在网络技术和电子商务飞速发展的今天,Web应用安全面临着前所未有的挑战。本书凝聚了作者们超过30年的Web安全从业经验,详细剖析了Web应用的安全漏洞,攻击手法和对抗措施,一步步地教授如何防御邪恶的攻击,并协助读者理解黑客的思考过程。本书共分为13章。每一章描述一个“黑客大曝光”Web应用攻击方法学的方面。主要内容包括:Web应用攻击的基础知识和剖析,攻击Web平台,攻击Web认证、授权、输入,攻击Web数据存储,攻击XML Web服务,攻击Web应用管理,攻击Web客户端,拒绝服务攻击,充分认知分析,Web应用安全扫描器。本书全面地介绍了Web应用渗透测试的各个方面。可供网络安全技术开发人员、管理者、爱好者参考。
“本书对于寻求进入Web应用安全世界、有抱负的工程师,以及紧跟最新技术发展、成熟的应用安全和渗透测试专家来说,都是值得一读的。”
—Chad Greene,eBay全球信息安全主管
世界知名专家精心打造,最新Web应用攻击及对策
在网络技术和电子商务飞速发展的今天,Web应用安全面临着前所未有的挑战。所有安全技术人员有必要掌握当今黑客们的武器和思维过程,保护Web应用免遭恶意攻击。本书由美国公认的安全专家和精神领袖打造,对上一版做了完全的更新,覆盖新的网络渗透方法和对策,介绍如何增强验证和授权、弥补Firefox和IE中的漏洞、加强对注入攻击的防御以及加固Web 2.0安全,还介绍了如何将安全技术整合在Web开发以及更广泛的企业信息系统中。
主要内容:
● 黑客足迹跟踪、扫描和剖析工具,包括SHODAN、Maltego和OWASP DirBuster
● 流行平台(如Sun Java System Web Server和Oracle WebLogic)上新的漏洞攻击
● 攻击者如何挫败常用的Web验证技术
● 实际的会话攻击泄露敏感数据的方法,以及加固应用的途径
● 当今黑客使用的最具毁灭性的方法,包括SQL注入、XSS、XSRF、网络钓鱼和XML注入技术
● 寻找和修复ASP.NET、PHP和J2EE执行环境中的漏洞
● 安全部署XML、社交网络、云计算和Web 2.0服务
● 防御RIA、 Ajax、 UGC和基于浏览器的客户端漏洞利用
● 实现可伸缩的威胁建模、代码评审、应用扫描、模糊测试和安全测试规程
早在1999年,本书第1版就向读者介绍了计算机网络和系统多么容易闯入。尽管今天还有许多人没有意识到这个事实,但是很多人正在开始理解防火墙、安全操作系统配置、软件供应商补丁维护和许多其他以前觉得很神秘的信息系统安全的基础知识。
遗憾的是,互联网所带来的快速发展已经把“球门柱”推向了前场。防火墙、操作系统安全性和最新的补丁都可能被简单的Web攻击所绕过。尽管那些要素仍然是所有安全架构中的关键部件,但是对于越来越频繁而且不断成熟的新一代攻击来说明显无能为力。
这不是我的一家之言。Gartner集团指出,75%的网络攻击都在Web应用级别,而在300个经过审核的网站中,97%的网站都容易受到攻击。2009年秋季的WhiteHat网站安全统计报告称,83%的网站至少有一个严重的漏洞,64%的网站目前至少有一个漏洞,而漏洞解决率仅为61%,余留了8902个未解决的问题(样本大小:1364个网站)。毁灭性攻击的新闻现在已经很常见:身份盗窃资源中心(Identity Theft Resource Center,ITRC)称,在2010年上半年,至少有301个安全性缺口导致了超过820万份身份记录曝光。估计因为安全性缺口所引起的敏感数字记录侵害总数还会再攀新高:Verizon Business 2010数据破坏调查报告中称,6年来,仅查看900余种缺口样本就有超过9亿条记录受到侵害。
我们不能停止互联网商务的脚步,关上大门。我们除了划定一条底线,并保卫信息空间中无数的组织和个人所划定的阵地之外,别无选择。对于已经组建了最基本的网站的人来说,这是一个令人畏惧的任务。面对现有协议如HTTP的安全局限性,以及技术挑战(包括XML Web服务、AJAX、RSS、移动应用以及用户生成内容等)不断加速的脚步,设计和实现一个安全的Web应用可能成为一个戈尔地雅斯难结。
面对Web应用安全挑战
本书为你展示如何使用书中提出的双管齐下的方法来应对这一挑战。
首先,我们把Web应用将要面对的最大威胁分类,并且非常详细地解释它们的工作原理。我们是如何知道这些最大的威胁的?因为我们受雇于世界上最大的公司,进入它们的Web应用,每天使用基于这些威胁的攻击来开展工作。我们几人做这项工作的时间加起来已经超过30年,我们研究最新出现的攻击,开发自己的工具和技术,并且将它们组合成为最有效方法,用于渗透现有的Web应用安全。
在你注意到我们展示的这些危险之后,我们告诉你如何避免所有这些攻击。在不理解本书中的信息的情况下开发Web应用,等同于开车时不系安全带,还开上光滑的路面,穿过大裂谷,没有刹车,并且把油门踩到最大。
本书的组织结构
本书由多个章节组成,每个章节描述攻击方法论的一个方面。这种结构组成了本书的主干,因为如果没有一种方法论,那么本书就仅仅是一堆没有上下文和意义的信息。以下是本书章节内容。
第1章 Web应用入侵基础。这一章中,我们广泛地概述了Web应用入侵攻击和技术,同时展示了具体的实例。系上你的安全带,因为我们就要离开堪萨斯了。
第2章 剖析。任何方法论的第一步往往是最重要的,剖析也不例外。该章讲解了作为攻击Web应用及其相关基础设施前奏的侦查过程。
第3章 Web平台入侵。如果建立在充满安全漏洞的Web平台之上,那么没有一个应用能够安全,该章描述了大部分流行的Web平台包括IIS、Apache、 PHP和ASP.NET的攻击、检测躲避技术及其对策。
第4章 攻击Web验证。该章介绍常见Web验证机制的攻击和对策,包括基于密码、多因素(例如CAPTCHA)以及Windows Live ID这样的在线验证服务。
第5章 攻击Web授权。了解通过高级会话分析、劫持和完成(Fixation)技术。
第6章 输入注入攻击。从跨站脚本到SQL注入,大部分Web攻击的实质是意外的应用输入。在该章中,我们回顾经典的恶意输入类别,从超长输入(像缓冲区溢出)到规范化攻击(像臭名昭著的dot-dot-slash),并且揭示应该始终加以怀疑的元字符(包括角括号、引号、单引号、双破折号、百分号、星号、下划线、换行、&、管道符号和分号),从入门级到高级的SQL注入工具和技术,以及隐蔽编码技术和输入验证/输出编码对策。
第7章 攻击XML Web服务。不要遗漏了SOAP,因为这一章将揭示如何通过包括WSDL暴露、输入注入、外部实体注入和XPath注入等技术发现和攻击Web服务漏洞。
第8章 攻击Web应用管理。如果前门上锁,就试试后门!该章揭示了大部分针对远程服务器管理、Web内容管理/授权、管理员错误配置以及开发者造成错误的常见Web应用管理攻击。
第9章 入侵Web客户端。你可知道,浏览器实际上是不安全的东西直接进入你家里和办公室的一个有效的途径?来一次最危险的Web浏览器攻击之旅,然后遵循我们提出的“获得更安全的互联网体验10大步骤”(以及本章列出的许多附加对策),在浏览的时候就能更轻松地呼吸。
第10章 企业Web应用安全计划。在该章中,我们短暂地告别零知识/黑盒分析,解释一种健壮的全知识/白盒Web应用安全评估方法学的优点,包括威胁建模、代码评审、动态Web应用扫描、安全测试以及将安全集成到整个Web应用开发生命期和IT运作中。该章是针对中大型企业的IT运作和开发人员,他们需要实施我们的Web应用评估方法从而得到伸缩性、一致性和可接受的投资回报。
最后,我们添加了有用的附录,这并不代表这些内容不重要,具体包括:“Web安全检查列表”和“Web 黑客工具和技术快速参考”。
模块性、组织和易读性
很显然,本书可以从头到尾阅读,来得到Web应用渗透测试的全面描述。但是,我们尽力使每章独立,这样可以逐个模块地消化本书,适合时间紧张的目标读者。
而且,我们严格地坚持清晰、易于理解和简练的写作风格,这是读者对本书的总体印象。我们知道读者很忙,需要直接地得到第一手资料,而不是大量的空话和无谓的行话。正如本书以前版本的读者们所评论的:“读起来像小说,如地狱般令人惊恐!”我们认为,从头到尾阅读和逐个章节阅读都能使你满意,本书的结构适合于任何一种阅读风格。
章节小结及参考与延伸阅读
本书每一章的结尾处都有两个特别部分:“小结”和“参考与延伸阅读”。
“小结”顾名思义,是本章中介绍的主要概念的摘要,以及对各种对策的强调。我们希望,如果你阅读了每章的小结,就能知道如何加固Web应用来对付任何形式的攻击。
每章的“参考与延伸阅读”部分包含了该章正文介绍的每个条目所需的URL、ISBN号码和其他信息,这些条目包含供应商安全通告和补丁、第三方建议、商业和免费工具、新闻中的Web 入侵事件以及关于正文的信息详细或者扩展读物。这样,如果你需要查找某些内容,可以翻到这一章的末尾去寻找。我们希望通过汇集附加的参考内容能够改进本书的整个阅读体验。
基本组成部分:攻击与对策
本书的基本组成部分是每一章所讨论的攻击和对策,因此我们使用了非常醒目的攻击与对策图标。
攻击图标
这个图标强调了各种攻击方法,使读者找到特定的渗透测试工具和方法很容易,并直接为你指出说服管理层投资新的安全倡议所需要的信息。
许多攻击附有危险等级,计分方法如下:
流行性:对活动目标的使用频度:1表示最罕见,10表示广泛使用。
难易度:执行这一攻击所需要的技能:10表示很少或者完全不需要技能,1表示成熟的安全编程人员。
影响力:成功执行这一攻击可能产生的破坏:1表示暴露目标的没有价值的信息,10表示超级用户账号侵入或者等价的破坏。
危险级:前三个值平均后向上取整得出总体危险等级。
伴随着每种或者每个系列的攻击,也有相应的对策,图标如下:
对策图标
这个标志应该会引起你对关键修复信息的注意。
其他辅助图标
我们还使用了很多视觉增强图标来突出显示那些经常被忽视的细节。
在线资源和工具
Web应用安全技术变化很快,我们承认书籍通常很难跟上这种急剧变化的研究领域。
因此,我们建立了一个网站,跟踪与本书讨论的主题相关的新信息、勘误表,以及书中介绍的公共工具、脚本和技术。网站地址为
http://www.webhackingexposed.com
网站还提供了论坛,可直接与作者通过以下邮件交流:
joel@webhackingexposed.com
我们希望读者在阅读本书各个章节时经常登录这个网站,查看更新的材料、获得我们提到的工具,并跟上Web安全技术的变化形势。否则,你永远无法在进行防御时预先得知哪些新的发展可能危及你的应用。
致读者的最后一段话
我们在本书中倾注了感情、才智和经验,我们真诚地希望所有的努力能为负责Web应用安全的读者节约大量的时间。我们认为你已经做出了一个有勇气和前瞻性的决策,希望在互联网上获得一席之地,但是,就像你将在本书中看到的那样,你的工作在网站启动的一刻才刚刚开始。不要惊慌,打开这本书,通过学习你会得到莫大的安慰:在下一个Web大灾难登上报纸头版时,你甚至连眼睛都不会眨一下。
计算机\安全
“本书对于寻求进入Web应用安全世界、有抱负的工程师,以及紧跟最新技术发展、成熟的应用安全和渗透测试专家来说,都是值得一读的。” ——Chad Greene,eBay全球信息安全主管
世界知名专家精心打造,最新Web应用攻击及对策
在网络技术和电子商务飞速发展的今天,Web应用安全面临着前所未有的挑战。所有安全技术人员有必要掌握当今黑客们的武器和思维过程,保护Web应用免遭恶意攻击。本书由美国公认的安全专家和精神领袖打造,对上一版做了完全的更新,覆盖新的网络渗透方法和对策,介绍如何增强验证和授权、弥补Firefox和IE中的漏洞、加强对注入攻击的防御以及加固Web 2.0安全,还介绍了如何将安全技术整合在Web开发以及更广泛的企业信息系统中。
主要内容:
• 黑客足迹跟踪、扫描和剖析工具,包括SHODAN、Maltego和OWASP DirBuster
• 流行平台(如Sun Java System Web Server和Oracle WebLogic)上新的漏洞攻击
• 攻击者如何挫败常用的Web验证技术
• 实际的会话攻击泄漏敏感数据的方法,以及加固应用的途径
• 当今黑客使用的最具毁灭性的方法,包括SQL注入、XSS、XSRF、网络钓鱼和XML注入技术
• 寻找和修复ASP.NET、PHP和J2EE执行环境中的漏洞
• 安全部署XML、社交网络、云计算和Web2.0服务
• 防御RIA、 Ajax、 UGC和基于浏览器的客户端漏洞利用
• 实现可伸缩的威胁建模、代码评审、应用扫描、模糊测试和安全测试规程
不知彼不知己,每战必败。
—孙武《孙子兵法》
今天的商业活动依靠Web生存是无法回避的事实。从银行到书店,从拍卖到游戏,大部分公司都在Web上进行交易。例如,美国接近50%的音乐零售业务发生在网上,2010年网络游戏中的虚拟交易市场将超过15亿美元。有人估计,美国成年人中超过45%的人专门使用互联网进行自己的银行业务。随着Web的智能手机的流行,现在大部分的网络商务活动对消费者来说在任何时间、任何地点都可以进行。不管如何估算,Web上的业务都是经济的重要组成部分,并且正在快速发展。但是这种增长也带来了令人不快的现实——这部分商务活动的安全并没有齐头并进。
在现实世界里,企业所有者数十年来都在面对和学习缓解威胁,他们必须应付强行闯入、盗窃、持械抢劫、伪钞、支票诈骗以及各种骗局。但是现实世界里,企业的业务边界是有限而容易定义的。在大部分情况下,威胁的种类也在合理的限度内。随着时间的推移,他们已经学会应用越来越成熟的方法、工具和保安措施来对付这些威胁。而在Web上,情况就大不相同了。
Web上的商务活动出现不足20年,在现实世界中积累的许多经验教训,在Web商务活动中才刚刚露出苗头。和现实世界中一样,只要有钱或者有价值的资产,总是会发现一些人为非作歹,企图利用这些资产。但是,电子商务和现实世界不同,企业面对令人眼花缭乱的技术和概念,大部分领导者都感觉这些技术和概念难以(甚至不可能)理解。除此之外,资产的边界常常没有得到很好的理解,潜在威胁可能横跨全球。虽然所有银行的高级主管对现实世界的安防都很在行,提高物理资产的访问管理,精细设计银行金库的安全性,钱柜里有染色包,大堂中加武装保安等,但是这些主管们常常困惑于跨站脚本、SQL注入等技术对企业的影响。在许多情况下,即使这些公司雇用的建站“专家”、开发人员几乎也不知道这些威胁对网站的危害程度、他们所编写代码的脆弱性,或者那些打算获得系统访问权的攻击者的距离。
在电子商务和网络犯罪不对等的战场上,一些专家全心全意地将有关安全威胁的知识传授给企业,加强开发人员建立抗攻击代码的意识,并且不断地研究攻击者所采用的频繁变化的策略和工具。本书的作者代表着这个群体中最有经验和知识的专家,这本书是他们分享知识和经验的最新努力。
不管你是期望理解企业威胁的公司领导,还是为网站编写代码的工程师,或是期望识别和缓解对应用造成威胁的安全工程师,本书都是你的武器库中有价值的武器。正如孙子告诉我们的,这本书能让你更清楚地认识自己和你的敌人,最后你将有能力减少企业的风险。
——Chris Peterson,2010年8月
Zynga Game Network应用安全高级主管 前Microsoft安全保障主管
(美)Joel Scambray;Vincent Liu;Caleb Sima 著:作者简介 Joel Scambray,CISSP、战略安全咨询服务供应商Consciere的共同创始人和CEO。他曾经在Microsoft、Foundstone、 Ernst & Young以及其他机构从事互联网安全评估和防御将近15年之久,是国际知名的演说家和多本安全书籍的作者。 Vincent Liu,CISSP、Stach & Liu的任事股东。他曾经领导Honeywell国际公司全球安全单位的攻击与渗透及逆向工程团队,曾经是Ernst & Young高级安全中心的顾问和美国国家安全局的分析师,曾经在Black Hat、ToorCon和 Microsoft BlueHat等业界会议上发表演说。 Caleb Sima,集成Web应用安全解决方案提供商Armorize Technologies的CEO。他创立了Web安全技术公司SPI Dynamic,也是Internet Security Systems/IBM精锐的X-Force团队的早期创新者,经常出席安全业界的重要会议,如RSA和Black Hat等。
姚军 等译:暂无简介
互联网确实是人类历史上伟大的发明之一,它彻底地改变了人们的生活,现在,可以毫不怀疑地说,人们日常生活的每个方面都已经和互联网息息相关。
那么,什么是互联网中最引人注目的部分呢?您一定能猜到,是各式各样的Web应用。Web应用可以说是IT界的骄傲,它们使现实世界中形形色色的业务都搬到了网络上,使人们可以足不出户地购物、娱乐、处理各种日常事务。在这一刻,IT人可以自豪地说:这么多年来,我们终于引领了业务,超越商业界创造了一种生产、销售、服务的新形式。
骄傲和危险总是相伴的,网络上巨大的商业机会也同样吸引着不法分子,既然可以在网络上从事各种商务活动,也就意味着,技术高超的黑客们不用荷枪实弹,就能洗劫一个商店,甚至偷走银行中的现金。使用电子商务的人不断激增,大部分人都不具备与黑客同样的技术背景,在与犯罪分子的斗争当中,人们已经落了下风。而搭建网上平台的企业,自然要承担起保护自身及客户财产和隐私安全的职责,企业的安全管理员们,肩上的责任也就更沉重了。
令人遗憾的是,近年来不断发展的平台技术,虽然在安全上有了巨大的进步,但是对于扩张如此迅速的Web应用所面对的越来越广泛的威胁仍然无能为力。网络架构本身的特点,决定了安全不再只是通过防火墙、防病毒软件和安全补丁就能完成的任务,而是涉及开发人员、安全管理人员以及整个企业的各个部门甚至网上所有客户的巨大项目,而黑客们所研究出来的各种攻击手段,则是五花八门,令人瞠目结舌。
和往常一样,《黑客大曝光》的作者们又一次走到了幕前,用他们在许多大型企业担当安全顾问的丰富经验,为我们呈现了安全工作中将要面对的各种威胁,丰富的实例解说、逼真的样板应用攻防,既让我们深深感受到黑客手段的可怕之处,又欣慰地看到,在开发和安全实施的很多时候,我们只要理解和运用书中所介绍的最佳实践,就能够很快地消除大部分的隐患,除了对各种威胁原理的详细解说之外,本书还为读者提供了一套十分好用的安全过程方法论,并且用实例讲解了如何将这些方法集成到Web应用产品生命期中,而这,正是安全工作者孜孜以求的。
这是我们第二次翻译《黑客大曝光》了,本书充实的内容使我们担心,因为自己的水平所限,不能百分之百地再现原作的精彩之处,我们为此倾注了很大心力,也真诚地向读者推荐这本书,希望它能成为你工作中的定海神针。
本书的翻译主要由姚军完成,徐锋、陈绍继、郑端、吴兰陟、施游、林起浪等人也为本书的翻译工作做出了贡献,在此也要感谢华章科技图书的编辑们对翻译工作提出的许多中肯意见,同时期待着广大读者朋友的批评指正。
对本书的赞誉
译者序
序言
前言
作者简介
致谢
第1章 Web应用入侵基础1
1.1 什么是Web应用入侵1
1.1.1 GUI Web入侵1
1.1.2 URI 入侵2
1.1.3 方法、首部和主体3
1.1.4 资源4
1.1.5 验证、会话和授权5
1.1.6 Web客户端与HTML5
1.1.7 其他协议6
1.2 为什么攻击Web应用7
1.3 谁、何时、何处8
1.4 Web应用是如何遭到攻击的9
1.4.1 Web浏览器9
1.4.2 浏览器扩展10
1.4.3 HTTP代理14
1.4.4 命令行工具19
1.4.5 较老的工具20
1.5 小结20
1.6 参考与延伸阅读20
第2章 剖析23
2.1 基础架构剖析23
2.1.1 足迹法和扫描:定义范围23
2.1.2 基本的标志获取24
2.1.3 高级HTTP指纹识别25
2.1.4 基础架构中介28
2.2 应用剖析34
2.2.1 手工检查34
2.2.2 剖析所用的搜索工具50
2.2.3 自动化的Web爬行55
2.2.4 常见Web应用剖析60
2.3 一般对策63
2.3.1 警告63
2.3.2 保护目录63
2.3.3 保护包含文件64
2.3.4 其他技巧64
2.4 小结65
2.5 参考与延伸阅读65
第3章 Web平台入侵67
3.1 用Metasploit进行点击攻击68
3.2 手工攻击70
3.3 逃避检测80
3.4 Web平台安全最佳实践82
3.4.1 通用的最佳实践82
3.4.2 IIS加固84
3.4.3 Apache加固87
3.4.4 PHP最佳实践90
3.5 小结91
3.6 参考与延伸阅读92
第4章 攻击Web验证94
4.1 Web验证威胁94
4.1.1 用户名/密码威胁94
4.1.2 (更)强的Web验证108
4.1.3 Web验证服务111
4.2 绕过验证114
4.2.1 令牌重放114
4.2.2 跨站请求伪造116
4.2.3 身份管理118
4.2.4 客户端借道法121
4.3 最后一些想法:身份盗窃122
4.4 小结122
4.5 参考与延伸阅读123
第5章 攻击Web授权126
5.1 授权指纹识别127
5.1.1 ACL爬行127
5.1.2 识别访问令牌128
5.1.3 分析会话令牌129
5.1.4 差异分析131
5.1.5 角色矩阵132
5.2 攻击ACL132
5.3 攻击令牌134
5.3.1 人工预测134
5.3.2 自动预测140
5.3.3 捕捉/重放145
5.3.4 会话完成146
5.4 授权攻击案例研究147
5.4.1 水平权限提升147
5.4.2 垂直权限提升151
5.4.3 差异分析153
5.4.4 当加密失败时155
5.4.5 使用cURL映射权限155
5.5 授权最佳实践158
5.5.1 Web ACL最佳实践158
5.5.2 Web授权/访问令牌安全161
5.5.3 安全日志163
5.6 小结163
5.7 参考与延伸阅读164
第6章 输入注入攻击166
6.1 预料到意外情况167
6.2 何处寻找攻击目标167
6.3 绕过客户端校验例程168
6.4 常见输入注入攻击169
6.4.1 缓冲区溢出169
6.4.2 规范化攻击170
6.4.3 HTML注入174
6.4.4 边界检查177
6.4.5 操纵应用行为178
6.4.6 SQL注入179
6.4.7 XPATH注入189
6.4.8 LDAP注入191
6.4.9 自定义参数注入192
6.4.10 日志注入193
6.4.11 命令执行193
6.4.12 编码误用195
6.4.13 PHP全局变量195
6.4.14 常见的副作用196
6.5 常见对策196
6.6 小结197
6.7 参考与延伸阅读198
第7章 攻击XML Web服务200
7.1 Web服务是什么200
7.1.1 传输:SOAP over HTTP201
7.1.2 WSDL204
7.1.3 目录服务:UDDI和DISCO205
7.1.4 与Web应用安全的相似性209
7.2 攻击Web服务209
7.3 Web服务安全基础216
7.4 小结219
7.5 参考与延伸阅读219
第8章 攻击Web应用管理221
8.1 远程服务器管理221
8.1.1 Telnet221
8.1.2 SSH222
8.1.3 专用管理端口222
8.1.4 其他管理服务223
8.2 Web内容管理224
8.2.1 FTP224
8.2.2 SSH/scp224
8.2.3 FrontPage225
8.2.4 WebDAV226
8.3 错误的配置231
8.3.1 不必要的Web服务器扩展232
8.3.2 引起信息泄露的错误配置234
8.3.3 状态管理的错误配置245
8.4 小结249
8.5 参考与延伸阅读250
第9章 入侵Web客户端251
9.1 漏洞利用251
9.2 骗术264
9.3 一般的对策269
9.3.1 低权限浏览269
9.3.2 Firefox安全扩展271
9.3.3 ActiveX对策271
9.3.4 服务器端对策273
9.4 小结274
9.5 参考与延伸阅读274
第10章 企业Web应用安全计划277
10.1 威胁建模277
10.1.1 澄清安全目标278
10.1.2 识别资产279
10.1.3 架构概要279
10.1.4 分解应用280
10.1.5 识别和记录威胁280
10.1.6 威胁排名282
10.1.7 开发威胁缓解策略283
10.2 代码评审284
10.2.1 人工源代码评审284
10.2.2 自动化源代码评审288
10.2.3 二进制分析288
10.3 Web应用代码安全测试296
10.3.1 模糊测试296
10.3.2 测试工具、实用程序和框架298
10.3.3 渗透测试298
10.4 Web开发过程中的安全299
10.4.1 人员299
10.4.2 过程301
10.4.3 技术303
10.5 小结305
10.6 参考与延伸阅读305
附录A Web安全检查列表308
附录B Web黑客工具和技术快速参考312
