富文本網路安全

A. 白帽子講wed安全的書有效果嗎

在互聯網時代，數據安全與個人隱私受到了前所未有的挑戰，各種新奇的攻擊技術層出不窮。如何才能更好地保護我們的數據？本書將帶你走進web安全的世界，讓你了解web安全的方方面面。黑客不再變得神秘，攻擊技術原來我也可以會，小網站主自己也能找到正確的安全道路。大公司是怎麼做安全的，為什麼要選擇這樣的方案呢？你能在本書中找到答案。詳細的剖析，讓你不僅能「知其然」，更能「知其所以然」。
《白帽子講web安全》是根據作者若干年實際工作中積累下來的豐富經驗而寫成的，在解決方案上具有極強的可操作性，深入分析了各種錯誤的解決方案與誤區，對安全工作者有很好的參考價值。安全開發流程與運營的介紹，對同行業的工作具有指導意義。

編輯推薦
「安全是互聯網公司的生命，也是每一位網民的最基本需求。
一位天天聽到炮聲的白帽子和你分享如何呵護生命，滿足最基本需求。這是一本能聞到硝煙味道的書。」
——阿里巴巴集團首席架構師 阿里雲總裁 王堅
白帽子講web安全 作譯者:

吳翰清，畢業於西安交通大學少年班，從2000年開始研究網路攻防技術。在大學期間創立
了在中國安全圈內極具影響力的組織「幻影」。
2005年加入********，負責網路安全。工作期間，對********的安全開發流程、應用安全建設做出了傑出的貢獻，並多次獲得公司的表彰。曾先後幫助淘寶、支付寶建立了應用安全體系，保障公司業務得以快速而安全地發展。
2009年起，加入********支計算有限公司，負責雲計算安全、反網路欺詐等工作，是********集團最具價值的安全專家。長期專注於安全技術的創新與實踐，多有建樹。同時還是owasp在中國的區域負責人之一，在互聯網安全領域有著極其豐富的經驗。平時樂於分享，個人博客的訪問量迄今超過200萬。多年來活躍在安全社區中，有著巨大的影響力。多次受邀在國內、國際安全會議上演講，是中國安全行業的領軍人物之一。
白帽子講web安全 目錄：
第一篇 世界觀安全
第1章 我的安全世界觀 2
1.1 web安全簡史 2
1.1.1 中國黑客簡史 2
1.1.2 黑客技術的發展歷程 3
1.1.3 web安全的興起 5
1.2 黑帽子，白帽子 6
1.3 返璞歸真，揭秘安全的本質 7
1.4 破除迷信，沒有銀彈 9
1.5 安全三要素 10
1.6 如何實施安全評估 11
1.6.1 資產等級劃分 12
1.6.2 威脅分析 13
1.6.3 風險分析 14
1.6.4 設計安全方案 15
1.7 白帽子兵法 16
1.7.1 secure by default原則 16
1.7.2 縱深防禦原則 18
1.7.3 數據與代碼分離原則 19
.1.7.4 不可預測性原則 21
1.8 小結 22
（附）誰來為漏洞買單？ 23
第二篇 客戶端腳本安全
第2章 瀏覽器安全 26
2.1 同源策略 26
2.2 瀏覽器沙箱 30
2.3 惡意網址攔截 33
2.4 高速發展的瀏覽器安全 36
2.5 小結 39
第3章 跨站腳本攻擊（xss） 40
3.1 xss簡介 40
3.2 xss攻擊進階 43
3.2.1 初探xss payload 43
3.2.2 強大的xss payload 46
3.2.3 xss 攻擊平台 62
3.2.4 終極武器：xss worm 64
3.2.5 調試javascript 73
3.2.6 xss構造技巧 76
3.2.7 變廢為寶：mission impossible 82
3.2.8 容易被忽視的角落：flash xss 85
3.2.9 真的高枕無憂嗎：javascript開發框架 87
3.3 xss的防禦 89
3.3.1 四兩撥千斤：httponly 89
3.3.2 輸入檢查 93
3.3.3 輸出檢查 95
3.3.4 正確地防禦xss 99
3.3.5 處理富文本 102
3.3.6 防禦dom based xss 103
3.3.7 換個角度看xss的風險 107
3.4 小結 107
第4章 跨站點請求偽造（csrf） 109
4.1 csrf簡介 109
4.2 csrf進階 111
4.2.1 瀏覽器的cookie策略 111
4.2.2 p3p頭的副作用 113
4.2.3 get? post? 116
4.2.4 flash csrf 118
4.2.5 csrf worm 119
4.3 csrf的防禦 120
4.3.1 驗證碼 120
4.3.2 referer check 120
4.3.3 anti csrf token 121
4.4 小結 124
第5章 點擊劫持（clickjacking） 125
5.1 什麼是點擊劫持 125
5.2 flash點擊劫持 127
5.3 圖片覆蓋攻擊 129
5.4 拖拽劫持與數據竊取 131
5.5 clickjacking 3.0：觸屏劫持 134
5.6 防禦clickjacking 136
5.6.1 frame busting 136
5.6.2 x-frame-options 137
5.7 小結 138
第6章 html 5 安全 139
6.1 html 5新標簽 139
6.1.1 新標簽的xss 139
6.1.2 iframe的sandbox 140
6.1.3 link types: noreferrer 141
6.1.4 canvas的妙用 141
6.2 其他安全問題 144
6.2.1 cross-origin resource sharing 144
6.2.2 postmessage——跨窗口傳遞消息 146
6.2.3 web storage 147
6.3 小結 150
第三篇 伺服器端應用安全
第7章 注入攻擊 152
7.1 sql注入 152
7.1.1 盲注（blind injection） 153
7.1.2 timing attack 155
7.2 資料庫攻擊技巧 157
7.2.1 常見的攻擊技巧 157
7.2.2 命令執行 158
7.2.3 攻擊存儲過程 164
7.2.4 編碼問題 165
7.2.5 sql column truncation 167
7.3 正確地防禦sql注入 170
7.3.1 使用預編譯語句 171
7.3.2 使用存儲過程 172
7.3.3 檢查數據類型 172
7.3.4 使用安全函數 172
7.4 其他注入攻擊 173
7.4.1 xml注入 173
7.4.2 代碼注入 174
7.4.3 crlf注入 176
7.5 小結 179
第8章 文件上傳漏洞 180
8.1 文件上傳漏洞概述 180
8.1.1 從fckeditor文件上傳漏洞談起 181
8.1.2 繞過文件上傳檢查功能 182
8.2 功能還是漏洞 183
8.2.1 apache文件解析問題 184
8.2.2 iis文件解析問題 185
8.2.3 php cgi路徑解析問題 187
8.2.4 利用上傳文件釣魚 189
8.3 設計安全的文件上傳功能 190
8.4 小結 191
第9章 認證與會話管理 192
9.1 who am i? 192
9.2 密碼的那些事兒 193
9.3 多因素認證 195
9.4 session與認證 196
9.5 session fixation攻擊 198
9.6 session保持攻擊 199
9.7 單點登錄（sso） 201
9.8 小結 203
第10章 訪問控制 205
10.1 what can i do? 205
10.2 垂直許可權管理 208
10.3 水平許可權管理 211
10.4 oauth簡介 213
10.5 小結 219
第11章 加密演算法與隨機數 220
11.1 概述 220
11.2 stream cipher attack 222
11.2.1 reused key attack 222
11.2.2 bit-flipping attack 228
11.2.3 弱隨機iv問題 230
11.3 wep破解 232
11.4 ecb模式的缺陷 236
11.5 padding oracle attack 239
11.6 密鑰管理 251
11.7 偽隨機數問題 253
11.7.1 弱偽隨機數的麻煩 253
11.7.2 時間真的隨機嗎 256
11.7.3 破解偽隨機數演算法的種子 257
11.7.4 使用安全的隨機數 265
11.8 小結 265
（附）understanding md5 length extension attack 267
第12章 web框架安全 280
12.1 mvc框架安全 280
12.2 模板引擎與xss防禦 282
12.3 web框架與csrf防禦 285
12.4 http headers管理 287
12.5 數據持久層與sql注入 288
12.6 還能想到什麼 289
12.7 web框架自身安全 289
12.7.1 struts 2命令執行漏洞 290
12.7.2 struts 2的問題補丁 291
12.7.3 spring mvc命令執行漏洞 292
12.7.4 django命令執行漏洞 293
12.8 小結 294
第13章 應用層拒絕服務攻擊 295
13.1 ddos簡介 295
13.2 應用層ddos 297
13.2.1 cc攻擊 297
13.2.2 限制請求頻率 298
13.2.3 道高一尺，魔高一丈 300
13.3 驗證碼的那些事兒 301
13.4 防禦應用層ddos 304
13.5 資源耗盡攻擊 306
13.5.1 slowloris攻擊 306
13.5.2 http post dos 309
13.5.3 server limit dos 310
13.6 一個正則引發的血案：redos 311
13.7 小結 315
第14章 php安全 317
14.1 文件包含漏洞 317
14.1.1 本地文件包含 319
14.1.2 遠程文件包含 323
14.1.3 本地文件包含的利用技巧 323
14.2 變數覆蓋漏洞 331
14.2.1 全局變數覆蓋 331
14.2.2 extract()變數覆蓋 334
14.2.3 遍歷初始化變數 334
14.2.4 import_request_variables變數覆蓋 335
14.2.5 parse_str()變數覆蓋 335
14.3 代碼執行漏洞 336
14.3.1 「危險函數」執行代碼 336
14.3.2 「文件寫入」執行代碼 343
14.3.3 其他執行代碼方式 344
14.4 定製安全的php環境 348
14.5 小結 352
第15章 web server配置安全 353
15.1 apache安全 353
15.2 nginx安全 354
15.3 jboss遠程命令執行 356
15.4 tomcat遠程命令執行 360
15.5 http parameter pollution 363
15.6 小結 364
第四篇 互聯網公司安全運營
第16章 互聯網業務安全 366
16.1 產品需要什麼樣的安全 366
16.1.1 互聯網產品對安全的需求 367
16.1.2 什麼是好的安全方案 368
16.2 業務邏輯安全 370
16.2.1 永遠改不掉的密碼 370
16.2.2 誰是大贏家 371
16.2.3 瞞天過海 372
16.2.4 關於密碼取迴流程 373
16.3 賬戶是如何被盜的 374
16.3.1 賬戶被盜的途徑 374
16.3.2 分析賬戶被盜的原因 376
16.4 互聯網的垃圾 377
16.4.1 垃圾的危害 377
16.4.2 垃圾處理 379
16.5 關於網路釣魚 380
16.5.1 釣魚網站簡介 381
16.5.2 郵件釣魚 383
16.5.3 釣魚網站的防控 385
16.5.4 網購流程釣魚 388
16.6 用戶隱私保護 393
16.6.1 互聯網的用戶隱私挑戰 393
16.6.2 如何保護用戶隱私 394
16.6.3 do-not-track 396
16.7 小結 397
（附）麻煩的終結者 398
第17章 安全開發流程（sdl） 402
17.1 sdl簡介 402
17.2 敏捷sdl 406
17.3 sdl實戰經驗 407
17.4 需求分析與設計階段 409
17.5 開發階段 415
17.5.1 提供安全的函數 415
17.5.2 代碼安全審計工具 417
17.6 測試階段 418
17.7 小結 420
第18章 安全運營 422
18.1 把安全運營起來 422
18.2 漏洞修補流程 423
18.3 安全監控 424
18.4 入侵檢測 425
18.5 緊急響應流程 428
18.6 小結 430
（附）談談互聯網企業安全的發展方向 431

B. Web應用安全威脅與防治——基於OWASP Top 10與ESAPI的目錄

第1篇 引子
故事一：家有一IT，如有一寶 2
故事二：微博上的蠕蟲 3
故事三：明文密碼 5
故事四：IT青年VS禪師 5
第2篇 基礎篇
第1章 Web應用技術 8
1.1 HTTP簡介 8
1.2 HTTPS簡介 10
1.3 URI 11
1.3.1 URL 11
1.3.2 URI/URL/URN 12
1.3.3 URI比較 13
1.4 HTTP消息 13
1.4.1 HTTP方法14
1.4.2 HTTP狀態碼 19
1.5 HTTP Cookie20
1.5.1 HTTP Cookie的作用22
1.5.2 HTTP Cookie的缺點23
1.6 HTTP session23
1.7 HTTP的安全 24
第2章 OWASP 27
2.1 OWASP簡介27
2.2 OWASP風險評估方法28
2.3 OWASP Top 10 34
2.4 ESAPI（Enterprise Security API） 35
第3篇 工具篇
第3章 Web伺服器工具簡介 38
3.1 Apache 38
3.2 其他Web伺服器 39
第4章 Web瀏覽器以及調試工具 42
4.1 瀏覽器簡介 42
4.1.1 基本功能 42
4.1.2 主流瀏覽器 43
4.1.3 瀏覽器內核 44
4.2 開發調試工具 45
第5章 滲透測試工具 47
5.1 Fiddler 47
5.1.1 工作原理 47
5.1.2 如何捕捉HTTPS會話 48
5.1.3 Fiddler功能介紹 49
5.1.4 Fiddler擴展功能 56
5.1.5 Fiddler第三方擴展功能 56
5.2 ZAP 58
5.2.1 斷點調試 60
5.2.2 編碼/解碼 61
5.2.3 主動掃描 62
5.2.4 Spider63
5.2.5 暴力破解 64
5.2.6 埠掃描 65
5.2.7 Fuzzer66
5.2.8 API 66
5.3 WebScrab 67
5.3.1 HTTP代理67
5.3.2 Manual Request 69
5.3.3 Spider70
5.3.4 Session ID分析71
5.3.5 Bean Shell的支持 71
5.3.6 Web編碼和解碼 73
第6章 掃描工具簡介 74
6.1 萬能的掃描工具——WebInspect 74
6.1.1 引言 74
6.1.2 WebInspect特性 74
6.1.3 環境准備 74
6.1.4 HP WebInspect總覽 76
6.1.5 Web網站測試 79
6.1.6 企業測試 86
6.1.7 生成報告 88
6.2 開源掃描工具——w3af 91
6.2.1 w3af概述 91
6.2.2 w3af環境配置 92
6.2.3 w3af使用示例 93
6.3 被動掃描的利器——Ratproxy 94
6.3.1 Ratproxy概述 94
6.3.2 Ratproxy環境配置 95
6.3.3 Ratproxy運行 96
第7章 漏洞學習網站 98
7.1 WebGoat 98
7.2 DVWA 99
7.3 其他的漏洞學習網站 99
第4篇 攻防篇
第8章 代碼注入 102
8.1 注入的分類 104
8.1.1 OS命令注入 104
8.1.2 XPath注入109
8.1.3 LDAP注入114
8.1.4 SQL注入 118
8.1.5 JSON注入131
8.1.6 URL參數注入 133
8.2 OWASP ESAPI與注入問題的預防 135
8.2.1 命令注入的ESAPI預防 135
8.2.2 XPath注入的ESAPI預防 138
8.2.3 LDAP注入的ESAPI預防 138
8.2.4 SQL注入的ESAPI預防 141
8.2.5 其他注入的ESAPI預防 143
8.3 注入預防檢查列表 143
8.4 小結 144
第9章 跨站腳本（XSS）146
9.1 XSS簡介 146
9.2 XSS分類 146
9.2.1 反射式XSS 146
9.2.2 存儲式XSS 148
9.2.3 基於DOM的XSS 149
9.2.4 XSS另一種分類法 151
9.3 XSS危害 154
9.4 XSS檢測 156
9.4.1 手動檢測 156
9.4.2 半自動檢測 158
9.4.3 全自動檢測 158
9.5 XSS的預防 159
9.5.1 一刀切 159
9.5.2 在伺服器端預防 160
9.5.3 在客戶端預防 168
9.5.4 富文本框的XSS預防措施 170
9.5.5 CSS 172
9.5.6 FreeMarker174
9.5.7 OWASP ESAPI與XSS的預防 177
9.6 XSS檢查列表 183
9.7 小結 184
第10章 失效的身份認證和會話管理 185
10.1 身份認證和會話管理簡介185
10.2 誰動了我的琴弦——會話劫持186
10.3 請君入瓮——會話固定 188
10.4 我很含蓄——非直接會話攻擊191
10.5 如何測試 199
10.5.1 會話固定測試 199
10.5.2 用Web Scrab分析會話ID 200
10.6 如何預防會話攻擊 202
10.6.1 如何防治固定會話 202
10.6.2 保護你的會話令牌 204
10.7 身份驗證 208
10.7.1 雙因子認證流程圖 209
10.7.2 雙因子認證原理說明 210
10.7.3 隱藏在QR Code里的秘密 211
10.7.4 如何在伺服器端實現雙因子認證 212
10.7.5 我沒有智能手機怎麼辦 216
10.8 身份認證設計的基本准則216
10.8.1 密碼長度和復雜性策略 216
10.8.2 實現一個安全的密碼恢復策略 217
10.8.3 重要的操作應通過HTTPS傳輸 217
10.8.4 認證錯誤信息以及賬戶鎖定 219
10.9 檢查列表 219
10.9.1 身份驗證和密碼管理檢查列表 219
10.9.2 會話管理檢查列表 220
10.10 小結 221
第11章 不安全的直接對象引用 222
11.1 坐一望二——直接對象引用 222
11.2 不安全直接對象引用的危害 224
11.3 其他可能的不安全直接對象引用 224
11.4 不安全直接對象引用的預防 225
11.5 如何使用OWASP ESAPI預防 227
11.6 直接對象引用檢查列表 230
11.7 小結 230
第12章 跨站請求偽造（CSRF） 232
12.1 CSRF簡介 232
12.2 誰動了我的乳酪232
12.3 跨站請求偽造的攻擊原理233
12.4 剝繭抽絲見真相235
12.5 其他可能的攻擊場景236
12.5.1 家用路由器被CSRF攻擊 236
12.5.2 別以為用POST你就躲過了CSRF 238
12.5.3 寫一個自己的CSRF Redirector 241
12.5.4 利用重定向欺騙老實人 243
12.6 跨站請求偽造的檢測245
12.6.1 手工檢測 245
12.6.2 半自動CSRFTester 246
12.7 跨站請求偽造的預防250
12.7.1 用戶需要知道的一些小技巧 250
12.7.2 增加一些確認操作 250
12.7.3 重新認證 250
12.7.4 加入驗證碼（CAPTCHA） 250
12.7.5 ESAPI解決CSRF 250
12.7.6 CSRFGuard 256
12.8 CSRF檢查列表 260
12.9 小結 261
第13章 安全配置錯誤 262
13.1 不能說的秘密——Google hacking 262
13.2 Tomcat那些事 264
13.3 安全配置錯誤的檢測與預防 264
13.3.1 系統配置 264
13.3.2 Web應用伺服器的配置 268
13.3.3 資料庫 282
13.3.4 日誌配置 284
13.3.5 協議 285
13.3.6 開發相關的安全配置 291
13.3.7 編譯器的安全配置 302
13.4 安全配置檢查列表 305
13.5 小結 307
第14章 不安全的加密存儲 308
14.1 關於加密 310
14.1.1 加密演算法簡介 310
14.1.2 加密演算法作用 312
14.1.3 加密分類 313
14.2 加密數據分類 314
14.3 加密數據保護 315
14.3.1 密碼的存儲與保護 315
14.3.2 重要信息的保護 323
14.3.3 密鑰的管理 336
14.3.4 數據的完整性 339
14.3.5 雲系統存儲安全 342
14.3.6 數據保護的常犯錯誤 343
14.4 如何檢測加密存儲數據的安全性 344
14.4.1 審查加密內容 344
14.4.2 已知答案測試（Known Answer Test）344
14.4.3 自發明加密演算法的檢測 345
14.4.4 AES加密演算法的測試 345
14.4.5 代碼審查 346
14.5 如何預防不安全的加密存儲的數據347
14.6 OWASP ESAPI與加密存儲 348
14.6.1 OWASP ESAPI與隨機數 353
14.6.2 OWASP ESAPI 與FIPS 140-2 354
14.7 加密存儲檢查列表 355
14.8 小結 355
第15章 沒有限制的URL訪問357
15.1 掩耳盜鈴——隱藏（Disable）頁面按鈕357
15.2 許可權認證模型 358
15.2.1 自主型訪問控制 360
15.2.2 強制型訪問控制 360
15.2.3 基於角色的訪問控制 361
15.3 繞過認證 363
15.3.1 網路嗅探 364
15.3.2 默認或者可猜測用戶賬號 364
15.3.3 直接訪問內部URL364
15.3.4 修改參數繞過認證 365
15.3.5 可預測的SessionID365
15.3.6 注入問題 365
15.3.7 CSRF 365
15.3.8 繞過認證小結 366
15.4 繞過授權驗證 367
15.4.1 水平越權 368
15.4.2 垂直越權 369
15.5 文件上傳與下載373
15.5.1 文件上傳 373
15.5.2 文件下載和路徑遍歷 377
15.6 靜態資源 382
15.7 後台組件之間的認證383
15.8 SSO 385
15.9 OWASP ESAPI與授權 386
15.9.1 AccessController的實現387
15.9.2 一個AccessController的代碼示例390
15.9.3 我們還需要做些什麼 391
15.10 訪問控制檢查列表 393
15.11 小結 393
第16章 傳輸層保護不足 395
16.1 卧底的故事——對稱加密和非對稱加密395
16.2 明文傳輸問題 396
16.3 有什麼危害398
16.3.1 會話劫持 398
16.3.2 中間人攻擊 399
16.4 預防措施 399
16.4.1 密鑰交換演算法 400
16.4.2 對稱加密和非對稱加密結合 401
16.4.3 SSL/TLS 406
16.5 檢查列表 423
16.6 小結 423
第17章 未驗證的重定向和轉發 425
17.1 三角借貸的故事——轉發和重定向425
17.1.1 URL轉發425
17.1.2 URL重定向 426
17.1.3 轉發與重定向的區別 429
17.1.4 URL 重定向的實現方式 430
17.2 危害 438
17.3 如何檢測 439
17.4 如何預防 440
17.4.1 OWASP ESAPI與預防 441
17.5 重定向和轉發檢查列表 443
17.6 小結 443
第5篇 安全設計、編碼十大原則
第18章 安全設計十大原則 448
設計原則1——簡單易懂 448
設計原則2——最小特權 448
設計原則3——故障安全化450
設計原則4——保護最薄弱環節451
設計原則5——提供深度防禦 452
設計原則6——分隔 453
設計原則7——總體調節 454
設計原則8——默認不信任454
設計原則9——保護隱私 455
設計原則10——公開設計，不要假設隱藏秘密就是安全 455
第19章 安全編碼十大原則 457
編碼原則1——保持簡單 457
編碼原則2——驗證輸入 458
編碼原則3——注意編譯器告警459
編碼原則4——框架和設計要符合安全策略 459
編碼原則5——默認拒絕 460
編碼原則6——堅持最小許可權原則 462
編碼原則7——凈化發送到其他系統的數據 463
編碼原則8——深度預防 464
編碼原則9——使用有效的質量保證技術464
編碼原則10——採用一個安全編碼規范 465
媒體評論
這是一本帶點酷酷的工程師范兒和人文氣質的「硬貨」。作為一名資深IT文藝老人，特別喜歡這種帶著思想氣息卻又有著豐富案例娓娓道來的實用信息安全書，過去卻往往只在國外作者中讀到。正如書中開頭的引子說的那樣：「家有IT，如有一寶。」那麼在Web安全日益火爆的今天，你會不會在讀完這本書後的未來也成為傳說中讓我們頂禮膜拜的大牛呢^-^
——IDF威懾防禦實驗室益雲（公益互聯網）社會創新中心聯合創始人萬濤@黑客老鷹
伴隨互聯網的高速發展，基於B/S架構的業務系統對安全要求越來越高，安全從業人員面臨空前的壓力。如何讓安全從業人員快速掌握Web應用安全？本書以詼諧、幽默的語言，精彩、豐富的實例，幫助安全從業人員從端到端理解Web應用安全。不失為近幾年Web應用安全書籍的上佳之作。
——OWASP中國區主席SecZone高級安全顧問 RIP
很樂意看到有人將自身的資深安全積累和OWASP的最佳實踐出版成書，內容嚴謹細致卻不乏生動。這本信息安全領域的實用手冊將成為銀基安全致力於互聯網安全的參考指導書目之一，我們廣泛的電信、銀行、保險、證券和政府部門等客戶都會從中受益。
——上海銀基信息安全技術有限公司首席技術官胡紹勇（Kurau）
隨著安全訪問控制策略ACL的普及應用，互聯網企業目前面臨的安全風險面主要集中在Web服務層。其中Web應用系統在架構設計、開發編碼過程中是安全漏洞和風險引入的主要階段，而普遍地我們的架構、開發、測試崗位在安全技能與意識上恰恰是相對比較欠缺的。本書詳細介紹了Web安全基礎知識、測試平台與方法，常見漏洞形式與原理，並結合OWASP最佳實踐經驗給出預防建議、設計和編碼原則等。書中舉例生動形象，圖文代碼並茂，步驟歸納清晰。特別推薦給廣大Web開發、測試、安全崗位的朋友們。
—— 中國金山軟體集團信息安全負責人程沖
在網路攻擊愈加復雜，手段日益翻新的今天，Web攻擊依然是大多數攻擊者首選的入侵手段。反思CSDN泄密及新浪微博蠕蟲事件，Web應用的安全突顯其重要性。OWASP作為全球領先的Web應用安全研究團隊，透過本書將Web應用安全的威脅、防禦以及相關的工具進行了詳細的探討和研究。詳盡的操作步驟說明是本書的亮點之一，這些詳實且圖文並茂的內容為逐步深入學習Web應用安全提供了很好的幫助。我衷心希望這本書能夠成為信息安全專業的在校生以及應用安全相關從業人員的學習指導書。
-- 上海交通大學信息安全工程學院施勇(CISSP CISA)

C. php接收富文本框中的數據應該怎麼處理

副文本框的內容可以看做是字元串（包含標簽）。
方式1：php接收到的值直接插入資料庫即可，在頁面上獲取數據時瀏覽器自動翻譯html標簽和css樣式的，不用做什麼處理。
方式2：如果只想保存內容不保存標簽和樣式可以用php函數 strip_tags() 過濾字元串中的 HTML 標簽, 然後再插入資料庫，這樣數據存放的少，不帶樣式。但是你用到副文本框的意義就沒有了。
你的意思不是很明白 ，歡迎追問

D. 國內好評度比較高的項目管理工具有哪些

現在常用的項目管理工具有：CORNERSTONE、Teambition、ones、tapd、zentao

最推薦的一種：CORNERSTONE項目管理工具

推薦理由：

CORNERSTONE能夠用來處理任何類型的項目協作的工具，應用於運行和維護涉及到你的業務和企業的最困難任務，即使是對最初級的用戶都能有所幫助，可滿足不同團隊規模的需求。

1.存儲在雲端，或者可以自己架設，基於 B/S 架構；
CORNERSTONE有網頁版，並支持mac、windows、ios、Android多端同步，並支持私有部署功能。

E. 我用百度富文本插入網路視頻，插入後不能播放，如何解決

修改配置文件：ueditor.config.js，添加xss過濾白名單

embed: ['type', 'class', 'pluginspage', 'src', 'width', 'height', 'align', 'style', 'wmode', 'play','loop', 'menu', 'allowscriptaccess', 'allowfullscreen'],

F. 富文本編輯器怎麼做到防注入

只適合在小應用中，並且處理范圍非常有限，簡單一點就是過濾／轉義，在這我就不多說了，其實方法是非常多。我今天主要講關於架構方面的知識：你google一下，了解下 WAF(Web應用防火牆)，主要有兩方面的：
軟體角度的（推薦）：基於nginx的Web應用防火牆／網路的加速了／創新工廠的安全寶......
硬體角度的（不推薦）：NGAF
WAF可處理常見的Web安全有：XSS／SQL注入／跨站腳本／shell注入／會話劫持.....
在軟體角度，git上面有不少這方面的開源項目，比如：https://github.com/loveshell/ngx_lua_waf
還有一些付費的雲服務：安全寶／加速了......,可以了解下，確實很有意思，並不是簡單的過濾轉義。
個人認為：這本身屬於網站架構方面的內容，是個全局的控制＝＝輸入／輸出過濾，這要後台和前台保持一致就可以了。

G. 急求：計算機網路

1、是用超鏈接的方法，將各種不同空間的文字信息組織在一起的網狀文本。超文本更是一種用戶介面範式，用以顯示文本及與文本之間相關的內容。現時超文本普遍以電子文檔方式存在，其中的文字包含有可以鏈結到其他位置或者文檔的連結，允許從當前閱讀位置直接切換到超文本連結所指向的位置。超文本的格式有很多，目前最常使用的是超文本標記語言(Hyper Text Markup Language，HTML)及富文本格式 (Rich Text Format，RTF)。我們日常瀏覽的網頁上的鏈結都屬於超文本。
2、區域網 城域網 廣域網
3、單工 半雙工 全雙工
5、交換機 路由器 網橋 伺服器
6、水平子系統 垂直干線子系統 管理區 設備間 工作區 建築群
8、網路層
9、資源子網 通信子網
10、數據幀 數據包 數據段
12、數據幀
13、數據包
14、數據段
15、物理層 數據鏈路層 網路層 傳輸層 會話層 表示層 應用層
19、環狀結構
20、多個區域網
22、網橋
好久沒有看書了，都忘了！！！

H. RTF文件是什麼

這個...ADSGFJ不知道是不是......只要你沒有往格式化的盤上再保存東西，就有可能找回來！ Recover My Files數據恢復v3.92〖綠色特別版〗 軟體介紹 ≡≡≡≡ Recover My Files 乃數據文件恢復軟體，可以恢復包括文本文檔、圖像文件、音樂和視頻文件、以及刪除的zip文件，可以以扇區的方式掃描硬碟。支持的格式包括：mpegpdf pmd png ppt pst pub rar rtf sdr tar txt tiff viso wav wmf wpd xls zdp zip asf avi bmp csv doc dbx dwg gif gzip html jpeg mdb mov mp3，並且可以進行恢復預覽。 漢化:莫名 激活信息： name:Chris Silliker code:X3HR36-14VFPM-HM7KT5-MEH0A7-QP7WN7-6FHH7D-W3UD0P-9RCT2N http://soft.mumayi.net/Software/catalog51/3042.html FinalData v2.01.1028 軟體大小 1.41 MB 軟體類別 漢化軟體/系統安全 運行環境 Win2003, WinXp, Win2000, Nt, WinMe, Win9x 授權方式 特別版 軟體等級 軟體語言 簡體中文 在Windows環境下刪除一個文件，只有目錄信息從FAT或者MFT（NTFS）刪除。這意味著文件數據仍然留在你的磁碟上。所以，從技術角度來講，這個文件是可以恢復的。FinalData就是通過這個機制來恢復丟失的數據的，在清空回收站以後也不例外。另外，FinalData可以很容易地從格式化後的文件和被病毒破壞的文件恢復。甚至在極端的情況下，如果目錄結構被部分破壞也可以恢復，只要數據仍然保存在硬碟上。 下載地址： http://www.crsky.com/soft/963.html 妙手回春——找回意外丟失文件 近日，公司一同事因誤操作把公司的部分重要的文件給刪除了，最要命的是她還沒有備份。因此，她焦急的找到我，看我有什麼辦法可以恢復這些丟失的文件，雖然當時我並沒有什麼好的解決辦法。但是作為公司的網管處理故障正是我的職責所在，於是我先答應了下來，回去在網上查了幾下，真的有好多可以恢復文件的好東東！於是我高興的下載了一個，裝上一看，不錯，可以看到被刪除的文件。正當我要恢復的時候，問題出現了，軟體提示購買正版……雲雲。唉！俗話說的好，天下沒有白吃的果子呀！於是我只能繼續在網上碰碰運氣嘍，於是我在咱們期刊論壇上發了一個求助貼，不一會兒就有好幾位好心的朋友給我介紹了幾款恢復文件的軟體。於是我選了其中的一款FinalDataEnterprise在網上下載了漢化版，裝上以後，還真幫我找回了所有被刪除文件，下面我就將這款軟體的功能和使用心得和大家分享一下： 首先，來介紹一下FinalData軟體的功能：FinalData以其強大、快速的恢復功能和簡便易用的操作界面成為網路管理員的首選工具。當文件被誤刪除（並從回收站中清除）、FAT表或者磁碟根區被病毒侵蝕造成文件信息全部丟失、物理故障造成FAT表或者磁碟根區不可讀，以及磁碟格式化造成的全部文件信息丟失之後，FinalData都能夠通過直接掃描目標磁碟抽取並恢復出文件信息（包括文件名、文件類型、原始位置、創建日期、刪除日期、文件長度等），用戶可以根據這些信息方便地查找和恢復自己需要的文件。甚至在數據文件已經被部分覆蓋以後，專業版FinalData也可以將剩餘部分文件恢復出來。安裝向導可以幫助用戶自動完成安裝（除了提供產品序列號和安裝目錄外無需用戶其他干預），甚至不經過安裝也可以通過點擊安裝光碟上的執行程序直接運行FinalData來進行數據文件恢復。類似Windows資源管理器的用戶界面和操作風格使Windows用戶幾乎不需要培訓就可以完成簡單的數據文件恢復工作。用戶既可以（通過通配符匹配）快速查找指定的一個或者多個文件，也可以一次完成整個目錄及子目錄下的全部文件的恢復（保持目錄結構不變）。 高版本的FinalData軟體可以通過TCP/IP網路協議對網路上的其他計算機上丟失的文件進行恢復，從而為整個網路上的數據文件提供保護。在目標機器上拷貝和運行一個代理程序後用戶可以從本地計算機的FinalData界面上打開一個網路驅動器，輸入目標機IP地址和口令字（由客戶機設置）後，餘下的操作就象在本地機上進行數據恢復一樣簡便。代理程序可以在Windows和DOS等環境下運行，即使目標機器丟失了重要的系統文件導致Windows操作系統不能正常啟動，用戶也可以在DOS環境下通過FinalData的網路恢復功能完成數據文件的恢復。FinalData全面支持各種類型的數據文件（包括中、日、韓等雙位元組文件以及Oracle等資料庫文件）的恢復，運行在Windows 95/98/ME、Windows NT/2000、Macintosh、Linux和UNIX上的各種版本適應您的不同需求，為您的數據資源提供安全可靠的保障。 具體操作過程如下： 第一步：下載安裝FinalDataEnterprise20，我下載的FinalDataEnterprise20破解版安裝過程。如圖一： 安裝中將會提示輸入注冊號，在Serial 項中輸入注冊號然後，點擊下一步即可。安裝完畢後。如圖二： 注意：安裝完畢後軟體將檢測硬碟，檢測完畢後進入以上界面。 第二步：漢化，打開漢化破解包後，直接安裝就可以了，在這里就不多說了。漢化完畢後。如圖三： 第三步：找回丟失文件，在這里我將在E盤里恢復一個名為「公司電腦硬體檔案.xls」的文件，然後再用FinalDataEnterprise20進行恢復。步驟如下： 單擊FinalDataEnterprise20任務欄的「文件」選項——打開——選擇被刪除文件的驅動器，點確定。如圖四： 點確定以後將開始掃描文件目錄，之後將提示要掃描簇的范圍，單擊確定後將對整個E盤進行掃描。掃描需要很長的時間，具體就要看你的硬碟有多大了。掃描完畢後。如圖五： 最後，在已刪除文件中找到被刪除文件，選中被刪除文件，點擊「文件」選項里的恢復就可以了。 相信有了FinalDataEnterprise20會使你的工作更加輕松愉快，也希望我的這篇文章對廣大網管朋友有一定的幫助。參考資料： http://..com/question/12370571.html?fr=qrl3

I. 設置以超文本格式讀取所有郵件安全嗎

不安全，最好不要這樣設置。

超文本是用超鏈接的方法，將各種不同空間的文字信息組織在一起的網狀文本。超文本更是一種用戶界面範式，用以顯示文本及與文本之間相關的內容。現時超文本普遍以電子文檔方式存在，其中的文字包含有可以鏈結到其他位置或者文檔的連結。

允許從當前閱讀位置直接切換到超文本連結所指向的位置。超文本的格式有很多，最常使用的是超文本標記語言（標准通用標記語言下的一個應用）及富文本格式。

超文本是計算機出現後的產物，它以計算機所儲存的大量數據為基礎，使得原先的線性文本變成可以通向四面八方的非線性文本，讀者可以在任何一個關節點上停下來，進入另一重文本，然後再點擊、進入又一重文本，理論上，這個過程是無窮無盡的。從而，原先的單一的文本變成了無限延伸、擴展的超級文本、立體文本。

這樣一種新鮮事物的出現顯然和技術的發展息息相關。電子媒介的崛起深刻改變了世界的文化面貌。電影、電視可以把紙面上的文學轉換成可視可聽的電子形式，計算機的技術條件所提供的「超文本」使羅蘭·巴特設想過的「可寫文本」變成了現實。

J. 白帽子講Web安全的目錄

《白帽子講web安全》第一篇 世界觀安全第1章 我的安全世界觀 21.1 web安全簡史 21.1.1 中國黑客簡史 21.1.2 黑客技術的發展歷程 31.1.3 web安全的興起 51.2 黑帽子，白帽子 61.3 返璞歸真，揭秘安全的本質 71.4 破除迷信，沒有銀彈 91.5 安全三要素 101.6 如何實施安全評估 111.6.1 資產等級劃分 121.6.2 威脅分析 131.6.3 風險分析 141.6.4 設計安全方案 151.7 白帽子兵法 161.7.1 secure by default原則 161.7.2 縱深防禦原則 181.7.3 數據與代碼分離原則 19.1.7.4 不可預測性原則 211.8 小結 22（附）誰來為漏洞買單？ 23第二篇 客戶端腳本安全第2章 瀏覽器安全 262.1 同源策略 262.2 瀏覽器沙箱 302.3 惡意網址攔截 332.4 高速發展的瀏覽器安全 362.5 小結 39第3章 跨站腳本攻擊（xss） 403.1 xss簡介 403.2 xss攻擊進階 433.2.1 初探xss payload 433.2.2 強大的xss payload 463.2.3 xss 攻擊平台 623.2.4 終極武器：xss worm 643.2.5 調試javascript 733.2.6 xss構造技巧 763.2.7 變廢為寶：mission impossible 823.2.8 容易被忽視的角落：flash xss 853.2.9 真的高枕無憂嗎：javascript開發框架 873.3 xss的防禦 893.3.1 四兩撥千斤：httponly 893.3.2 輸入檢查 933.3.3 輸出檢查 953.3.4 正確地防禦xss 993.3.5 處理富文本 1023.3.6 防禦dom based xss 1033.3.7 換個角度看xss的風險 1073.4 小結 107第4章 跨站點請求偽造（csrf） 1094.1 csrf簡介 1094.2 csrf進階 1114.2.1 瀏覽器的cookie策略 1114.2.2 p3p頭的副作用 1134.2.3 get? post? 1164.2.4 flash csrf 1184.2.5 csrf worm 1194.3 csrf的防禦 1204.3.1 驗證碼 1204.3.2 referer check 1204.3.3 anti csrf token 1214.4 小結 124第5章 點擊劫持（clickjacking） 1255.1 什麼是點擊劫持 1255.2 flash點擊劫持 1275.3 圖片覆蓋攻擊 1295.4 拖拽劫持與數據竊取 1315.5 clickjacking 3.0：觸屏劫持 1345.6 防禦clickjacking 1365.6.1 frame busting 1365.6.2 x-frame-options 1375.7 小結 138第6章 html 5 安全 1396.1 html 5新標簽 1396.1.1 新標簽的xss 1396.1.2 iframe的sandbox 1406.1.3 link types: noreferrer 1416.1.4 canvas的妙用 1416.2 其他安全問題 1446.2.1 cross-origin resource sharing 1446.2.2 postmessage——跨窗口傳遞消息 1466.2.3 web storage 1476.3 小結 150第三篇 伺服器端應用安全第7章 注入攻擊 1527.1 sql注入 1527.1.1 盲注（blind injection） 1537.1.2 timing attack 1557.2 資料庫攻擊技巧 1577.2.1 常見的攻擊技巧 1577.2.2 命令執行 1587.2.3 攻擊存儲過程 1647.2.4 編碼問題 1657.2.5 sql column truncation 1677.3 正確地防禦sql注入 1707.3.1 使用預編譯語句 1717.3.2 使用存儲過程 1727.3.3 檢查數據類型 1727.3.4 使用安全函數 1727.4 其他注入攻擊 1737.4.1 xml注入 1737.4.2 代碼注入 1747.4.3 crlf注入 1767.5 小結 179第8章 文件上傳漏洞 1808.1 文件上傳漏洞概述 1808.1.1 從fckeditor文件上傳漏洞談起 1818.1.2 繞過文件上傳檢查功能 1828.2 功能還是漏洞 1838.2.1 apache文件解析問題 1848.2.2 iis文件解析問題 1858.2.3 php cgi路徑解析問題 1878.2.4 利用上傳文件釣魚 1898.3 設計安全的文件上傳功能 1908.4 小結 191第9章 認證與會話管理 1929.1 who am i? 1929.2 密碼的那些事兒 1939.3 多因素認證 1959.4 session與認證 1969.5 session fixation攻擊 1989.6 session保持攻擊 1999.7 單點登錄（sso） 2019.8 小結 203第10章 訪問控制 20510.1 what can i do? 20510.2 垂直許可權管理 20810.3 水平許可權管理 21110.4 oauth簡介 21310.5 小結 219第11章 加密演算法與隨機數 22011.1 概述 22011.2 stream cipher attack 22211.2.1 reused key attack 22211.2.2 bit-flipping attack 22811.2.3 弱隨機iv問題 23011.3 wep破解 23211.4 ecb模式的缺陷 23611.5 padding oracle attack 23911.6 密鑰管理 25111.7 偽隨機數問題 25311.7.1 弱偽隨機數的麻煩 25311.7.2 時間真的隨機嗎 25611.7.3 破解偽隨機數演算法的種子 25711.7.4 使用安全的隨機數 26511.8 小結 265（附）understanding md5 length extension attack 267第12章 web框架安全 28012.1 mvc框架安全 28012.2 模板引擎與xss防禦 28212.3 web框架與csrf防禦 28512.4 http headers管理 28712.5 數據持久層與sql注入 28812.6 還能想到什麼 28912.7 web框架自身安全 28912.7.1 struts 2命令執行漏洞 29012.7.2 struts 2的問題補丁 29112.7.3 spring mvc命令執行漏洞 29212.7.4 django命令執行漏洞 29312.8 小結 294第13章 應用層拒絕服務攻擊 29513.1 ddos簡介 29513.2 應用層ddos 29713.2.1 cc攻擊 29713.2.2 限制請求頻率 29813.2.3 道高一尺，魔高一丈 30013.3 驗證碼的那些事兒 30113.4 防禦應用層ddos 30413.5 資源耗盡攻擊 30613.5.1 slowloris攻擊 30613.5.2 http post dos 30913.5.3 server limit dos 31013.6 一個正則引發的血案：redos 31113.7 小結 315第14章 php安全 31714.1 文件包含漏洞 31714.1.1 本地文件包含 31914.1.2 遠程文件包含 32314.1.3 本地文件包含的利用技巧 32314.2 變數覆蓋漏洞 33114.2.1 全局變數覆蓋 33114.2.2 extract()變數覆蓋 33414.2.3 遍歷初始化變數 33414.2.4 import_request_variables變數覆蓋 33514.2.5 parse_str()變數覆蓋 33514.3 代碼執行漏洞 33614.3.1 「危險函數」執行代碼 33614.3.2 「文件寫入」執行代碼 34314.3.3 其他執行代碼方式 34414.4 定製安全的php環境 34814.5 小結 352第15章 web server配置安全 35315.1 apache安全 35315.2 nginx安全 35415.3 jboss遠程命令執行 35615.4 tomcat遠程命令執行 36015.5 http parameter pollution 36315.6 小結 364第四篇 互聯網公司安全運營第16章 互聯網業務安全 36616.1 產品需要什麼樣的安全 36616.1.1 互聯網產品對安全的需求 36716.1.2 什麼是好的安全方案 36816.2 業務邏輯安全 37016.2.1 永遠改不掉的密碼 37016.2.2 誰是大贏家 37116.2.3 瞞天過海 37216.2.4 關於密碼取迴流程 37316.3 賬戶是如何被盜的 37416.3.1 賬戶被盜的途徑 37416.3.2 分析賬戶被盜的原因 37616.4 互聯網的垃圾 37716.4.1 垃圾的危害 37716.4.2 垃圾處理 37916.5 關於網路釣魚 38016.5.1 釣魚網站簡介 38116.5.2 郵件釣魚 38316.5.3 釣魚網站的防控 38516.5.4 網購流程釣魚 38816.6 用戶隱私保護 39316.6.1 互聯網的用戶隱私挑戰 39316.6.2 如何保護用戶隱私 39416.6.3 do-not-track 39616.7 小結 397（附）麻煩的終結者 398第17章 安全開發流程（sdl） 40217.1 sdl簡介 40217.2 敏捷sdl 40617.3 sdl實戰經驗 40717.4 需求分析與設計階段 40917.5 開發階段 41517.5.1 提供安全的函數 41517.5.2 代碼安全審計工具 41717.6 測試階段 41817.7 小結 420第18章 安全運營 42218.1 把安全運營起來 42218.2 漏洞修補流程 42318.3 安全監控 42418.4 入侵檢測 42518.5 緊急響應流程 42818.6 小結 430（附）談談互聯網企業安全的發展方向 431· · · · · ·