内容简介
本书是国际信息安全专家10余年网络安全实战经验的结晶，全方位解读网站常见的漏洞及攻击方法，提供了100条实用的安全防护策略，为快速开发安全网站提供系统的实践指南。
全书分为三部分，共15章：第一部分（第1～3章）详细介绍网站上线前所需要实施的一系列安全策略，包括如何为线上网站构筑网络防线、如何快速检测和修复漏洞，以及如何在网站中构建陷阱来快速而准确地识别恶意用户；第二部分（第4～12章）全面而系统地介绍网站上线后用于分析网站执行和寻找恶意行为的安全策略，包括信用度与第三方信息关联、请求数据分析、响应数据分析、授权保护、防护session状态、防止应用程序攻击、防止客户端攻击、文件上传功能防护、限制访问频率与程序交互流程等；第三部分（第13～15章）详细讲解在网站出现恶意行为后如何高效地使用各种响应方式应对攻击，包括被动、主动和侵入式响应动作。
本书适合网站安全防护人员、信息安全人员、网站管理人员等参考，可帮助读者快速掌握网络安全防护技术，提高攻击网站的门槛。
你的网站安全吗？当新的网站上线运营时，如何进行防护？当攻击者尝试入侵站点并偷取数据或进行其他有害的操作时，如何识别？本书针对这些问题给出了技术解决方案，通过阅读本书，读者将会提高与恶意行为进行对抗的能力。
本书给出的每一条网络安全策略都来自实践，在介绍策略时都会包括攻击的原理、防护所使用的技术以及详细的实施步骤。你将学习到如何为可能到来的攻击做准备，如何从网站的请求中识别恶意行为，以及如何在应对攻击时做出最恰当的响应等。
通过本书，你将学到：
如何记录完整的HTTP审计日志以应对安全事件响应需求。
如何通过虚拟补丁临时修复已发现的漏洞。
如何部署陷阱以识别出恶意的用户。
如何发现用户进行了异常的操作。
如何分析判断用户上传的文件或内容是否包含病毒。
如何察觉网站泄露了敏感的用户资料或网站的技术信息。
针对不同的攻击如何响应。

作者简介
Ryan Barnett　国际著名信息安全专家，有10余年的政府及商业网站防护经验，目前是Trustwave的SpiderLabs团队核心成员，该团队专注于渗透测试、安全事件响应及应用安全的防护。他同时是ModSecurity Web应用防火墙项目的领导者、SANS协会的认证导师以及多个业内大会（如Black Hat、SANS AppSec会议、OWASP AppSecUSA等）的演讲嘉宾。
译者简介
许鑫城　 腾讯安全平台部应用运维安全工程师，负责腾讯Web业务的漏洞防护等相关工作，研究兴趣包括Web安全、网络安全、Linux后台开发、大数据等。

本书是一本网络安全防护基本操作手册。书中介绍的策略用于解决最严重的漏洞及对抗当今网络罪犯使用的攻击方法。无论你是在处理针对电子商务网站上的拒绝服务攻击，抑或在对你负责的银行系统的造假事件进行应急响应，还是在你新上线的社交网站上保护用户数据，翻阅本书都能找到相应场景下有效的应对方案。本书主要针对安全防护中的实际策略，会尽量少讲解安全理论，当然针对每个防护策略，为了让读者清楚攻击及漏洞原理，还是会提到一些相关背景知识。这些防护策略会一步一步地教你如何针对网站中的恶意行为进行防护。
　　这本书总结了我多年来在政府、教育、商业网站中，在对抗大量攻击者的多种攻击手法时所获取的信息和经验。Web的攻击方法非常复杂，本书提供的对应方案也同样复杂。不过，所有的安全防护方案，都基于以下的技能与技术（按相关性排序）：
　　网站的漏洞与攻击
　　HTTP协议
　　Perl兼容正则表达式（Perl Compatible Regular Expression，PCRE）
　　编程（Lua、Python与Perl）
　　Web服务器管理（Apache服务器）
　　Web浏览器
　　UNIX操作系统（shell命令行与vim编辑器）
　　HTML
　　事件响应流程
　　网络与TCP/IP协议
　　一些基础的SQL（Structured Query Level）
　　本书所提到的安全防护策略包含了许多网站攻击的基本元素，但书中不会全面地讲解网站的脆弱性、攻击手法或者网站的开发安全问题。有很多其他的书籍与资料可以帮助开发者开发安全的网站。
概览
　　本书的目的是使你的网站更难被攻陷。网站（抑或所有的软件）都不是完全安全、无任何缺陷的。只要花上足够的时间，攻击者总能找到你网站的漏洞或配置错误，从而入侵网站或利用网站的用户信息。在继续阅读本书之前，你应该花点时间来接受这个事实。有许多人错误地认为，雇佣聪明的开发者或者部署商业安全产品可以避免他们的网站遭受攻击，可惜这不现实。比较现实的网站安全策略是了解你的网站交互流程，然后让你的网站更耐于攻击。如果你能让攻击者不得不花费更多的时间来探测你的站点，寻找漏洞，你就给了安全操作人员更多的机会去执行相应的防护策略。
　　本书提供相关知识以帮助你提高保护网站的技能，你将能够执行如下关键的网站安全相关任务：
　　识别非正常访问的用户。
　　关联用户与其在网站的行为。
　　网站异常监控。
　　判断网站是否泄漏敏感的用户或技术信息。
　　发现新的或错误配置的网站资源。
　　快速修复已发现漏洞。
　　为已发现漏洞打虚拟补丁。
　　以多种响应策略应对不同的攻击方法。
目标读者
　　本书的目标读者是网站防护人员。防护人员是指那些在黑客攻击下保护线上站点的人，他们不开发网站，但他们在网站上线之后负责维护。网站防护人员是提高网站安全性的三个主要的人群之一，另外两个人群是开发人员与审计人员。开发人员编写网站代码与功能实现，并负责未来的功能强化与维护。审计人员则是负责审计源代码和线上网站的渗透测试的信息安全团队。这三类人群的工作都是为了提高网站的安全性，不过本书主要针对网站防护人员。
本书架构
　　本书根据具体的网站安全问题将安全策略分成几个大部分。大多数的安全策略单独就能够解决一类安全问题，但仍有一些安全策略只能解决一大类问题中的一小部分，所以有必要实施多条安全策略以降低安全风险。
　　本书从高度抽象的角度来将内容分为三个部分：
　　第一部分：“准备战场”
　　第二部分：“非对称战争”
　　第三部分：“战略反攻”
　　这几大部分的顺序基于逻辑流程与每个主题间的关系。如果你刚开始要部署一个新的网站，我们建议你从头读到尾。如果你已经有线上运行的网站，你可以跳到你关注的问题所对应的安全策略。在必要之处会提供相关章节的索引、策略或外部的资料。下面介绍每个部分及其章节。
第一部分：准备战场
　　如何打造能从容应对必将遭受网络攻击的网站平台，本书从这里开始介绍。当你上线一个新的网站时，你应该实施该部分介绍的安全策略。
　　第1章“网站驻防”，列举了必须的步骤，以实现攻击识别告警，与管理适当的Web交互审计日志。你也会学到如何构建统一数据存储以在企业中实现攻击情报共享。
　　第2章“漏洞检测与修复”，介绍了主动发现网站中漏洞的关键方法，以及在漏洞被发现之后，如何用一种叫“虚拟补丁”的方式临时修复漏洞。
　　第3章 “给黑客的陷阱”，介绍了几种在网站中构建陷阱的方法来快速而准确地识别恶意用户。
第二部分：非对称战争
　　在网站上线提供给真实用户之后，第二部分的安全策略将派上用场。这些安全策略都用于分析网站的执行，寻找恶意的行为。
　　第4章“信用度与第三方信息关联”，描述了如何通过第三方的地理信息与IP地址黑名单来识别一些已知的恶意源并限制其访问。
　　第5章“请求数据分析”，描述了多种防御，用于获取、归整化与分析入流量的HTTP请求；也会谈到如何识别构造出来的常见畸形请求。
　　第6章“响应数据分析”，会讲解与第5章类似的技术，不过这次是分析出流量的HTTP响应数据。该章介绍的安全策略识别出来的异常通常意味着程序错误或者攻击已经成功。
　　第7章“身份验证防护”，介绍如何识别暴力破解用户凭证、追踪成功与失败的认证尝试、追踪用户操作等。
　　第8章“防护会话状态”，展示了与会话管理相关的安全问题，会讨论如cookie污染、会话劫持等攻击。
　　第9章“防止应用层攻击”，关注接受外部用户输入但又没有进行任何校验而引发的问题；这里会提供应对如SQL注入攻击、远程文件包含、系统命令执行等攻击的防护手段。
　　第10章“防止客户端攻击”，把视线转移到保护用户免受诸如跨站脚本、CSRF与点击劫持的攻击。同时也会关注如何对抗如Zeus等银行木马。还会介绍你的网站与浏览器如何协同实施安全策略。
　　第11章“文件上传功能防护”，描述了黑客是如何利用你提供给用户的上传文件的功能，来把恶意代码注入到你的站点。这里的安全策略会介绍如何分析上传的附件来阻断恶意的数据。
　　第12章“限制访问速率及程序交互流程”，介绍如何通过关联客户端请求的多个属性来识别出异常请求频率、异常交互流程与非常规使用方式。
第三部分：战略反攻
　　一旦你发现在网站上出现了恶意行为，下一步就是如何应对这些攻击。本书的最后一部分主要关注怎样高效地使用不同的响应方式来应对攻击。
　　第13章 “被动的响应动作”，介绍了对最终用户透明的应用程序快速修改，如增加系统日志等。
　　第14章 “主动的响应动作”，关注更主动地干扰针对最终用户的攻击。其中包括中断连接，暂时把源IP加入黑名单，或让用户强制退出等。
　　第15章 “侵入式响应动作”，介绍注入一些信息到客户端Web浏览器来执行防御或者获取攻击源的更多信息。
可能用到的工具
　　本书展示了在应对网站攻击时的实操性技巧。请记住，你是网站的防护者，你的工具集与提供给网站开发人员的工具是不一样的。你的主要工具是如Apache Web服务器或微软的IIS Web服务器之类的应用平台本身。可惜的是，网站漏洞与漏洞的防护需要较高级的逻辑与分析能力，而通常这些标准的Web服务器软件是不提供的。为了达到本书提到的这些高级防护能力，你需要在Web服务器上安装更多的模块或过滤器软件。
　　本书介绍的防护策略用到了一个叫ModSecurity的开源网站防火墙（Web Application Firewall，WAF），可以用于Apache、Microsoft IIS与Nginx等Web服务器平台。也有其他的软件可用于网站架设基本的输入过滤功能，但都没能达到ModSecurity所能达到的水平。它能提供健壮的规则语言、数据修改、内容注入，甚至Lua的API，用于实现定制化的逻辑，或用于与其他工具进行集成。当阅读完本书后，我相信你会赞同我的观点：ModSecurity确实在网站防护上表现非常出色。当然，我们在相关地方也会介绍能提供类似功能的其他工具。
　　虽然本书提到的安全策略使用ModSecurity进行实施，但其本质的检测技术当然也适用于其他工具或者类库。比如OWASP的AppSensor项目（我也是其贡献者）就包含本书提到的技术的Java代码例子。
　　在本书中你将要防护的网站使用了OWASP的Broken Web Application（OWASP BWA）项目。这里提供虚拟机镜像提供下载，它包含许多有缺陷的网站供使用者学习与测试Web的漏洞与攻击，同时也提供许多真实应用流程的网站（如WordPress）。如果你在学习本书安全策略的同时想亲手实践的话，可以下载那个虚拟机镜像。
格式约定
　　为了协助读者从这些安全策略中学习到尽可能多的知识，本书中使用如下约定：
　　策略X-X：策略名
　　安全策略解决具体的Web应用安全问题，演示如何使用工具或脚本，通常也会提供一些调试与警告的信息样例。每一条安全策略都包含如下要素：
　　外部软件的索引链接；
　　可供下载的规则文件；
　　可安装的第三方数据文件；
　　策略可能会包含其他关于该主题的扩展阅读材料的脚注。
　　这部分内容包括提示、线索、技巧等信息。
　　这部分内容包含重要的、不能忘记的信息。
　　注意：这部分内容包括提示、线索、技巧等信息。
　　重要提示：这部分内容包含重要的、不能忘记的信息。
　　文本格式所代表的意义：
　　Ctrl+A表示键盘操作；
　　我们用特殊字体表示代码：persisstence.properties；
　　大部分的代码使用普通字体，粗体强调上下文中的重要代码或者与之前代码的差别。
源代码
　　当你实践本书讲解的例子时，可以手动输入代码，也可以使用本书附带的源代码文件。本书使用的所有源代码都可以从www.wiley.com/go/webappdefenderscookbook下载。
　　也可以在www.wiley.com上搜索本书。
　　注意：由于许多书籍使用了类似的书名，使用ISBN可轻易地搜索到本书。本书英文版的ISBN是978-1-118-36218-1。
致谢
　　我必须首先感谢我的妻子Linda。当我第一次告诉她我想写另一本书的时候，虽然她知道这会牺牲很多，但还是非常支持我。非常感谢她的耐心及多个晚上不得不忍耐“刺耳的打字声”。无论在工作还是在生活上她都经常鼓励及支持我。完成这本书的写作不仅仅是我，同时还是我家人的功劳，因为这确实是多人努力的结果。Linda，我爱你，非常感谢你能成为我生活中的一分子。
　　然后要感谢Nick Percoco，Trustwave SpiderLabs的高级副总裁，感谢他对ModSecurity项目的支持及指派我为该项目的负责人。我非常荣幸能与我那些聪明有趣的朋友们共事，但我无法完全列举他们的名字，但我还是必须提到Breno Silva Pinto。Breno是ModSecurity的主要开发者，我们共同在这个项目上投入了两年的时间，我经常被他的洞察力、独特见解及高超的Web安全技术能力所折服，如果没有Breno对ModSecurity的贡献，就不会有这本书。
　　同时我也要感谢两位ModSecurity社区成员，他们身上有着突出的开源社区精神。感谢Christian Bockermann开发了诸如AuditConsole等支持工具，感谢Josh Zlatin经常在邮件列表里对用户的帮助，及对OWASP ModSecurity CRS的贡献。
　　最后，我想特别感谢OWASP的成员：Tom Brennan、Jim Manico及Sarah Baso，感谢他们不知疲倦的工作精神及对OWASP的奉献。同时我要感谢Michael Coates启动了AppSensor项目，以及Colin Watson和John Melton对该项目功能的扩展。

计算机\安全

你的网站安全吗？当新的网站上线运营时，如何进行防护？当攻击者尝试入侵站点并偷取数据或进行其他有害的操作时，如何识别？本书针对这些问题给出了技术解决方案，通过阅读本书，读者将会提高与恶意行为进行对抗的能力。
本书给出的每一条网络安全策略都来自实践，在介绍策略时都会包括攻击的原理、防护所使用的技术以及详细的实施步骤。你将学习到如何为可能到来的攻击做准备，如何从网站的请求中识别恶意的行为，以及如何在应对攻击时做出最恰当的响应等。

通过本书，你将学到：
? 如何记录完整的HTTP审计日志以应对安全事件响应需求。
? 如何通过虚拟补丁临时修复已发现的漏洞。
? 如何部署陷阱以识别出恶意的用户。
? 如何发觉用户进行了异常的操作。
? 如何分析判断用户上传的文件或内容是否包含病毒。
? 如何察觉网站泄露了敏感的用户资料或网站的技术信息。
? 针对不同的攻击如何响应。

网站防护人员可能是保护IT系统不被入侵的第一道防线，可能也是最后一道防线。事实上，大部分公司的网站防护人员都是网站防护的唯一一道防线，这道防线用于避免网站因数据失窃而上报纸头条。比上了报纸头条更糟糕的是，当网站遭受侵害时没有人（包括网站防护人员）发现。
　　当使用了Web 2.0 Ajax技术和HTML5技术的应用完成了整个软件开发流程并成功通过QA的测试时，第三方机构完成了渗透测试，管理人员已确认无安全异常，且发布上线之后，无论网站防护人员是否知悉或同意，都需要完全对网站的安全负责。没人可以保证网站没有漏洞且最终漏洞不会被发现。所以当应用上线后，网站防护人员的任务就是堵住不安全的点，识别出攻击并拦截，且找到漏洞并将其修复。
　　网站防护人员的重要性毋庸置疑。他们通常守护着数以百万用户的数据，保护线上交易的数百万，甚至数十亿美元的资产，以及企业的核心知识产权。需要明确的是，线上业务有许多黑客想要盗取的有价值资料。而且越大型的系统，越容易遭到黑客猛烈的攻击。
　　更具挑战的是，黑客可以自由选择攻击的时间，他们可以在任何时候发起攻击或停止攻击。而网站防护人员的工作时间是24×7×365，包括节假日、周末及休假的时间，即系统及防护人员都必须时刻准备着迎接攻击。
　　可以用Ernest Shackleton在为他的下一次南极科考招募成员时用的广告语来描述网站防护人员的工作：
　　这个工作充满挑战，低回报、酷寒环境、长时间的极夜、还有生命危险。我们期待认可这个工作并以完成任务为荣的人。
　　网站防护人员想要成功完成任务，必须意识到以下操作环境的关键点：
　　网站所处的环境通常与开发、测试环境甚至与发布环境不完全一致。这意味只有到了网站正式发布到线上，真正的安全问题及风险才会暴露出来。所以，网站防护人员必须思维敏捷，并且能够快速做出响应。
　　网站防护人员保护的网站通常不是他们开发的，对内部机制和控制知之甚少。而管理网站的人员可能不认可安全问题，且不太情愿尽快修复已发现的漏洞，基于业务的风险和损失的评估，修复可能需要一个长期的操作流程。无论情况如何，网站防护人员必须能够识别攻击，拦截尽可能多的渗透，并修补漏洞。
　　应急响应与日常威胁处理都是网站防护人员的工作。由于软件一定是有漏洞的，都最终可能受到攻击，业务做得是否保密并不重要，重要的是网站防护人员不能太迟才发现攻击，也不能是最后一个被告知漏洞的人，因此识别攻击与应急响应时间是非常关键的。
　　由于处在防护的一线，网站防护人员一定要获取应用的大量风险点，以及知道为了拦截攻击者而必须做的安全准备工作。无论是与专注于开发更具弹性的系统的开发者沟通时，还是提醒安全审计团队在测试环境或者线上环境测试时哪些类型的漏洞需要特别注意，这些信息都非常重要。每个人都需要有用的数据，而网站防护人员必须拥有这些数据。
　　把这些防护技巧真正用上需要特别的技能与经验。通常，优秀的网站防护人员不是从产品的Readme文件或者FAQ中获取这些操作指导。这些知识以前都是通过面对面的交谈、博客文章或者邮件列表里的对话来获得的，它们分散在互联网各个角落，且难以汇集在一起形成有效的指导知识。而当你搜索这些知识的时候，你可能已经被黑了。这就是为什么你需要这本书。可以明确的是，基于Web的攻击者越来越活跃且越来越放肆，而且没有缓解的迹象。
　　唯有经验才能成就一名优秀的网站防护人员，且只能通过日复一日地在对抗的战场上学习各种策略与方法，才能获得这些经验。此类经验无法快速方便地积攒。但是，这些经验与教训也可以归档成文件并与他人分享。这就是Ryan Barnett在这本书所提供的——网站防护的策略。
　　我向所有网站防护人员推荐富有才干的Ryan，他声名卓著，是网站防护的开创者之一，他在Web安全领域中定义了防护者（defender）这个角色，他是我见过的最优秀的安全领域从业人员之一。祝大家好运！

　　　　Jeremiah Grossman
　　　　WhiteHat Security, Inc.首席技术官

（美）Ryan C. Barnett　著：Ryan Barnett 全球顶尖安全技术专家，就职于美国Trustwave's SpiderLabs Team，该公司专注于渗透测试、网络安全应急响应、Web应用安全防护等。他是ModSecurity Web 应用防火墙项目管理者，SANS Institue认证顾问，经常在安全领域技术会议上发表演讲。

许鑫城　译：暂无简介

在得知机械工业出版社引进本书时，我非常欣喜。当前Web安全形势严峻，大公司有自己的安全团队处理相关的安全事件，并构建自己的安全防御体系，而更多的中小站点是没有这样的能力的。本书主要介绍漏洞防护相关原理，及如何使用开源Web应用防火墙软件ModSecurity进行网站安全防护，提高站点安全性。传统的硬件WAF盒子等第三方防护方案是选择之一，而开源的防火墙软件ModSecurity的出现则使中小站点构建自己的安全防护体系成为可能。本书可作为ModSecurity的实践手册，指导防护系统的部署。而对于安全从业人员或初学者来说，本书介绍了多种防护策略，可以扩充相关思路。
　　在此感谢lpx的默默支持，感谢我的leader jima及团队成员对我安全知识的指导，在此还要感谢机械工业出版社编辑的支持使本书得以出版。译者非专业翻译人士，书中谬误，祈请见谅，期待反馈。
　　最后简单介绍我们团队，腾讯安全平台部致力于黑客对抗与打击盗号等，主要工作包括但不限于Web安全漏洞发现与防护、DDoS安全防护、入侵检测、保护终端安全等，网址是http://security.tencent.com，欢迎交流，共同提高。

译者序
序　言
前　言
作者简介
第一部分　准备战场
第1章　网站驻防　6
策略1-1：实时网站请求分析　6
策略1-2：使用加密的哈希值来避免数据篡改　13
策略1-3：安装OWASP的ModSecurity核心规则集（CRS）　17
策略1-4：集成入侵检测系统的特征　29
策略1-5：使用贝叶斯分析方法检测攻击数据　33
策略1-6：打开全量HTTP审计日志　42
策略1-7：只记录有意义的请求　45
策略1-8：忽略静态资源的请求　46
策略1-9：在日志中屏蔽敏感数据　47
策略1-10：使用Syslog把告警发送到中央日志服务器　50
策略1-11：使用ModSecurity AuditConsole　53
第2章　漏洞检测与修复　57
策略2-1：被动地识别漏洞　59
策略2-2：主动地识别漏洞　67
策略2-3：手动转换漏洞扫描结果　75
策略2-4：扫描结果自动转换　79
策略2-5：实时资源评估与虚拟补丁修复　86
第3章　给黑客的陷阱　100
策略3-1：添加蜜罐端口　101
策略3-2：添加假的robots.txt的Disallow条目　102
策略3-3：添加假的HTML注释　107
策略3-4：添加假的表单隐藏字段　111
策略3-5：添加假的cookie　114
第二部分　非对称战争
第4章　信用度与第三方信息关联　121
策略4-1：分析用户的地理位置信息　123
策略4-2：识别使用了代理的可疑客户端　128
策略4-3：使用实时黑名单查找（RBL）　131
策略4-4：运行自己的RBL　137
策略4-5：检测恶意的链接　140
第5章　请求数据分析　148
策略5-1：访问请求体的内容　148
策略5-2：识别畸形请求体　154
策略5-3：规范化Unicode编码　158
策略5-4：识别是否进行多次编码　161
策略5-5：识别编码异常　164
策略5-6：检测异常的请求方法　168
策略5-7：检测非法的URI数据　172
策略5-8：检测异常的请求头部　174
策略5-9：检测多余的参数　183
策略5-10：检测缺失的参数　185
策略5-11：检测重复的参数名　187
策略5-12：检测异常的参数长度　189
策略5-13：检测异常的参数字符集　193
第6章　响应数据分析　196
策略6-1：检测异常的响应头部　196
策略6-2：检测响应头部的信息泄漏　206
策略6-3：访问响应体内容　209
策略6-4：检测变更的页面标题　211
策略6-5：检测响应页面大小偏差　214
策略6-6：检测动态内容变更　216
策略6-7：检测源代码泄漏　219
策略6-8：检测技术数据泄漏　223
策略6-9：检测异常的响应时延　226
策略6-10：检测是否有敏感用户数据泄漏　228
策略6-11：检测木马、后门及webshell的访问尝试　231
第7章　身份验证防护　234
策略7-1：检测是否提交了通用的或默认的用户名　235
策略7-2：检测是否提交了多个用户名　238
策略7-3：检测失败的身份验证尝试　240
策略7-4：检测高频率的身份验证尝试　242
策略7-5：规范化身份验证失败的提示信息　247
策略7-6：强制提高密码复杂度　250
策略7-7：把用户名和SessionID进行关联　253
第8章　防护会话状态　258
策略8-1：检测非法的cookie　258
策略8-2：检测cookie篡改　264
策略8-3：强制会话过期　268
策略8-4：检测客户端源位置在会话有效期内是否变更　273
策略8-5：检测在会话中浏览器标识是否变更　279
第9章　防止应用层攻击　288
策略9-1：阻断非ASCII字符的请求　288
策略9-2：防止路径遍历攻击　291
策略9-3：防止暴力浏览攻击　294
策略9-4：防止SQL注入攻击　296
策略9-5：防止远程文件包含（RFI）攻击　299
策略9-6：防止OS命令攻击　302
策略9-7：防止HTTP请求偷渡攻击　305
策略9-8：防止HTTP响应分割攻击　307
策略9-9：防止XML攻击　309
第10章　防止客户端攻击　315
策略10-1：实现内容安全策略（CSP）　315
策略10-2：防止跨站脚本（XSS）攻击　323
策略10-3：防止跨站请求伪造（CSRF）攻击　331
策略10-4：防止UI伪装（点击劫持）攻击　337
策略10-5：检测银行木马（浏览器中的木马）攻击　340
第11章　文件上传功能防护　345
策略11-1：检测文件大小　345
策略11-2：检测是否上传了大量文件　347
策略11-3：检测文件附件是否有恶意程序　348
第12章　限制访问速率及程序交互流程　352
策略12-1：检测高速的应用访问速率　352
策略12-2：检测请求/响应延迟攻击　361
策略12-3：识别异常的请求间隔时间　367
策略12-4：识别异常的请求流程　368
策略12-5：识别显著增加的资源使用　369
第三部分　战略反攻
第13章　被动的响应动作　375
策略13-1：追踪异常权值　375
策略13-2：陷阱与追踪审计日志　380
策略13-3：发送E-mail告警　381
策略13-4：使用请求头部标记来共享数据　389
第14章　主动的响应动作　394
策略14-1：跳转到错误页面　394
策略14-2：断开连接　398
策略14-3：阻断客户端的源地址　399
策略14-4：通过变更防护条件（DefCon）级别来限制地理位置访问　404
策略14-5：强制请求延迟　406
策略14-6：假装被成功攻破　412
策略14-7：把流量重定向到蜜罐　418
策略14-8：强制退出网站　420
策略14-9：临时限制账户访问　425
第15章　侵入式响应动作　428
策略15-1：JavaScript cookie测试　428
策略15-2：通过验证码测试来确认用户　430
策略15-3：通过BeEF来hook恶意用户　433