第1章 Web系统安全概论 11.1 引言 11.2 Web网站系统结构 41.3 Web系统安全态势 81.4 Web安全漏洞分析 121.4.1 Web应用系统安全漏洞 121.4.2 CNVD收录的安全漏洞 161.5 Web系统安全技术 20第2章 Web安全漏洞检测方法 212.1 引言 212.2 静态检测技术 212.3 动态检测技术 232.4 Web测试技术 262.5 漏洞扫描技术 282.6 检测性能评价 30第3章 SQL注入漏洞检测技术 323.1 引言 323.2 SQL注入漏洞分析 323.2.1 SQL注入漏洞成因 323.2.2 SQL注入攻击方法 333.3 SQL注入漏洞检测 393.4 SQL注入漏洞防范 45第4章 XSS漏洞检测技术 514.1 引言 514.2 XSS漏洞分析 514.2.1 XSS漏洞成因 514.2.2 XSS漏洞分类 524.2.3 XSS攻击触发 584.2.4 XSS漏洞危害 594.3 XSS漏洞检测 604.3.1 检测方法 604.3.2 检测点处理 614.3.3 渗透测试 654.4 XSS漏洞防范 69第5章 缓冲区溢出漏洞检测技术 715.1 引言 715.2 缓冲区溢出漏洞分析 715.2.1 缓冲区溢出漏洞成因 715.2.2 缓冲区溢出工作机理 745.2.3 缓冲区溢出漏洞利用 825.3 缓冲区溢出漏洞检测 865.3.1 缓冲区溢出漏洞检测技术 865.3.2 基于错误注入的检测技术 875.4 缓冲区溢出漏洞防范 90第6章 会话管理漏洞检测技术 936.1 引言 936.2 Cookie基本特性 936.3 会话管理漏洞分析 986.4 会话管理漏洞检测 1026.5 会话管理漏洞防范 106第7章 服务器配置漏洞检测技术 1087.1 引言 1087.2 服务器配置漏洞分析 1087.3 服务器配置漏洞检测 1117.4 服务器配置漏洞防范 115第8章 传输保护弱点检测技术 1238.1 引言 1238.2 安全套接层协议SSL 1238.2.1 SSL协议结构 1248.2.2 SSL握手协议 1258.2.3 SSL记录协议 1328.2.4 SSL支持的密码算法 1348.2.5 SSL协议安全性分析 1378.3 传输保护弱点分析 1398.4 传输保护弱点检测 1418.5 传输保护弱点防范 148第9章 漏洞检测工具及评价 1519.1 引言 1519.2 Web安全漏洞测试平台 1519.3 静态检测工具评价 1539.3.1 YASCA工具 1559.3.2 Pixy工具 1579.3.3 Rips工具 1609.3.4 性能评价 1629.4 动态检测工具评价 1659.4.1 测试环境 1669.4.2 WVS工具 1679.4.3 AppScan工具 1689.4.4 Nikto工具 1699.4.5 W3af工具 1699.4.6 检测工具性能评价 1709.5 静动态工具性能对比 175第10章 Web系统健壮性测试技术 17910.1 引言 17910.2 Web系统测试技术 17910.2.1 Web系统测试 17910.2.2 软件变异测试 18010.2.3 HTTP协议变异测试 18210.3 测试系统组成 18610.4 系统健壮性测试 18810.4.1 测试环境 18810.4.2 测试项目 18810.4.3 测试结果及分析 193第11章 移动互联网安全 19611.1 引言 19611.2 移动互联网安全威胁 19711.2.1 移动应用恶意行为 19811.2.2 移动应用安全漏洞 20311.2.3 WiFi接入安全漏洞 20811.2.4 伪基站泛滥 21011.3 移动互联网安全对策 211缩略语 214参考文献 217