Web應(yīng)用安全威脅與防治是一本講解Web應(yīng)用中最常見的安全風(fēng)險以及解決方案的實用教材。它以當(dāng)今公認(rèn)的安全權(quán)威機(jī)構(gòu)OWASP（Open Web Application Security Project）制定的OWASP Top 10為藍(lán)本，介紹了十項最嚴(yán)重的Web應(yīng)用程序安全風(fēng)險，并利用ESAPI（Enterprise Security API）提出了解決方案。本書共有五篇，第1篇通過幾個故事引領(lǐng)讀者進(jìn)入安全的世界；第2篇是基礎(chǔ)知識篇，讀者可以了解基本的Web應(yīng)用安全的技術(shù)和知識；第3篇介紹了常用的安全測試和掃描工具；第4篇介紹了各種威脅以及測試和解決方案；第5篇在前幾篇的基礎(chǔ)上，總結(jié)在設(shè)計和編碼過程中的安全原則。

本書各章以一個生動的小故事或者實例開頭，讓讀者快速了解其中的安全問題，然后分析其產(chǎn)生的原因和測試方法并提出有效的解決方案，最后列出處理相關(guān)問題的檢查列表，幫助讀者在以后的工作和學(xué)習(xí)中更好地理解和處理類似的問題。讀完本書之后，相信讀者可以將學(xué)過的內(nèi)容應(yīng)用到Web應(yīng)用安全設(shè)計、開發(fā)、測試中，提高Web應(yīng)用程序的安全，也可以很有信心地向客戶熟練地講解Web應(yīng)用安全威脅和攻防，并在自己的事業(yè)發(fā)展中有更多的收獲。

本書適用于Web開發(fā)人員、設(shè)計人員、測試人員、架構(gòu)師、項目經(jīng)理、安全咨詢顧問等。本書也可以作為對Web應(yīng)用安全有興趣的高校學(xué)生的教材，是一本實用的講解Web應(yīng)用安全的教材和使用手冊。

Web應(yīng)用安全威脅與防治目錄

第1篇 引子
第2篇 基礎(chǔ)篇
第1章 Web應(yīng)用技術(shù) 8
第2章 OWASP 27
第3篇 工具篇
第3章 Web服務(wù)器工具簡介 38
第4章 Web瀏覽器以及調(diào)試工具 42
第5章 滲透測試工具 47
第6章 掃描工具簡介 74
第7章 漏洞學(xué)習(xí)網(wǎng)站 98
第4篇 攻防篇
第8章 代碼注入 102
第9章 跨站腳本（XSS） 146
第10章 失效的身份認(rèn)證和會話管理 185
第11章 不安全的直接對象引用 222
第12章 跨站請求偽造（CSRF） 232
第13章 安全配置錯誤 262
第14章 不安全的加密存儲 308
第15章 沒有限制的URL訪問 357
第16章 傳輸層保護(hù)不足 395
第17章 未驗證的重定向和轉(zhuǎn)發(fā) 425
第5篇 安全設(shè)計、編碼十大原則
第18章 安全設(shè)計十大原則 448
第19章 安全編碼十大原則 457