構(gòu)建安全Web站點(diǎn)

第1章 Web簡(jiǎn)介
1.1 Internet Web簡(jiǎn)史
1.1.1 引言
1.1.2 Internet的起源
1.1.3 Internet Web的發(fā)展
1.1.4 無(wú)處不在的Internet Web
1.1.5 下一代Internet的發(fā)展計(jì)劃
1.1.6 Internet及Web進(jìn)一步發(fā)展急需解決的問(wèn)題
1.2 Internet功能概要
1.3 Web技術(shù)簡(jiǎn)介
1.3.1 HTTP協(xié)議
1.3.2 HTML語(yǔ)言及其他Web編程語(yǔ)言
1.3.3 Web服務(wù)器
1.3.4 Web瀏覽器
1.3.5 公共網(wǎng)關(guān)接口介紹
第2章 Web的安全需求
2.1 Web帶來(lái)的好處
2.2 Web帶來(lái)的憂(yōu)慮
2.3 Web的安全風(fēng)險(xiǎn)
2.4 Web安全體系結(jié)構(gòu)
2.4.1 Web安全體系結(jié)構(gòu)概述
2.4.2 主機(jī)系統(tǒng)的安全需求
2.4.3 網(wǎng)絡(luò)系統(tǒng)的安全
2.4.4 Web應(yīng)用的安全
2.5 Web服務(wù)器的安全需求
2.5.1 維護(hù)所公布信息的完整性和真實(shí)性
2.5.2 維持Web服務(wù)的可用性
2.5.3 保護(hù)訪問(wèn)Web服務(wù)器用戶(hù)的隱私
2.5.4 確保Web服務(wù)器不被用做跳板來(lái)進(jìn)一步侵入內(nèi)部網(wǎng)絡(luò)
2.5.5 確保Web服務(wù)器不被用做跳板來(lái)進(jìn)一步侵入其他網(wǎng)絡(luò)
2.6 Web瀏覽器的安全需求
2.7 Web傳輸過(guò)程的安全需求
第3章 Web服務(wù)器的安全策略
3.1 周密制定安全政策
3.1.1 安全資源的定義和重要等級(jí)劃分
3.1.2 安全風(fēng)險(xiǎn)評(píng)估
3.1.3 安全策略的基本原則和安全管理規(guī)定
3.1.4 安全培訓(xùn)制度
3.1.5 意外事件處理措施
3.2 認(rèn)真選擇Web服務(wù)器設(shè)備和相關(guān)軟件
3.3 仔細(xì)配置Web服務(wù)器
3.3.1 將Web服務(wù)器與內(nèi)部網(wǎng)絡(luò)相隔開(kāi)來(lái)
3.3.2 維護(hù)一份安全的Web站點(diǎn)的拷貝
3.3.3 合理配置主機(jī)系統(tǒng)
3.3.4 合理配置Web服務(wù)器軟件
3.4 謹(jǐn)慎組織Web服務(wù)器的內(nèi)容
3.4.1 鏈接檢查
3.4.2 CGI程序檢測(cè)
3.5 安全管理Web服務(wù)器
3.5.1 以安全的方式更新Web服務(wù)器內(nèi)容
3.5.2 經(jīng)常審查有關(guān)日志記錄
3.5.3 進(jìn)行必要的數(shù)據(jù)備份
3.5.4 定期對(duì)Web服務(wù)器進(jìn)行安全檢查
3.5.5 輔助工具
3.6 積極跟蹤最新安全指南
3.7 沉著處理意外事件
3.7.1 檢測(cè)入侵跡象的一般方法
3.7.2 意外事件處理措施
3.7.3 關(guān)于追捕入侵者
第4章 分布式拒絕服務(wù)攻擊：原理、工具和對(duì)策
4.1 拒絕服務(wù)攻擊
4.2 分布式拒絕服務(wù)攻擊
4.2.1 概念描述
4.2.2 結(jié)構(gòu)和工作原理
4.2.3 通信
4.2.4 攻擊方法
4.2.5 安裝
4.3 安全對(duì)策
4.3.1 概述
4.3.2 緊密跟蹤安全動(dòng)態(tài)
4.3.3 簡(jiǎn)單的服務(wù)，嚴(yán)格的訪問(wèn)控制策略
4.3.4 定期對(duì)系統(tǒng)進(jìn)行安全檢查
4.3.5 建立基準(zhǔn)值超標(biāo)報(bào)警機(jī)制
4.3.6 準(zhǔn)備簡(jiǎn)單實(shí)用的網(wǎng)絡(luò)協(xié)議記錄、分析工具
4.3.7 沉著處理意外事件
4.4 未來(lái)的攻擊
第5章 CGI的安全管理
5.1 CGI的安全風(fēng)險(xiǎn)
5.2 安全的程序語(yǔ)言
5.3 CGI輸入數(shù)據(jù)的編碼和解碼
5.4 CGI程序的常見(jiàn)安全隱患
5.4.1 敏感數(shù)據(jù)保護(hù)
5.4.2 環(huán)境變量提供的信息
5.4.3 對(duì)Post和Get輸入數(shù)據(jù)的檢查
5.4.4 系統(tǒng)調(diào)用
5.5 加強(qiáng)CGI安全性的措施
5.5.1 使用專(zhuān)門(mén)的目錄CGI程序
5.5.2 使用最小的特權(quán)運(yùn)行CGI程序
5.5.3 在有限的文件系統(tǒng)空間內(nèi)運(yùn)行CGI
5.5.4 關(guān)閉可有可無(wú)的服務(wù)器選項(xiàng)
5.5.5 仔細(xì)檢查CGI編程安全
5.5.6 有關(guān)輔助工具介紹
5.5.7 安全Perl編程
第6章 Cookies及其安全
6.1 Cookies的工作原理
6.2 Cookies的特點(diǎn)
6.3 Cookies安全特性
6.3.1 Cookies與系統(tǒng)安全
6.3.2 Cookies與個(gè)人隱私
6.3.3 Cookies之間的關(guān)系
6.3.4 來(lái)源不明的Cookies
6.4 Cookies的刪除方法
第7章 Java的安全性
7.1 Java平臺(tái)簡(jiǎn)介
7.2 Java的安全特性
7.2.1 第一代Java中的沙箱模型
7.2.2 Java2中的安全模型概覽
7.2.3 Java2的安全保護(hù)機(jī)制
7.2.4 Java2中的安全工具
7.3 Java Applet的安全性
7.3.1 Applet的限制
7.3.2 擴(kuò)充Applet的功能
7.3.3 Applet寫(xiě)文件功能的實(shí)現(xiàn)方法
7.3.4 利用Applet獲取系統(tǒng)信息
7.3.5 Applet聯(lián)接其他主機(jī)的方法
7.3.6 Applet維持連續(xù)狀態(tài)的方法
第8章 加密技術(shù)在Web安全管理中的應(yīng)用
8.1 HTTP網(wǎng)絡(luò)傳輸引入的安全隱患
8.2 HTTP協(xié)議的基本認(rèn)證的脆弱性
8.2.1 HTTP的基本認(rèn)證機(jī)制
8.2.2 基本認(rèn)證的實(shí)施
8.3 加密算法簡(jiǎn)介
8.3.1 術(shù)語(yǔ)解釋
8.3.2 私鑰系統(tǒng)
8.3.3 公鑰系統(tǒng)
8.3.4 加密算法在Web中的應(yīng)用
8.4 Web安全認(rèn)證方案
8.4.1 識(shí)別方法
8.4.2 認(rèn)證方案
8.5 Web安全傳輸
8.5.1 SSL
8.5.2 TLS
8.5.3 SHTTP
8.5.4 Shen
8.6 電子商務(wù)安全支付模型
8.6.1 SET
8.6.2 First Virtual賬號(hào)
8.6.3 DigiCash
8.6.4 CyberCash
8.7 免費(fèi)的安全的Web服務(wù)器程序
第9章 Web瀏覽器的安全
9.1 瀏覽器自動(dòng)引發(fā)的應(yīng)用
9.1.1 PostScript文件
9.1.2 配置/bin/csh作為查看器
9.1.3 Java1 Applet的安全性
9.1.4 JavaScript的安全性
9.1.5 ActiveX的安全性
9.1.6 安全對(duì)策
9.2 Web頁(yè)面或下載文件中內(nèi)嵌的惡意代碼
9.3 瀏覽器本身的漏洞
9.3.1 UNIX下的Lynx的一個(gè)安全漏洞
9.3.2 Microsoft Internet Explorer的安全漏洞
9.3.3 Netscape的安全漏洞
9.4 瀏覽器泄露的敏感信息
9.5 Web欺騙
9.5.1 欺騙攻擊
9.5.2 Web欺騙攻擊的原理
9.5.3 對(duì)策
第10章 Apache服務(wù)器的安全性
10.1 Apache服務(wù)器簡(jiǎn)介
10.2 Apache服務(wù)器的安全特性
10.2.1 選擇性訪問(wèn)控制和自由選擇性訪問(wèn)控制
10.2.2 Apache的安全模塊
10.3 Apache服務(wù)器的安全配置
10.3.1 Apache服務(wù)器的安裝配置和運(yùn)行
10.3.2 Apache Sever基于主機(jī)的訪問(wèn)控制
10.3.3 Apache Sever的用戶(hù)認(rèn)證與授權(quán)
10.4 建立支持SSL的Apache服務(wù)器
10.4.1 系統(tǒng)需求
10.4.2 安裝SSL
10.4.3 產(chǎn)生私有密鑰及獲取證書(shū)（Certificate）
10.4.4 生成SSL支持的Apache Server
10.4.5 SSL和基于名宇的虛擬主機(jī)（Name－Based Virtual Hosts）
10.5 suEXEC安全模型
10.5.1 配置和安裝suEXEC
10.5.2 打開(kāi)和關(guān)閉suEXEC
10.6 DBM用戶(hù)認(rèn)證
10.6.1 DBM介紹
10.6.2 準(zhǔn)備Apache的DBM文件
10.6.3 創(chuàng)建DBM用戶(hù)文件
10.6.4 目錄訪問(wèn)限制
10.6.5 用戶(hù)組
10.6.6 定制DBM文件的管理
10.7 Apache配置技巧
10.7.1 ServerRoot目錄權(quán)限的設(shè)置
10.7.2 Server Side Includes的配置
10.7.3 阻止用戶(hù)修改系統(tǒng)配置
10.7.4 缺省地保護(hù)服務(wù)器文件
第11章 IIS服務(wù)器的安全管理
11.1 IIS 4.0特性
11.2 IIS 4.0安全性設(shè)置
11.2.1 HTTP服務(wù)的安全特征設(shè)置
11.2.2 FTP服務(wù)的安全特征設(shè)置
11.3 IIS 4.0服務(wù)器的安全管理---一攬子解決方案
第12章 Web服務(wù)器的安全
12.1 防火墻的概念和作用
12.2 利用防火墻增強(qiáng)Web服務(wù)器的安全性
12.2.1 Internet信息傳遞過(guò)程
12.2.2 報(bào)文過(guò)濾技術(shù)
12.2.3 應(yīng)用網(wǎng)關(guān)技術(shù)
12.2.4 防火墻技術(shù)進(jìn)展
12.3 防火墻的局限性
12.4 入侵檢測(cè)系統(tǒng)
12.4.1 入侵檢測(cè)系統(tǒng)的概念
12.4.2 入侵檢測(cè)系統(tǒng)的類(lèi)型
12.5 利用入侵檢測(cè)系統(tǒng)保護(hù)Web服務(wù)的安全
12.5.1 典型的入侵步驟
12.5.2 入侵檢測(cè)系統(tǒng)的功能
12.5.3 入侵檢測(cè)系統(tǒng)的使用
附錄 縮略語(yǔ)參考對(duì)照表