Web漏洞防護

第 1 章 使用工具介紹 1
1．1　WebGoat　1
1．2　ESAPI　5
1．3　Apache Shiro　8
1．3．1　Apache Shiro 的特徵　8
1．3．2　Apache Shiro 的核心概念　9
1．3．3　與Spring 集成　12
1．4　Spring Security　15
1．5　OWASP Top 10　17

第 2 章 SQL 注入防護　19
2．1　SQL 注入介紹　19
2．2　SQL 注入分類　20
2．2．1　按參數類型分類　20
2．2．2　按注入位置分類　20
2．2．3　按結果回饋分類　20
2．2．4　其他類型　21
2．3　實例講解　21
2．3．1　字元型注入　22
2．3．2　數字型注入　22
2．3．3　聯集查詢注入及堆查詢注入　23
2．3．4　盲注入　24
2．4　檢測SQL 注入　25
2．5　防護方案　26
2．5．1　漏洞實例　27
2．5．2　預編譯與參數綁定　28
2．5．3　白名單驗證　29
2．5．4　輸入編碼　30
2．5．5　MyBatis 安全使用　32
2．6　小結．　33

第 3 章 其他注入防護　34
3．1　命令注入防護　34
3．2　XML 注入防護　34
3．3　XPATH 注入防護　38
3．4　LDAP 注入防護　39
3．5　JPA 注入防護　40
3．6　小結　43

第 4 章 認證防護　44
4．1　認證缺陷　44
4．2　認證防護　44
4．2．1　用戶名及密碼設置　45
4．2．2　忘記密碼　46
4．2．3　憑證存儲　47
4．2．4　密碼失竊　48
4．2．5　其他安全防護　49
4．3　會話管理安全　50
4．3．1　會話ID 的屬性　51
4．3．2　會話管理的實現　52
4．3．3　Cookie　53
4．3．4　會話ID 的注意事項　54
4．3．5　會話過期　55
4．3．6　會話管理及其他用戶端防禦　57
4．3．7　會話攻擊檢測　58
4．3．8　會話管理的WAF 保護　59
4．4　防護工具　59
4．4．1　Argon2 密碼散列　59
4．4．2　Apache Shiro 認證　63
4．4．3　Apache Shiro 會話管理　65
4．5　小結　68

第 5 章 資料洩露防護　69
5．1　傳輸層安全防護　69
5．1．1　SSL/TLS 注意事項　70
5．1．2　其他注意事項　75
5．1．3　傳輸層安全檢測工具　75
5．2　資料加密存儲　77
5．2．1　密碼學簡史　78
5．2．2　加密模式及填充模式　83
5．2．3　雜湊函數及資料完整性保護　88
5．2．4　加解密使用規範　90
5．3　安全資料共用　104
5．3．1　資料倉庫的構建　104
5．3．2　資料倉庫的保護　105
5．3．3　資料倉庫的管理　106
5．4　小結　106

第 6 章 XXE 防護　107
6．1　XML 介紹　107
6．2　XXE 攻擊方式及實例介紹　109
6．2．1　內部XXE 實例　110
6．2．2　外部XXE 實例　111
6．3　檢測XXE　112
6．4　XXE 防護　113
6．4．1　DOM　113
6．4．2　SAX　116
6．4．3　其他　117
6．5　小結　117

第 7 章 存取控制防護　118
7．1　存取控制的分類　118
7．2　常見問題　119
7．2．1　不安全物件的直接引用　119
7．2．2　功能級存取控制缺失　120
7．2．3　跨域資源分享的錯誤配置　121
7．3　工具防護　123
7．3．1　Apache Shiro 存取控制　123
7．3．2　ESAPI 隨機化對象引用　126
7．3．3　Spring Security CORS 配置　127
7．4　小結　128

第 8 章 安全配置　129

第 9 章 XSS 防護　131
9．1　XSS 分類　131
9．1．1　反射型XSS　132
9．1．2　DOM 型XSS　134
9．1．3　存儲型XSS　136
9．1．4　其他分類　137
9．2　檢測XSS　138
9．3　XSS 防護方法　139
9．3．1　反射型XSS 和存儲型XSS 的防護　140
9．3．2　DOM 型XSS 防護　143
9．4　防護工具　144
9．4．1　OWASP Java Encoder　144
9．4．2　OWASP Java HTML Sanitizer　149
9．4．3　AnjularJS SCE　158
9．4．4　ESAPI4JS　160
9．4．5　jQuery Encoder　164
9．5　小結　167

第 10 章 反序列化漏洞防護　168
10．1　Java 的序列化與反序列化　168
10．1．1　序列化　168
10．1．2　反序列化　169
10．1．3　自訂序列化與反序列化　170
10．1．4　Java 反序列化漏洞　171
10．1．5　其他反序列化漏洞　175
10．2　檢測反序列化漏洞　178
10．3　反序列化漏洞的防護　179
10．4　防護工具　180
10．4．1　自訂工具　180
10．4．2　SerialKiller　181
10．4．3　contra-rO0　183
10．5　小結　185

第 11 章 元件缺陷的檢測　186
11．1　潛在缺陷　186
11．2　檢測缺陷元件　186
11．2．1　Retire．js　187
11．2．2　OWASP Dependency Check　190
11．2．3　Sonatype AHC　193
11．3　小結　196

第 12 章 跨網站請求偽造防護　197
12．1　CSRF 分類　197
12．1．1　GET 型CSRF　197
12．1．2　POST 型CSRF　198
12．1．3　CSRF 實例　198
12．1．4　CSRF 結合XSS　200
12．2　檢測CSRF　202
12．3　CSRF 防護　202
12．3．1　不完全的防護方式　203
12．3．2　正確的防護方式　204
12．4　防護工具　209
12．4．1　自訂防護工具　210
12．4．2　Spring Security 防護CSRF　215
12．4．3　前後端分離　216
12．5　小結　217

第 13 章 輸入驗證　218
13．1　輸入驗證的方式　218
13．2　ESAPI 輸入驗證　218

第 14 章 HTTP 安全回應頭　222
14．1　安全回應頭介紹　222
14．1．1　HSTS　222
14．1．2　HPKP　223
14．1．3　X-Frame-Options　223
14．1．4　X-XSS-Protection　224
14．1．5　X-Content-Type-Options　224
14．1．6　Content-Security-Policy　224
14．1．7　Referrer-Policy　226
14．1．8　Expect-CT　226
14．1．9　X-Permitted-Cross-Domain-Policies　226
14．1．10　Cache-Control　228
14．2　HTTP 安全頭檢測　228
14．2．1　命令列檢測工具　228
14．2．2　線上檢測工具　229
14．2．3　外掛程式檢測工具　230
14．3　安全回應頭設置建議　231
14．3．1　知名網站實例　231
14．3．2　設置建議　233
14．4　配置安全回應頭　233
14．4．1　Spring Security 統一配置　233
14．4．2　http_hardening 配置安全回應頭　237
14．4．3　伺服器設定檔配置安全回應頭　238
14．5　小結　238

第 15 章 WAF 防護　239
15．1　ModSecurity　239
15．1．1　編譯與導入　240
15．1．2　配置ModSecurity　241
15．1．3　ModSecurity 測試　244
15．2　規則解析　245
15．2．1　指令　246
15．2．2　處理階段　247
15．2．3　變數　247
15．2．4　轉換函數　249
15．2．5　行為　250
15．2．6　操作符　253
15．3　OWASP ModSecurity CRS　255
15．3．1　CRS 導入　255
15．3．2　CRS 規則檔　257
15．4　防護測試　259
15．4．1　DVWA 環境搭建　259
15．4．2　SQL 注入測試　261
15．4．3　命令注入測試　264
15．4．4　XSS 測試　267
15．4．5　檔包含測試　272
15．4．6　檔上傳測試　274
15．5　小結　277
參考文獻　278