第1章 綜述 1
1.1 為什麼需要進行Web應用漏洞掃描 1
1.1.1 Web應用安全現狀 1
1.1.2 Web應用攻擊形式 2
1.1.3 采用Web應用漏洞掃描技術的必要性 3
1.2 Web應用漏洞掃描技術發展歷程 5
1.2.1 漏洞檢測技術 5
1.2.2 Web應用漏洞檢測技術 6
第2章 Web繫統及安全掃描技術 10
2.1 Web繫統 10
2.1.1 Web的發展 10
2.1.2 Web繫統構成 11
2.1.3 Web應用架構 15
2.1.4 Web訪問方法 16
2.1.5 Web編程語言 20
2.1.6 Web數據庫訪問技術 24
2.1.7 Web服務器 27
2.2 HTTP協議 30
2.2.1 HTTP協議通信過程 31
2.2.2 統一資源定位符 32
2.2.3 HTTP的連接方式和無狀態性 33
2.2.4 HTTP請求報文 34
2.2.5 HTTP響應報文 37
2.2.6 HTTP報文結構彙總 39
2.2.7 HTTP會話管理 40
2.3 HTTPS協議 42
2.3.1 HTTPS和HTTP的主要區別 43
2.3.2 HTTPS通信過程 44
2.3.3 HTTPS的優點 44
2.3.4 HTTPS的缺點 45
2.4 Web應用漏洞的定義和分類 45
2.4.1 Web應用漏洞的定義 45
2.4.2 Web應用漏洞的分類 46
2.4.3 OWASP與WASC 49
2.4.4 Web應用漏洞產生的原因 51
2.5 Web應用漏洞掃描產品工作機制 51
2.6 掃描機制 55
2.6.1 被動模式 55
2.6.2 主動模式 62
2.7 爬蟲技術 65
2.8 漏洞檢測技術 68
2.8.1SQL注入漏洞分析 68
2.8.2跨站腳本攻擊漏洞分析 75
2.8.3CSRF漏洞分析 79
2.8.4任意文件下載漏洞分析 83
2.8.5文件包含漏洞分析 85
2.8.6網頁木馬分析 91
2.8.7邏輯漏洞分析 95
2.8.8暗鏈原理分析 98
2.9漏洞驗證與滲透測試 99
2.9.1SQL注入漏洞驗證與滲透測試 101
2.9.2跨站腳本漏洞驗證 104
2.9.3 CSRF漏洞驗證 105
2.10常見過濾繞過技術 105
2.11網頁內容檢測技術 107
2.11.1本地檢測技術 108
2.11.2遠程檢測技術 109
2.12 性能與效率 110
2.12.1爬蟲效率的提升 110
2.12.2檢測效率的提升 114
第3章 Web應用漏洞掃描產品標準介紹 115
3.1 如何評價Web應用漏洞掃描產品 115
3.2 行業標準編制情況概述 116
3.2.1 標準的主要內容 116
3.2.2 標準的主要條目解釋 119
3.3 國家標準編制情況概述 123
3.3.1 標準介紹 123
3.3.2 標準的主要內容 124
3.4 測試環境介紹 149
3.4.1 常見測試環境 149
3.4.2 WebGoat安裝部署 150
3.4.3 DVWA安裝部署 153
第4章 Web應用漏洞掃描產品的典型應用 155
4.1 應用場景一 155
4.1.1 背景及需求 155
4.1.2 應用案例 156
4.2 應用場景二 159
4.2.1 背景及需求 159
4.2.2 應用案例 159
4.3 應用場景三 161
4.3.1 背景及需求 161
4.3.2 解決方案分析 161
4.3.3 建設目標 162
4.3.4 繫統架構 163
第5章 Web應用漏洞掃描產品介紹 164
5.1 Acunetix Web Vulnerability Scanner 164
5.2 IBM Rational AppScan 165
5.3 明鋻Web應用弱點掃描器 165
5.4 綠盟Web應用漏洞掃描繫統 166
5.5 天融信Web掃描繫統 167
5.6 360網站漏洞掃描繫統 168
5.7 天泰Web安全監測繫統 169
5.8 更多產品 170
參考文獻 172