapeServers的安全漏洞
    11.2.4 LotusDominoGoServer的安全漏洞
    11.3 Macintosh系統(tǒng)上的Web服務(wù)器
    11.3.1 WebStar的安全漏洞
    11.3.2 QuidProQuo的安全漏洞
    11.4 NovellWebServer的安全漏洞