富文本网络安全

A. 白帽子讲wed安全的书有效果吗

在互联网时代，数据安全与个人隐私受到了前所未有的挑战，各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据？本书将带你走进web安全的世界，让你了解web安全的方方面面。黑客不再变得神秘，攻击技术原来我也可以会，小网站主自己也能找到正确的安全道路。大公司是怎么做安全的，为什么要选择这样的方案呢？你能在本书中找到答案。详细的剖析，让你不仅能“知其然”，更能“知其所以然”。
《白帽子讲web安全》是根据作者若干年实际工作中积累下来的丰富经验而写成的，在解决方案上具有极强的可操作性，深入分析了各种错误的解决方案与误区，对安全工作者有很好的参考价值。安全开发流程与运营的介绍，对同行业的工作具有指导意义。

编辑推荐
“安全是互联网公司的生命，也是每一位网民的最基本需求。
一位天天听到炮声的白帽子和你分享如何呵护生命，满足最基本需求。这是一本能闻到硝烟味道的书。”
——阿里巴巴集团首席架构师 阿里云总裁 王坚
白帽子讲web安全 作译者:

吴翰清，毕业于西安交通大学少年班，从2000年开始研究网络攻防技术。在大学期间创立
了在中国安全圈内极具影响力的组织“幻影”。
2005年加入********，负责网络安全。工作期间，对********的安全开发流程、应用安全建设做出了杰出的贡献，并多次获得公司的表彰。曾先后帮助淘宝、支付宝建立了应用安全体系，保障公司业务得以快速而安全地发展。
2009年起，加入********支计算有限公司，负责云计算安全、反网络欺诈等工作，是********集团最具价值的安全专家。长期专注于安全技术的创新与实践，多有建树。同时还是owasp在中国的区域负责人之一，在互联网安全领域有着极其丰富的经验。平时乐于分享，个人博客的访问量迄今超过200万。多年来活跃在安全社区中，有着巨大的影响力。多次受邀在国内、国际安全会议上演讲，是中国安全行业的领军人物之一。
白帽子讲web安全 目录：
第一篇 世界观安全
第1章 我的安全世界观 2
1.1 web安全简史 2
1.1.1 中国黑客简史 2
1.1.2 黑客技术的发展历程 3
1.1.3 web安全的兴起 5
1.2 黑帽子，白帽子 6
1.3 返璞归真，揭秘安全的本质 7
1.4 破除迷信，没有银弹 9
1.5 安全三要素 10
1.6 如何实施安全评估 11
1.6.1 资产等级划分 12
1.6.2 威胁分析 13
1.6.3 风险分析 14
1.6.4 设计安全方案 15
1.7 白帽子兵法 16
1.7.1 secure by default原则 16
1.7.2 纵深防御原则 18
1.7.3 数据与代码分离原则 19
.1.7.4 不可预测性原则 21
1.8 小结 22
（附）谁来为漏洞买单？ 23
第二篇 客户端脚本安全
第2章 浏览器安全 26
2.1 同源策略 26
2.2 浏览器沙箱 30
2.3 恶意网址拦截 33
2.4 高速发展的浏览器安全 36
2.5 小结 39
第3章 跨站脚本攻击（xss） 40
3.1 xss简介 40
3.2 xss攻击进阶 43
3.2.1 初探xss payload 43
3.2.2 强大的xss payload 46
3.2.3 xss 攻击平台 62
3.2.4 终极武器：xss worm 64
3.2.5 调试javascript 73
3.2.6 xss构造技巧 76
3.2.7 变废为宝：mission impossible 82
3.2.8 容易被忽视的角落：flash xss 85
3.2.9 真的高枕无忧吗：javascript开发框架 87
3.3 xss的防御 89
3.3.1 四两拨千斤：httponly 89
3.3.2 输入检查 93
3.3.3 输出检查 95
3.3.4 正确地防御xss 99
3.3.5 处理富文本 102
3.3.6 防御dom based xss 103
3.3.7 换个角度看xss的风险 107
3.4 小结 107
第4章 跨站点请求伪造（csrf） 109
4.1 csrf简介 109
4.2 csrf进阶 111
4.2.1 浏览器的cookie策略 111
4.2.2 p3p头的副作用 113
4.2.3 get? post? 116
4.2.4 flash csrf 118
4.2.5 csrf worm 119
4.3 csrf的防御 120
4.3.1 验证码 120
4.3.2 referer check 120
4.3.3 anti csrf token 121
4.4 小结 124
第5章 点击劫持（clickjacking） 125
5.1 什么是点击劫持 125
5.2 flash点击劫持 127
5.3 图片覆盖攻击 129
5.4 拖拽劫持与数据窃取 131
5.5 clickjacking 3.0：触屏劫持 134
5.6 防御clickjacking 136
5.6.1 frame busting 136
5.6.2 x-frame-options 137
5.7 小结 138
第6章 html 5 安全 139
6.1 html 5新标签 139
6.1.1 新标签的xss 139
6.1.2 iframe的sandbox 140
6.1.3 link types: noreferrer 141
6.1.4 canvas的妙用 141
6.2 其他安全问题 144
6.2.1 cross-origin resource sharing 144
6.2.2 postmessage——跨窗口传递消息 146
6.2.3 web storage 147
6.3 小结 150
第三篇 服务器端应用安全
第7章 注入攻击 152
7.1 sql注入 152
7.1.1 盲注（blind injection） 153
7.1.2 timing attack 155
7.2 数据库攻击技巧 157
7.2.1 常见的攻击技巧 157
7.2.2 命令执行 158
7.2.3 攻击存储过程 164
7.2.4 编码问题 165
7.2.5 sql column truncation 167
7.3 正确地防御sql注入 170
7.3.1 使用预编译语句 171
7.3.2 使用存储过程 172
7.3.3 检查数据类型 172
7.3.4 使用安全函数 172
7.4 其他注入攻击 173
7.4.1 xml注入 173
7.4.2 代码注入 174
7.4.3 crlf注入 176
7.5 小结 179
第8章 文件上传漏洞 180
8.1 文件上传漏洞概述 180
8.1.1 从fckeditor文件上传漏洞谈起 181
8.1.2 绕过文件上传检查功能 182
8.2 功能还是漏洞 183
8.2.1 apache文件解析问题 184
8.2.2 iis文件解析问题 185
8.2.3 php cgi路径解析问题 187
8.2.4 利用上传文件钓鱼 189
8.3 设计安全的文件上传功能 190
8.4 小结 191
第9章 认证与会话管理 192
9.1 who am i? 192
9.2 密码的那些事儿 193
9.3 多因素认证 195
9.4 session与认证 196
9.5 session fixation攻击 198
9.6 session保持攻击 199
9.7 单点登录（sso） 201
9.8 小结 203
第10章 访问控制 205
10.1 what can i do? 205
10.2 垂直权限管理 208
10.3 水平权限管理 211
10.4 oauth简介 213
10.5 小结 219
第11章 加密算法与随机数 220
11.1 概述 220
11.2 stream cipher attack 222
11.2.1 reused key attack 222
11.2.2 bit-flipping attack 228
11.2.3 弱随机iv问题 230
11.3 wep破解 232
11.4 ecb模式的缺陷 236
11.5 padding oracle attack 239
11.6 密钥管理 251
11.7 伪随机数问题 253
11.7.1 弱伪随机数的麻烦 253
11.7.2 时间真的随机吗 256
11.7.3 破解伪随机数算法的种子 257
11.7.4 使用安全的随机数 265
11.8 小结 265
（附）understanding md5 length extension attack 267
第12章 web框架安全 280
12.1 mvc框架安全 280
12.2 模板引擎与xss防御 282
12.3 web框架与csrf防御 285
12.4 http headers管理 287
12.5 数据持久层与sql注入 288
12.6 还能想到什么 289
12.7 web框架自身安全 289
12.7.1 struts 2命令执行漏洞 290
12.7.2 struts 2的问题补丁 291
12.7.3 spring mvc命令执行漏洞 292
12.7.4 django命令执行漏洞 293
12.8 小结 294
第13章 应用层拒绝服务攻击 295
13.1 ddos简介 295
13.2 应用层ddos 297
13.2.1 cc攻击 297
13.2.2 限制请求频率 298
13.2.3 道高一尺，魔高一丈 300
13.3 验证码的那些事儿 301
13.4 防御应用层ddos 304
13.5 资源耗尽攻击 306
13.5.1 slowloris攻击 306
13.5.2 http post dos 309
13.5.3 server limit dos 310
13.6 一个正则引发的血案：redos 311
13.7 小结 315
第14章 php安全 317
14.1 文件包含漏洞 317
14.1.1 本地文件包含 319
14.1.2 远程文件包含 323
14.1.3 本地文件包含的利用技巧 323
14.2 变量覆盖漏洞 331
14.2.1 全局变量覆盖 331
14.2.2 extract()变量覆盖 334
14.2.3 遍历初始化变量 334
14.2.4 import_request_variables变量覆盖 335
14.2.5 parse_str()变量覆盖 335
14.3 代码执行漏洞 336
14.3.1 “危险函数”执行代码 336
14.3.2 “文件写入”执行代码 343
14.3.3 其他执行代码方式 344
14.4 定制安全的php环境 348
14.5 小结 352
第15章 web server配置安全 353
15.1 apache安全 353
15.2 nginx安全 354
15.3 jboss远程命令执行 356
15.4 tomcat远程命令执行 360
15.5 http parameter pollution 363
15.6 小结 364
第四篇 互联网公司安全运营
第16章 互联网业务安全 366
16.1 产品需要什么样的安全 366
16.1.1 互联网产品对安全的需求 367
16.1.2 什么是好的安全方案 368
16.2 业务逻辑安全 370
16.2.1 永远改不掉的密码 370
16.2.2 谁是大赢家 371
16.2.3 瞒天过海 372
16.2.4 关于密码取回流程 373
16.3 账户是如何被盗的 374
16.3.1 账户被盗的途径 374
16.3.2 分析账户被盗的原因 376
16.4 互联网的垃圾 377
16.4.1 垃圾的危害 377
16.4.2 垃圾处理 379
16.5 关于网络钓鱼 380
16.5.1 钓鱼网站简介 381
16.5.2 邮件钓鱼 383
16.5.3 钓鱼网站的防控 385
16.5.4 网购流程钓鱼 388
16.6 用户隐私保护 393
16.6.1 互联网的用户隐私挑战 393
16.6.2 如何保护用户隐私 394
16.6.3 do-not-track 396
16.7 小结 397
（附）麻烦的终结者 398
第17章 安全开发流程（sdl） 402
17.1 sdl简介 402
17.2 敏捷sdl 406
17.3 sdl实战经验 407
17.4 需求分析与设计阶段 409
17.5 开发阶段 415
17.5.1 提供安全的函数 415
17.5.2 代码安全审计工具 417
17.6 测试阶段 418
17.7 小结 420
第18章 安全运营 422
18.1 把安全运营起来 422
18.2 漏洞修补流程 423
18.3 安全监控 424
18.4 入侵检测 425
18.5 紧急响应流程 428
18.6 小结 430
（附）谈谈互联网企业安全的发展方向 431

B. Web应用安全威胁与防治——基于OWASP Top 10与ESAPI的目录

第1篇 引子
故事一：家有一IT，如有一宝 2
故事二：微博上的蠕虫 3
故事三：明文密码 5
故事四：IT青年VS禅师 5
第2篇 基础篇
第1章 Web应用技术 8
1.1 HTTP简介 8
1.2 HTTPS简介 10
1.3 URI 11
1.3.1 URL 11
1.3.2 URI/URL/URN 12
1.3.3 URI比较 13
1.4 HTTP消息 13
1.4.1 HTTP方法14
1.4.2 HTTP状态码 19
1.5 HTTP Cookie20
1.5.1 HTTP Cookie的作用22
1.5.2 HTTP Cookie的缺点23
1.6 HTTP session23
1.7 HTTP的安全 24
第2章 OWASP 27
2.1 OWASP简介27
2.2 OWASP风险评估方法28
2.3 OWASP Top 10 34
2.4 ESAPI（Enterprise Security API） 35
第3篇 工具篇
第3章 Web服务器工具简介 38
3.1 Apache 38
3.2 其他Web服务器 39
第4章 Web浏览器以及调试工具 42
4.1 浏览器简介 42
4.1.1 基本功能 42
4.1.2 主流浏览器 43
4.1.3 浏览器内核 44
4.2 开发调试工具 45
第5章 渗透测试工具 47
5.1 Fiddler 47
5.1.1 工作原理 47
5.1.2 如何捕捉HTTPS会话 48
5.1.3 Fiddler功能介绍 49
5.1.4 Fiddler扩展功能 56
5.1.5 Fiddler第三方扩展功能 56
5.2 ZAP 58
5.2.1 断点调试 60
5.2.2 编码/解码 61
5.2.3 主动扫描 62
5.2.4 Spider63
5.2.5 暴力破解 64
5.2.6 端口扫描 65
5.2.7 Fuzzer66
5.2.8 API 66
5.3 WebScrab 67
5.3.1 HTTP代理67
5.3.2 Manual Request 69
5.3.3 Spider70
5.3.4 Session ID分析71
5.3.5 Bean Shell的支持 71
5.3.6 Web编码和解码 73
第6章 扫描工具简介 74
6.1 万能的扫描工具——WebInspect 74
6.1.1 引言 74
6.1.2 WebInspect特性 74
6.1.3 环境准备 74
6.1.4 HP WebInspect总览 76
6.1.5 Web网站测试 79
6.1.6 企业测试 86
6.1.7 生成报告 88
6.2 开源扫描工具——w3af 91
6.2.1 w3af概述 91
6.2.2 w3af环境配置 92
6.2.3 w3af使用示例 93
6.3 被动扫描的利器——Ratproxy 94
6.3.1 Ratproxy概述 94
6.3.2 Ratproxy环境配置 95
6.3.3 Ratproxy运行 96
第7章 漏洞学习网站 98
7.1 WebGoat 98
7.2 DVWA 99
7.3 其他的漏洞学习网站 99
第4篇 攻防篇
第8章 代码注入 102
8.1 注入的分类 104
8.1.1 OS命令注入 104
8.1.2 XPath注入109
8.1.3 LDAP注入114
8.1.4 SQL注入 118
8.1.5 JSON注入131
8.1.6 URL参数注入 133
8.2 OWASP ESAPI与注入问题的预防 135
8.2.1 命令注入的ESAPI预防 135
8.2.2 XPath注入的ESAPI预防 138
8.2.3 LDAP注入的ESAPI预防 138
8.2.4 SQL注入的ESAPI预防 141
8.2.5 其他注入的ESAPI预防 143
8.3 注入预防检查列表 143
8.4 小结 144
第9章 跨站脚本（XSS）146
9.1 XSS简介 146
9.2 XSS分类 146
9.2.1 反射式XSS 146
9.2.2 存储式XSS 148
9.2.3 基于DOM的XSS 149
9.2.4 XSS另一种分类法 151
9.3 XSS危害 154
9.4 XSS检测 156
9.4.1 手动检测 156
9.4.2 半自动检测 158
9.4.3 全自动检测 158
9.5 XSS的预防 159
9.5.1 一刀切 159
9.5.2 在服务器端预防 160
9.5.3 在客户端预防 168
9.5.4 富文本框的XSS预防措施 170
9.5.5 CSS 172
9.5.6 FreeMarker174
9.5.7 OWASP ESAPI与XSS的预防 177
9.6 XSS检查列表 183
9.7 小结 184
第10章 失效的身份认证和会话管理 185
10.1 身份认证和会话管理简介185
10.2 谁动了我的琴弦——会话劫持186
10.3 请君入瓮——会话固定 188
10.4 我很含蓄——非直接会话攻击191
10.5 如何测试 199
10.5.1 会话固定测试 199
10.5.2 用Web Scrab分析会话ID 200
10.6 如何预防会话攻击 202
10.6.1 如何防治固定会话 202
10.6.2 保护你的会话令牌 204
10.7 身份验证 208
10.7.1 双因子认证流程图 209
10.7.2 双因子认证原理说明 210
10.7.3 隐藏在QR Code里的秘密 211
10.7.4 如何在服务器端实现双因子认证 212
10.7.5 我没有智能手机怎么办 216
10.8 身份认证设计的基本准则216
10.8.1 密码长度和复杂性策略 216
10.8.2 实现一个安全的密码恢复策略 217
10.8.3 重要的操作应通过HTTPS传输 217
10.8.4 认证错误信息以及账户锁定 219
10.9 检查列表 219
10.9.1 身份验证和密码管理检查列表 219
10.9.2 会话管理检查列表 220
10.10 小结 221
第11章 不安全的直接对象引用 222
11.1 坐一望二——直接对象引用 222
11.2 不安全直接对象引用的危害 224
11.3 其他可能的不安全直接对象引用 224
11.4 不安全直接对象引用的预防 225
11.5 如何使用OWASP ESAPI预防 227
11.6 直接对象引用检查列表 230
11.7 小结 230
第12章 跨站请求伪造（CSRF） 232
12.1 CSRF简介 232
12.2 谁动了我的奶酪232
12.3 跨站请求伪造的攻击原理233
12.4 剥茧抽丝见真相235
12.5 其他可能的攻击场景236
12.5.1 家用路由器被CSRF攻击 236
12.5.2 别以为用POST你就躲过了CSRF 238
12.5.3 写一个自己的CSRF Redirector 241
12.5.4 利用重定向欺骗老实人 243
12.6 跨站请求伪造的检测245
12.6.1 手工检测 245
12.6.2 半自动CSRFTester 246
12.7 跨站请求伪造的预防250
12.7.1 用户需要知道的一些小技巧 250
12.7.2 增加一些确认操作 250
12.7.3 重新认证 250
12.7.4 加入验证码（CAPTCHA） 250
12.7.5 ESAPI解决CSRF 250
12.7.6 CSRFGuard 256
12.8 CSRF检查列表 260
12.9 小结 261
第13章 安全配置错误 262
13.1 不能说的秘密——Google hacking 262
13.2 Tomcat那些事 264
13.3 安全配置错误的检测与预防 264
13.3.1 系统配置 264
13.3.2 Web应用服务器的配置 268
13.3.3 数据库 282
13.3.4 日志配置 284
13.3.5 协议 285
13.3.6 开发相关的安全配置 291
13.3.7 编译器的安全配置 302
13.4 安全配置检查列表 305
13.5 小结 307
第14章 不安全的加密存储 308
14.1 关于加密 310
14.1.1 加密算法简介 310
14.1.2 加密算法作用 312
14.1.3 加密分类 313
14.2 加密数据分类 314
14.3 加密数据保护 315
14.3.1 密码的存储与保护 315
14.3.2 重要信息的保护 323
14.3.3 密钥的管理 336
14.3.4 数据的完整性 339
14.3.5 云系统存储安全 342
14.3.6 数据保护的常犯错误 343
14.4 如何检测加密存储数据的安全性 344
14.4.1 审查加密内容 344
14.4.2 已知答案测试（Known Answer Test）344
14.4.3 自发明加密算法的检测 345
14.4.4 AES加密算法的测试 345
14.4.5 代码审查 346
14.5 如何预防不安全的加密存储的数据347
14.6 OWASP ESAPI与加密存储 348
14.6.1 OWASP ESAPI与随机数 353
14.6.2 OWASP ESAPI 与FIPS 140-2 354
14.7 加密存储检查列表 355
14.8 小结 355
第15章 没有限制的URL访问357
15.1 掩耳盗铃——隐藏（Disable）页面按钮357
15.2 权限认证模型 358
15.2.1 自主型访问控制 360
15.2.2 强制型访问控制 360
15.2.3 基于角色的访问控制 361
15.3 绕过认证 363
15.3.1 网络嗅探 364
15.3.2 默认或者可猜测用户账号 364
15.3.3 直接访问内部URL364
15.3.4 修改参数绕过认证 365
15.3.5 可预测的SessionID365
15.3.6 注入问题 365
15.3.7 CSRF 365
15.3.8 绕过认证小结 366
15.4 绕过授权验证 367
15.4.1 水平越权 368
15.4.2 垂直越权 369
15.5 文件上传与下载373
15.5.1 文件上传 373
15.5.2 文件下载和路径遍历 377
15.6 静态资源 382
15.7 后台组件之间的认证383
15.8 SSO 385
15.9 OWASP ESAPI与授权 386
15.9.1 AccessController的实现387
15.9.2 一个AccessController的代码示例390
15.9.3 我们还需要做些什么 391
15.10 访问控制检查列表 393
15.11 小结 393
第16章 传输层保护不足 395
16.1 卧底的故事——对称加密和非对称加密395
16.2 明文传输问题 396
16.3 有什么危害398
16.3.1 会话劫持 398
16.3.2 中间人攻击 399
16.4 预防措施 399
16.4.1 密钥交换算法 400
16.4.2 对称加密和非对称加密结合 401
16.4.3 SSL/TLS 406
16.5 检查列表 423
16.6 小结 423
第17章 未验证的重定向和转发 425
17.1 三角借贷的故事——转发和重定向425
17.1.1 URL转发425
17.1.2 URL重定向 426
17.1.3 转发与重定向的区别 429
17.1.4 URL 重定向的实现方式 430
17.2 危害 438
17.3 如何检测 439
17.4 如何预防 440
17.4.1 OWASP ESAPI与预防 441
17.5 重定向和转发检查列表 443
17.6 小结 443
第5篇 安全设计、编码十大原则
第18章 安全设计十大原则 448
设计原则1——简单易懂 448
设计原则2——最小特权 448
设计原则3——故障安全化450
设计原则4——保护最薄弱环节451
设计原则5——提供深度防御 452
设计原则6——分隔 453
设计原则7——总体调节 454
设计原则8——默认不信任454
设计原则9——保护隐私 455
设计原则10——公开设计，不要假设隐藏秘密就是安全 455
第19章 安全编码十大原则 457
编码原则1——保持简单 457
编码原则2——验证输入 458
编码原则3——注意编译器告警459
编码原则4——框架和设计要符合安全策略 459
编码原则5——默认拒绝 460
编码原则6——坚持最小权限原则 462
编码原则7——净化发送到其他系统的数据 463
编码原则8——深度预防 464
编码原则9——使用有效的质量保证技术464
编码原则10——采用一个安全编码规范 465
媒体评论
这是一本带点酷酷的工程师范儿和人文气质的“硬货”。作为一名资深IT文艺老人，特别喜欢这种带着思想气息却又有着丰富案例娓娓道来的实用信息安全书，过去却往往只在国外作者中读到。正如书中开头的引子说的那样：“家有IT，如有一宝。”那么在Web安全日益火爆的今天，你会不会在读完这本书后的未来也成为传说中让我们顶礼膜拜的大牛呢^-^
——IDF威慑防御实验室益云（公益互联网）社会创新中心联合创始人万涛@黑客老鹰
伴随互联网的高速发展，基于B/S架构的业务系统对安全要求越来越高，安全从业人员面临空前的压力。如何让安全从业人员快速掌握Web应用安全？本书以诙谐、幽默的语言，精彩、丰富的实例，帮助安全从业人员从端到端理解Web应用安全。不失为近几年Web应用安全书籍的上佳之作。
——OWASP中国区主席SecZone高级安全顾问 RIP
很乐意看到有人将自身的资深安全积累和OWASP的最佳实践出版成书，内容严谨细致却不乏生动。这本信息安全领域的实用手册将成为银基安全致力于互联网安全的参考指导书目之一，我们广泛的电信、银行、保险、证券和政府部门等客户都会从中受益。
——上海银基信息安全技术有限公司首席技术官胡绍勇（Kurau）
随着安全访问控制策略ACL的普及应用，互联网企业目前面临的安全风险面主要集中在Web服务层。其中Web应用系统在架构设计、开发编码过程中是安全漏洞和风险引入的主要阶段，而普遍地我们的架构、开发、测试岗位在安全技能与意识上恰恰是相对比较欠缺的。本书详细介绍了Web安全基础知识、测试平台与方法，常见漏洞形式与原理，并结合OWASP最佳实践经验给出预防建议、设计和编码原则等。书中举例生动形象，图文代码并茂，步骤归纳清晰。特别推荐给广大Web开发、测试、安全岗位的朋友们。
—— 中国金山软件集团信息安全负责人程冲
在网络攻击愈加复杂，手段日益翻新的今天，Web攻击依然是大多数攻击者首选的入侵手段。反思CSDN泄密及新浪微博蠕虫事件，Web应用的安全突显其重要性。OWASP作为全球领先的Web应用安全研究团队，透过本书将Web应用安全的威胁、防御以及相关的工具进行了详细的探讨和研究。详尽的操作步骤说明是本书的亮点之一，这些详实且图文并茂的内容为逐步深入学习Web应用安全提供了很好的帮助。我衷心希望这本书能够成为信息安全专业的在校生以及应用安全相关从业人员的学习指导书。
-- 上海交通大学信息安全工程学院施勇(CISSP CISA)

C. php接收富文本框中的数据应该怎么处理

副文本框的内容可以看做是字符串（包含标签）。
方式1：php接收到的值直接插入数据库即可，在页面上获取数据时浏览器自动翻译html标签和css样式的，不用做什么处理。
方式2：如果只想保存内容不保存标签和样式可以用php函数 strip_tags() 过滤字符串中的 HTML 标签, 然后再插入数据库，这样数据存放的少，不带样式。但是你用到副文本框的意义就没有了。
你的意思不是很明白 ，欢迎追问

D. 国内好评度比较高的项目管理工具有哪些

现在常用的项目管理工具有：CORNERSTONE、Teambition、ones、tapd、zentao

最推荐的一种：CORNERSTONE项目管理工具

推荐理由：

CORNERSTONE能够用来处理任何类型的项目协作的工具，应用于运行和维护涉及到你的业务和企业的最困难任务，即使是对最初级的用户都能有所帮助，可满足不同团队规模的需求。

1.存储在云端，或者可以自己架设，基于 B/S 架构；
CORNERSTONE有网页版，并支持mac、windows、ios、Android多端同步，并支持私有部署功能。

E. 我用百度富文本插入网络视频，插入后不能播放，如何解决

修改配置文件：ueditor.config.js，添加xss过滤白名单

embed: ['type', 'class', 'pluginspage', 'src', 'width', 'height', 'align', 'style', 'wmode', 'play','loop', 'menu', 'allowscriptaccess', 'allowfullscreen'],

F. 富文本编辑器怎么做到防注入

只适合在小应用中，并且处理范围非常有限，简单一点就是过滤／转义，在这我就不多说了，其实方法是非常多。我今天主要讲关于架构方面的知识：你google一下，了解下 WAF(Web应用防火墙)，主要有两方面的：
软件角度的（推荐）：基于nginx的Web应用防火墙／网络的加速了／创新工厂的安全宝......
硬件角度的（不推荐）：NGAF
WAF可处理常见的Web安全有：XSS／SQL注入／跨站脚本／shell注入／会话劫持.....
在软件角度，git上面有不少这方面的开源项目，比如：https://github.com/loveshell/ngx_lua_waf
还有一些付费的云服务：安全宝／加速了......,可以了解下，确实很有意思，并不是简单的过滤转义。
个人认为：这本身属于网站架构方面的内容，是个全局的控制＝＝输入／输出过滤，这要后台和前台保持一致就可以了。

G. 急求：计算机网络

1、是用超链接的方法，将各种不同空间的文字信息组织在一起的网状文本。超文本更是一种用户接口范式，用以显示文本及与文本之间相关的内容。现时超文本普遍以电子文档方式存在，其中的文字包含有可以链结到其他位置或者文档的连结，允许从当前阅读位置直接切换到超文本连结所指向的位置。超文本的格式有很多，目前最常使用的是超文本标记语言(Hyper Text Markup Language，HTML)及富文本格式 (Rich Text Format，RTF)。我们日常浏览的网页上的链结都属于超文本。
2、局域网 城域网 广域网
3、单工 半双工 全双工
5、交换机 路由器 网桥 服务器
6、水平子系统 垂直干线子系统 管理区 设备间 工作区 建筑群
8、网络层
9、资源子网 通信子网
10、数据帧 数据包 数据段
12、数据帧
13、数据包
14、数据段
15、物理层 数据链路层 网络层 传输层 会话层 表示层 应用层
19、环状结构
20、多个局域网
22、网桥
好久没有看书了，都忘了！！！

H. RTF文件是什么

这个...ADSGFJ不知道是不是......只要你没有往格式化的盘上再保存东西，就有可能找回来！ Recover My Files数据恢复v3.92〖绿色特别版〗 软件介绍 ≡≡≡≡ Recover My Files 乃数据文件恢复软件，可以恢复包括文本文档、图像文件、音乐和视频文件、以及删除的zip文件，可以以扇区的方式扫描硬盘。支持的格式包括：mpegpdf pmd png ppt pst pub rar rtf sdr tar txt tiff viso wav wmf wpd xls zdp zip asf avi bmp csv doc dbx dwg gif gzip html jpeg mdb mov mp3，并且可以进行恢复预览。 汉化:莫名 激活信息： name:Chris Silliker code:X3HR36-14VFPM-HM7KT5-MEH0A7-QP7WN7-6FHH7D-W3UD0P-9RCT2N http://soft.mumayi.net/Software/catalog51/3042.html FinalData v2.01.1028 软件大小 1.41 MB 软件类别 汉化软件/系统安全 运行环境 Win2003, WinXp, Win2000, Nt, WinMe, Win9x 授权方式 特别版 软件等级 软件语言 简体中文 在Windows环境下删除一个文件，只有目录信息从FAT或者MFT（NTFS）删除。这意味着文件数据仍然留在你的磁盘上。所以，从技术角度来讲，这个文件是可以恢复的。FinalData就是通过这个机制来恢复丢失的数据的，在清空回收站以后也不例外。另外，FinalData可以很容易地从格式化后的文件和被病毒破坏的文件恢复。甚至在极端的情况下，如果目录结构被部分破坏也可以恢复，只要数据仍然保存在硬盘上。 下载地址： http://www.crsky.com/soft/963.html 妙手回春——找回意外丢失文件 近日，公司一同事因误操作把公司的部分重要的文件给删除了，最要命的是她还没有备份。因此，她焦急的找到我，看我有什么办法可以恢复这些丢失的文件，虽然当时我并没有什么好的解决办法。但是作为公司的网管处理故障正是我的职责所在，于是我先答应了下来，回去在网上查了几下，真的有好多可以恢复文件的好东东！于是我高兴的下载了一个，装上一看，不错，可以看到被删除的文件。正当我要恢复的时候，问题出现了，软件提示购买正版……云云。唉！俗话说的好，天下没有白吃的果子呀！于是我只能继续在网上碰碰运气喽，于是我在咱们期刊论坛上发了一个求助贴，不一会儿就有好几位好心的朋友给我介绍了几款恢复文件的软件。于是我选了其中的一款FinalDataEnterprise在网上下载了汉化版，装上以后，还真帮我找回了所有被删除文件，下面我就将这款软件的功能和使用心得和大家分享一下： 首先，来介绍一下FinalData软件的功能：FinalData以其强大、快速的恢复功能和简便易用的操作界面成为网络管理员的首选工具。当文件被误删除（并从回收站中清除）、FAT表或者磁盘根区被病毒侵蚀造成文件信息全部丢失、物理故障造成FAT表或者磁盘根区不可读，以及磁盘格式化造成的全部文件信息丢失之后，FinalData都能够通过直接扫描目标磁盘抽取并恢复出文件信息（包括文件名、文件类型、原始位置、创建日期、删除日期、文件长度等），用户可以根据这些信息方便地查找和恢复自己需要的文件。甚至在数据文件已经被部分覆盖以后，专业版FinalData也可以将剩余部分文件恢复出来。安装向导可以帮助用户自动完成安装（除了提供产品序列号和安装目录外无需用户其他干预），甚至不经过安装也可以通过点击安装光盘上的执行程序直接运行FinalData来进行数据文件恢复。类似Windows资源管理器的用户界面和操作风格使Windows用户几乎不需要培训就可以完成简单的数据文件恢复工作。用户既可以（通过通配符匹配）快速查找指定的一个或者多个文件，也可以一次完成整个目录及子目录下的全部文件的恢复（保持目录结构不变）。 高版本的FinalData软件可以通过TCP/IP网络协议对网络上的其他计算机上丢失的文件进行恢复，从而为整个网络上的数据文件提供保护。在目标机器上拷贝和运行一个代理程序后用户可以从本地计算机的FinalData界面上打开一个网络驱动器，输入目标机IP地址和口令字（由客户机设置）后，余下的操作就象在本地机上进行数据恢复一样简便。代理程序可以在Windows和DOS等环境下运行，即使目标机器丢失了重要的系统文件导致Windows操作系统不能正常启动，用户也可以在DOS环境下通过FinalData的网络恢复功能完成数据文件的恢复。FinalData全面支持各种类型的数据文件（包括中、日、韩等双字节文件以及Oracle等数据库文件）的恢复，运行在Windows 95/98/ME、Windows NT/2000、Macintosh、Linux和UNIX上的各种版本适应您的不同需求，为您的数据资源提供安全可靠的保障。 具体操作过程如下： 第一步：下载安装FinalDataEnterprise20，我下载的FinalDataEnterprise20破解版安装过程。如图一： 安装中将会提示输入注册号，在Serial 项中输入注册号然后，点击下一步即可。安装完毕后。如图二： 注意：安装完毕后软件将检测硬盘，检测完毕后进入以上界面。 第二步：汉化，打开汉化破解包后，直接安装就可以了，在这里就不多说了。汉化完毕后。如图三： 第三步：找回丢失文件，在这里我将在E盘里恢复一个名为“公司电脑硬件档案.xls”的文件，然后再用FinalDataEnterprise20进行恢复。步骤如下： 单击FinalDataEnterprise20任务栏的“文件”选项——打开——选择被删除文件的驱动器，点确定。如图四： 点确定以后将开始扫描文件目录，之后将提示要扫描簇的范围，单击确定后将对整个E盘进行扫描。扫描需要很长的时间，具体就要看你的硬盘有多大了。扫描完毕后。如图五： 最后，在已删除文件中找到被删除文件，选中被删除文件，点击“文件”选项里的恢复就可以了。 相信有了FinalDataEnterprise20会使你的工作更加轻松愉快，也希望我的这篇文章对广大网管朋友有一定的帮助。参考资料： http://..com/question/12370571.html?fr=qrl3

I. 设置以超文本格式读取所有邮件安全吗

不安全，最好不要这样设置。

超文本是用超链接的方法，将各种不同空间的文字信息组织在一起的网状文本。超文本更是一种用户界面范式，用以显示文本及与文本之间相关的内容。现时超文本普遍以电子文档方式存在，其中的文字包含有可以链结到其他位置或者文档的连结。

允许从当前阅读位置直接切换到超文本连结所指向的位置。超文本的格式有很多，最常使用的是超文本标记语言（标准通用标记语言下的一个应用）及富文本格式。

超文本是计算机出现后的产物，它以计算机所储存的大量数据为基础，使得原先的线性文本变成可以通向四面八方的非线性文本，读者可以在任何一个关节点上停下来，进入另一重文本，然后再点击、进入又一重文本，理论上，这个过程是无穷无尽的。从而，原先的单一的文本变成了无限延伸、扩展的超级文本、立体文本。

这样一种新鲜事物的出现显然和技术的发展息息相关。电子媒介的崛起深刻改变了世界的文化面貌。电影、电视可以把纸面上的文学转换成可视可听的电子形式，计算机的技术条件所提供的“超文本”使罗兰·巴特设想过的“可写文本”变成了现实。

J. 白帽子讲Web安全的目录

《白帽子讲web安全》第一篇 世界观安全第1章 我的安全世界观 21.1 web安全简史 21.1.1 中国黑客简史 21.1.2 黑客技术的发展历程 31.1.3 web安全的兴起 51.2 黑帽子，白帽子 61.3 返璞归真，揭秘安全的本质 71.4 破除迷信，没有银弹 91.5 安全三要素 101.6 如何实施安全评估 111.6.1 资产等级划分 121.6.2 威胁分析 131.6.3 风险分析 141.6.4 设计安全方案 151.7 白帽子兵法 161.7.1 secure by default原则 161.7.2 纵深防御原则 181.7.3 数据与代码分离原则 19.1.7.4 不可预测性原则 211.8 小结 22（附）谁来为漏洞买单？ 23第二篇 客户端脚本安全第2章 浏览器安全 262.1 同源策略 262.2 浏览器沙箱 302.3 恶意网址拦截 332.4 高速发展的浏览器安全 362.5 小结 39第3章 跨站脚本攻击（xss） 403.1 xss简介 403.2 xss攻击进阶 433.2.1 初探xss payload 433.2.2 强大的xss payload 463.2.3 xss 攻击平台 623.2.4 终极武器：xss worm 643.2.5 调试javascript 733.2.6 xss构造技巧 763.2.7 变废为宝：mission impossible 823.2.8 容易被忽视的角落：flash xss 853.2.9 真的高枕无忧吗：javascript开发框架 873.3 xss的防御 893.3.1 四两拨千斤：httponly 893.3.2 输入检查 933.3.3 输出检查 953.3.4 正确地防御xss 993.3.5 处理富文本 1023.3.6 防御dom based xss 1033.3.7 换个角度看xss的风险 1073.4 小结 107第4章 跨站点请求伪造（csrf） 1094.1 csrf简介 1094.2 csrf进阶 1114.2.1 浏览器的cookie策略 1114.2.2 p3p头的副作用 1134.2.3 get? post? 1164.2.4 flash csrf 1184.2.5 csrf worm 1194.3 csrf的防御 1204.3.1 验证码 1204.3.2 referer check 1204.3.3 anti csrf token 1214.4 小结 124第5章 点击劫持（clickjacking） 1255.1 什么是点击劫持 1255.2 flash点击劫持 1275.3 图片覆盖攻击 1295.4 拖拽劫持与数据窃取 1315.5 clickjacking 3.0：触屏劫持 1345.6 防御clickjacking 1365.6.1 frame busting 1365.6.2 x-frame-options 1375.7 小结 138第6章 html 5 安全 1396.1 html 5新标签 1396.1.1 新标签的xss 1396.1.2 iframe的sandbox 1406.1.3 link types: noreferrer 1416.1.4 canvas的妙用 1416.2 其他安全问题 1446.2.1 cross-origin resource sharing 1446.2.2 postmessage——跨窗口传递消息 1466.2.3 web storage 1476.3 小结 150第三篇 服务器端应用安全第7章 注入攻击 1527.1 sql注入 1527.1.1 盲注（blind injection） 1537.1.2 timing attack 1557.2 数据库攻击技巧 1577.2.1 常见的攻击技巧 1577.2.2 命令执行 1587.2.3 攻击存储过程 1647.2.4 编码问题 1657.2.5 sql column truncation 1677.3 正确地防御sql注入 1707.3.1 使用预编译语句 1717.3.2 使用存储过程 1727.3.3 检查数据类型 1727.3.4 使用安全函数 1727.4 其他注入攻击 1737.4.1 xml注入 1737.4.2 代码注入 1747.4.3 crlf注入 1767.5 小结 179第8章 文件上传漏洞 1808.1 文件上传漏洞概述 1808.1.1 从fckeditor文件上传漏洞谈起 1818.1.2 绕过文件上传检查功能 1828.2 功能还是漏洞 1838.2.1 apache文件解析问题 1848.2.2 iis文件解析问题 1858.2.3 php cgi路径解析问题 1878.2.4 利用上传文件钓鱼 1898.3 设计安全的文件上传功能 1908.4 小结 191第9章 认证与会话管理 1929.1 who am i? 1929.2 密码的那些事儿 1939.3 多因素认证 1959.4 session与认证 1969.5 session fixation攻击 1989.6 session保持攻击 1999.7 单点登录（sso） 2019.8 小结 203第10章 访问控制 20510.1 what can i do? 20510.2 垂直权限管理 20810.3 水平权限管理 21110.4 oauth简介 21310.5 小结 219第11章 加密算法与随机数 22011.1 概述 22011.2 stream cipher attack 22211.2.1 reused key attack 22211.2.2 bit-flipping attack 22811.2.3 弱随机iv问题 23011.3 wep破解 23211.4 ecb模式的缺陷 23611.5 padding oracle attack 23911.6 密钥管理 25111.7 伪随机数问题 25311.7.1 弱伪随机数的麻烦 25311.7.2 时间真的随机吗 25611.7.3 破解伪随机数算法的种子 25711.7.4 使用安全的随机数 26511.8 小结 265（附）understanding md5 length extension attack 267第12章 web框架安全 28012.1 mvc框架安全 28012.2 模板引擎与xss防御 28212.3 web框架与csrf防御 28512.4 http headers管理 28712.5 数据持久层与sql注入 28812.6 还能想到什么 28912.7 web框架自身安全 28912.7.1 struts 2命令执行漏洞 29012.7.2 struts 2的问题补丁 29112.7.3 spring mvc命令执行漏洞 29212.7.4 django命令执行漏洞 29312.8 小结 294第13章 应用层拒绝服务攻击 29513.1 ddos简介 29513.2 应用层ddos 29713.2.1 cc攻击 29713.2.2 限制请求频率 29813.2.3 道高一尺，魔高一丈 30013.3 验证码的那些事儿 30113.4 防御应用层ddos 30413.5 资源耗尽攻击 30613.5.1 slowloris攻击 30613.5.2 http post dos 30913.5.3 server limit dos 31013.6 一个正则引发的血案：redos 31113.7 小结 315第14章 php安全 31714.1 文件包含漏洞 31714.1.1 本地文件包含 31914.1.2 远程文件包含 32314.1.3 本地文件包含的利用技巧 32314.2 变量覆盖漏洞 33114.2.1 全局变量覆盖 33114.2.2 extract()变量覆盖 33414.2.3 遍历初始化变量 33414.2.4 import_request_variables变量覆盖 33514.2.5 parse_str()变量覆盖 33514.3 代码执行漏洞 33614.3.1 “危险函数”执行代码 33614.3.2 “文件写入”执行代码 34314.3.3 其他执行代码方式 34414.4 定制安全的php环境 34814.5 小结 352第15章 web server配置安全 35315.1 apache安全 35315.2 nginx安全 35415.3 jboss远程命令执行 35615.4 tomcat远程命令执行 36015.5 http parameter pollution 36315.6 小结 364第四篇 互联网公司安全运营第16章 互联网业务安全 36616.1 产品需要什么样的安全 36616.1.1 互联网产品对安全的需求 36716.1.2 什么是好的安全方案 36816.2 业务逻辑安全 37016.2.1 永远改不掉的密码 37016.2.2 谁是大赢家 37116.2.3 瞒天过海 37216.2.4 关于密码取回流程 37316.3 账户是如何被盗的 37416.3.1 账户被盗的途径 37416.3.2 分析账户被盗的原因 37616.4 互联网的垃圾 37716.4.1 垃圾的危害 37716.4.2 垃圾处理 37916.5 关于网络钓鱼 38016.5.1 钓鱼网站简介 38116.5.2 邮件钓鱼 38316.5.3 钓鱼网站的防控 38516.5.4 网购流程钓鱼 38816.6 用户隐私保护 39316.6.1 互联网的用户隐私挑战 39316.6.2 如何保护用户隐私 39416.6.3 do-not-track 39616.7 小结 397（附）麻烦的终结者 398第17章 安全开发流程（sdl） 40217.1 sdl简介 40217.2 敏捷sdl 40617.3 sdl实战经验 40717.4 需求分析与设计阶段 40917.5 开发阶段 41517.5.1 提供安全的函数 41517.5.2 代码安全审计工具 41717.6 测试阶段 41817.7 小结 420第18章 安全运营 42218.1 把安全运营起来 42218.2 漏洞修补流程 42318.3 安全监控 42418.4 入侵检测 42518.5 紧急响应流程 42818.6 小结 430（附）谈谈互联网企业安全的发展方向 431· · · · · ·