在网络技术和电子商务飞速发展的今天，Web应用安全面临着前所未有的挑战。本书凝聚了作者们超过30年的Web安全从业经验，让读者了解黑客如何使用架构和应用剖析来进行探测和进入有漏洞的系统。详细剖析了Web应用的安全漏洞，攻击手法和对抗措施，一步步的教授如何防御邪恶的攻击，并协助读者理解黑客的思考过程。

在网络技术和电子商务飞速发展的今天，Web应用安全面临着前所未有的挑战。本书凝聚了作者们超过30年的Web安全从业经验，详细剖析了Web应用的安全漏洞，攻击手法和对抗措施，一步步的教授如何防御邪恶的攻击，并协助读者理解黑客的思考过程。

本书分为13章，书后带有附录和详细的英汉对照索引。本书是网络管理员、系统管理员的必备宝典，也是电子商务从业者、网络爱好者和企业管理者的参考书籍。

第1章 Web应用攻击的基础知识

 1.1 什么是Web应用攻击

1.1.1 GUI Web攻击

1.1.2 URI攻击

1.1.3 请求方法、请求头和数据体

1.1.4 资源

1.1.5 认证，会话和授权

1.1.6 Web客户端和HTML

1.1.7 其他协议

 1.2 为什么攻击Web应用

 1.3 何人、何时、何地攻击Web应用

1.3.1 安全薄弱点

 1.4 如何攻击Web应用程序

1.4.1 Web浏览器

1.4.2 浏览器扩展

1.4.3 HTTP代理

1.4.4 命令行工具

1.4.5 一些老工具

 1.5 小结

 1.6 参考和进一步阅读

第2章 剖析

 2.1 架构剖析

2.1.1 踩点和扫描：定义范围

2.1.2 Banner抓取

2.1.3 高级HTTP指纹

2.1.4 中间件架构

 2.2 应用剖析

2.2.1 手工检测

2.2.2 使用搜索工具进行剖析

2.2.3 自动Web爬行工具

2.2.4 常见Web应用剖析

 2.3 常用对抗措施

2.3.1 一条警示

2.3.2 保护目录

2.3.3 保护包含文件

2.3.4 一些其他技巧

 2.4 小结

 2.5 参考和进一步阅读

第3章 攻击Web平台

 3.1 使用Metasploit进行点击式的漏洞利用

 3.2 手工漏洞利用

 3.3 检测绕过技术

 3.4 Web平台安全最佳实践

3.4.1 通用最佳实践

3.4.2 IIS加固

3.4.3 加固Apache

3.4.4 PHP最佳实践

 3.5 小结

 3.6 参考和进一步阅读

第4章 攻击Web认证

 4.1 认证威胁

4.1.1 用户名/密码威胁

4.1.2 更强的Web认证

4.1.3 Web认证服务

 4.2 绕过认证

 ……

第5章 攻击Web授权

第6章 输入验证攻击

第7章 攻击Web数据存储

第8章 攻击XML Web服务

第9章 攻击Web应用管理

第10章 攻击Web客户端

第11章 拒绝服务(Denial of Service)攻击

第12章 充分认知分析(Full-Knowledge Analysis)

第13章 Web应用安全扫描器

 附录A Web应用程序的安全检查列表

 附录B Web攻击工具和攻击技术清单

 附录C URLScan和ModSecurity

 附录D 关于本书的配套网站

索引