《黑客攻防从入门到精通（Web技术实战篇）》从Web应用的安全隐患以及产生的原因入手，详细介绍了Web安全的基础，如HTTP、会话管理、同源策略等。另外还重点介绍了Web应用的各种安全隐患，对其产生原理及对策进行了详尽的讲解。很后对如何提高Web网站的安全性和开发安全的Web应用所需要的管理进行了深入的探讨。《黑客攻防从入门到精通（Web技术实战篇）》内容丰富全面，图文并茂，深入浅出，面向广大网络爱好者，同时可作为一本速查手册，也适用于网络安全从业人员及网络管理者。

章什么是Web安全
1.1Web安全的发展历程
1.1.1Web安全概念的提出与发展
1.1.2中国Web安全的发展历程
1.1.3当前Web安全的发展现状
1.2Web应用程序中存在的风险及预防
1.2.1Web应用程序的安全套接层（SSL）应用
1.2.2Web应用程序安全的核心问题
1.2.3Web应用程序中存在的安全风险
1.2.4Web应用程序安全的预防及发展趋势
1.3小结
技巧与问答
第2章Web应用程序的安全剖析
2.1Vveb应用程序使用的通信协议——HTTP协议
2.1.1什么是超文本传输协议HTTP
2.1.2统一资源定位器——URL
2.1.3HTTP请求
2.1.4HTTP响应
2.1.5HTTP消息报头
2.1.6利用Telnet观察HTTP协议的通信过程
2.1.7HTTP协议相关技术补充
2.2Web功能及使用技术
2.2.1Web服务器端功能
2.2.2Web客户端功能
2.2.3会话与状态
2.3Web应用程序的内容与功能
2.3.1抓取站点内容——网络爬虫介绍
2.3.2Wireshark抓包步骤详解
2.3.3Web应用程序的传递参数解析
2.4小结
技巧与问答
第3章对Web应用程序入侵及防范技术
3.1轻而易举实现的Web攻击—Metasploit攻击
3.1.1Metasploit环境的搭建与安装
3.1.2Metasploit使用教程详解
3.2让用户自动上钩的Web攻击—一欺骗攻击
3.2.1常见的欺骗攻击解析
3.2.2经典欺骗攻击解析——网络钓鱼攻击
3.2.3网络钓鱼攻击技术详解
3.2.4网络钓鱼攻击的日常防范
3.3Web攻击的“隐形外衣”——日志逃避
3.4应用于Web应用程序的防范技术
3.4.1适用于任何应用程序的防范技术
3.4.2应用于IIS的防范技术
3.4.3应用于Apache的防范技术
3.4.4应用于PHP的防范技术
3.5小结
技巧与问答
第4章利用验证机制漏洞入侵Web及防范技术
4.1Web验证机制实现技术—SSL身份验证
4.1.1SSL身份验证产生背景
4.1.2SSL身份验证协议安全机制
4.1.3利用非对称密钥算法保证密钥本身的安全
4.1.4利用PKI保证公钥的真实性
4.1.5SSL验证协议工作过程
4.1.6Web应用程序应用SSL验证机制
4.2Web验证机制存在的漏洞
4.2.1用户名和密码可以进行预测
4.2.2重置密码和忘记密码漏洞
4.2.3对验证登录的暴力破解攻击
4.2.4对用户密码强度不进行控制
4.2.5对网络安全证书进行攻击
4.3对验证机制漏洞进行防范
4.3.1设置安全可靠的证书
4.3.2对密码重置和忘记密码功能进行控制
4.3.3对密码设置强度进行控制
4.3.4采用多重安全机制实现多因素验证
4.4小结
技巧与问答
第5章利用访问控制漏洞入侵Web及防范技术
5.1访问控制模型有哪些
5.1.1自主访问控制模型
5.1.2强制访问控制模型
5.1.3基于角色的访问控制模型
5.1.4基于任务的访问控制模型
5.1.5基于对象的访问控制模型
5.1.6信息流模型
5.2如何实现访问控制机制
5.2.1访问控制的实现机制
5.2.2访问控制表
5.2.3访问控制矩阵
5.2.4访问控制能力列表
5.2.5访问控制标签列表
5.2.6访问控制实现的具体类别
5.3访问控制的授权与审计
53.1授权行为
5.3.2信任模型
5.3.3信任管理系统
5.3.4审计跟踪概述
5.3.5审计内容
5.4对访问控制的攻击方法
5.4.1使用其他账户访问应用程序
5.4.2直接访问服务器API端方法的请求
5.4.3URL直接访问Web程序中的静态资源
5.4.4利用HTTP平台级控制的漏洞进行入侵
5.5对访问控制进行安全防范
5.5.1制定安全策略
5.5.2安全级别与访问控制
5.6小结
技巧与问答
第6章利用会话管理漏洞入侵Web及防范技术
6.1Web应用程序会话状态
6.2生成会话令牌过程中的漏洞
6.2.1结构化令牌的组成存在漏洞
6.2.2令牌含义的可预测性
6.2.3对令牌的算法存在漏洞
6.3处理会话令牌过程中的漏洞
6.3.1日志记录导致的令牌泄露
6.3.2网络传送导致的令牌泄露
6.3.3会话管理机制存在各种漏洞
6.3.4不能提供有效会话终止功能
6.3.5向应用程序客户端用户发动攻击
6.4对会话管理进行安全防范
6.4.1设置最有效的令牌生成机制
6.4.2保障令牌使用过程中的安全
6.4.3使用日志、监控等辅助功能
6.5小结
技巧与问答
……
第7章利用编程方式进行Web入侵及防范技术
第8章数据存储区的入侵及防范技术
第9章数据库入侵及防范技术
0章利用Cookies攻击及防范技术
1章利用文件上传漏洞的攻击及防范技术
2章实现XSS（跨站脚本攻击）及防范技术
3章攻击Web服务器及防范技术
4章Web入侵及防范技术
5章Web框架安全
6章时下ZUI新技术安全解析—HTML5安全
7章Web安全新领域—Wi—Fi安全攻防
8章企业Web应用安全计划——全计划