《Web應用安全權威指南》繫日本Web安全第一人
德丸浩所創，是作者從業多年的經驗總結。作者首先
簡要介紹了Web應用的安全隱患以及產生原因，然後
詳細介紹了Web安全的基礎，如HTTP、會話管理、同
源策略等。此外還重點介紹了Web應用的各種安全隱
患，對其產生原理及對策進行了詳盡的講解。最後對
如何提高Web網站的安全性和開發安全的Web應用所需
要的管理進行了深入的探討。本書可操作性強，讀者
可以通過下載已搭建的虛擬機環境親自體驗書中的各
種安全隱患。
本書適合Web相關的開發人員特別是安全及測試
人員閱讀。

第1章 什麼是Web應用的安全隱患
1-1 安全隱患即“能用於作惡的Bug”
1-2 為什麼存在安全隱患會有問題
經濟損失
法律要求
對用戶造成不可逆的傷害
欺騙用戶
被用於構建僵尸網絡
1-3 產生安全隱患的原因
1-4 安全性Bug與安全性功能
1-5 本書的結構
第2章 搭建試驗環境
2-1 試驗環境概要
2-2 安裝VMware Player
什麼是VMware Player
下載VMware Player
安裝VMware Player
2-3 安裝虛擬機及運行確認
虛擬機啟動確認
虛擬機的使用方法
編輯hosts文件
使用ping確認連接
Apache與PHP的運行確認
設置並確認郵箱賬號
2-4 安裝Fiddler
什麼是Fiddler
安裝Fiddler
Fiddler的運行確認及簡單用法
參考：虛擬機的數據一覽
參考：如果法連接試驗環境的POP3服務器
第3章 Web安全基礎：、會話管理、同源策略
3-1 與會話管理
為什麼要學習
*簡單的
使用Fiddler觀察消息
請求消息
響應消息
狀態行
響應頭信息
如果將比喻為對話
輸入-確認-注冊模式
POST方法
消息體
百分號編碼
Referer
GET和POST的使用區別
hidden參數能夠被*改
將hidden參數的*改比作對話
hidden參數的優點
狀態的認證
體驗Basic認證
專欄 認證與授權
Cookie與會話管理
使用Cookie的會話管理
會話管理的擬人化解說
會話ID洩漏的原因
Cookie的屬性
專欄 Cookie Monster Bug
總結
3-2 被動攻擊與同源策略
主動攻擊與被動攻擊
主動攻擊
被動攻擊
惡意利用正規網站進行的被動攻擊
跨站被動攻擊
瀏覽器如何防御被動攻擊
……
第4章 Web應用的各種安全隱患
第5章 典型安全功能
第6章 字符編碼和安全
第7章 如何提高Web網站的安全性
第8章 開發安全的Web應用所需要的管理