Web应用安全权威指南 本书特色

《web应用安全权威指南》系日本web安全**人德丸浩所创，是作者从业多年的经验总结。作者首先简要介绍了web应用的安全隐患以及产生原因，然后详细介绍了web安全的基础，如http、会话管理、同源策略等。此外还重点介绍了web应用的各种安全隐患，对其产生原理及对策进行了详尽的讲解。*后对如何提高web网站的安全性和开发安全的web应用所需要的管理进行了深入的探讨。《web应用安全权威指南》可操作性强，读者可以通过下载已搭建的虚拟机环境亲自体验书中的各种安全隐患。《web应用安全权威指南》适合web相关的开发人员特别是安全及测试人员阅读。

Web应用安全权威指南 内容简介

★ 日本web应用安全**人权威力作！！★ owasp北京区负责人、51cto信息安全专家 作序推荐★ 在虚拟机上亲自体验攻击流程★ 日本web开发者人手一册的安全圣经，让你的web应用无懈可击！！八大章节全面剖析，深入浅出地讲解了sql注入、xss、csrf等web开发人员必知的web安全知识。通过在vmware player虚拟机上对php样本的攻击，详细介绍了安全隐患产生的原理及应对方法，助你打造安全无虞的web应用。

Web应用安全权威指南 目录

第1章什么是web应用的安全隐患1-1安全隐患即“能用于作恶的bug”1-2为什么存在安全隐患会有问题经济损失法律要求对用户造成不可逆的伤害欺骗用户被用于构建僵尸网络1-3产生安全隐患的原因1-4安全性bug与安全性功能1-5本书的结构第2章搭建试验环境2-1试验环境概要2-2安装vmware player什么是vmware player下载vmware player安装vmware player2-3安装虚拟机及运行确认虚拟机启动确认虚拟机的使用方法编辑hosts文件使用ping确认连接apache与php的运行确认设置并确认邮箱账号2-4安装fiddler什么是fiddler安装fiddlerfiddler的运行确认及简单用法参考：虚拟机的数据一览参考：如果法连接试验环境的pop3服务器第3章web安全基础：、会话管理、同源策略3-1与会话管理为什么要学习*简单的使用fiddler观察消息请求消息响应消息状态行响应头信息如果将比喻为对话输入-确认-注册模式post方法消息体百分号编码refererget和post的使用区别hidden参数能够被更改将hidden参数的更改比作对话hidden参数的优点状态的认证体验basic认证专栏认证与授权cookie与会话管理使用cookie的会话管理会话管理的拟人化解说会话id泄漏的原因cookie的属性专栏cookie monster bug总结3-2被动攻击与同源策略主动攻击与被动攻击主动攻击被动攻击恶意利用正规网站进行的被动攻击跨站被动攻击浏览器如何防御被动攻击……第4章web应用的各种安全隐患第5章典型安全功能第6章字符编码和安全第7章如何提高web网站的安全性第8章开发安全的web应用所需要的管理

Web应用安全权威指南 作者简介

<作者>德丸 浩2008年创立HASH咨询公司，任董事长。主要从事网络安全性的诊断与咨询工作，并在工作之余通过博客普及网络安全知识。兼任KYOCERA Communication Systems股份有限公司技术顾问、独立行政法人信息处理推进机构（IPA）兼职研究员。Twitter ID为@ockeghem。<译者>赵文程序员，Ruby 语言爱好者。图灵电子书《关于 mruby 的一切》译者。<译者>刘斌程序员，关注于后台开发，Java/Ruby爱好者。<审校>OWASP子明OWASP北京区负责人，51CTO信息安全专家，微软的信息安全白皮书的译者。现为远江盛邦（北京）公司技术总监。