Web套用防火牆技術及套用

本書全面介紹Web套用防火牆（WAF）技術及套用知識。全書共8章，主要內容包括Web系統安全概述、Web套用防火牆、HTTP校驗和訪問控制、Web防護、網頁防篡改、分散式拒絕服務攻擊防護、威脅情報中心和典型案例。每章最後都提供了相應的思考題。

本書由360企業安全集團針對高校網路空間安全專業的教學規劃組織編寫，既適合作為網路空間安全、信息安全等專業本科生相關專業基礎課程教材，也適合作為網路安全研究人員的基礎讀物。

第1章Web系統安全概述1

1.1Web系統安全現狀1

1.2Web網站系統結構3

1.2.1靜態網站3

1.2.2動態網站3

1.2.3Web伺服器5

1.3Web安全漏洞6

1.3.1套用系統安全漏洞6

1.3.2Web漏洞類型6

1.3.3Web系統安全技術8

1.4Web安全威脅前沿趨勢9

思考題11

第2章Web套用防火牆12

2.1WAF簡介12

2.2WAF的功能及特點12

2.2.1WAF的功能13

2.2.2WAF的特點13

2.2.3WAF產品性能指標14

2.3WAF部署16

2.3.1串聯防護部署模式16

2.3.2旁路防護部署模式18

2.4WAF防護原理19

2.4.1Web套用安全監測19

2.4.2雙重邊界20

2.4.3縱深防禦體系22

思考題23Web套用防火牆技術及套用第3章HTTP校驗和訪問控制24

3.1HTTP24

3.1.1HTTP簡介24

3.1.2統一資源定位符25

3.1.3HTTP請求25

3.1.4HTTP回響27

3.1.5HTTP訊息28

3.1.6Cookie30

3.2HTTP校驗31

3.3HTTP訪問控制32

思考題33

第4章Web防護34

4.1弱密碼34

4.1.1弱密碼攻擊34

4.1.2弱密碼檢測35

4.1.3弱密碼防範36

4.2SQL注入36

4.2.1SQL注入攻擊原理37

4.2.2SQL注入漏洞利用38

4.2.3SQL注入漏洞檢測40

4.2.4SQL注入漏洞防範42

4.3跨站腳本攻擊44

4.3.1XSS攻擊原理45

4.3.2XSS漏洞利用47

4.3.3XSS漏洞檢測48

4.3.4XSS防範49

4.4跨站請求偽造攻擊52

4.4.1CSRF攻擊原理52

4.4.2CSRF漏洞利用53

4.4.3CSRF漏洞檢測54

4.4.4CSRF漏洞防範55

4.5惡意流量攻擊57

4.5.1爬蟲攻擊分析57

4.5.2爬蟲攻擊防範62

4.5.3盜鏈攻擊分析64

4.5.4盜鏈攻擊防範66

4.6檔案上傳與下載攻擊67

4.6.1檔案上傳攻擊原理67

4.6.2檔案上傳攻擊防範69

4.6.3檔案下載攻擊原理70

4.6.4檔案下載攻擊防範72

4.7Web伺服器敏感信息泄露74

4.7.1敏感信息泄露原理74

4.7.2敏感信息泄露檢測78

4.7.3敏感信息泄露防範78

思考題80

第5章網頁防篡改82

5.1網頁篡改的原理82

5.2攻擊者常用的網頁篡改方法83

5.3網頁篡改防範技術85

5.3.1時間輪詢技術86

5.3.2核心內嵌技術86

5.3.3事件觸發技術87

5.3.43種網頁防篡改技術的對比88

5.3.5網頁防篡改系統90

思考題91

第6章分散式拒絕服務攻擊防護92

6.1DDoS攻擊原理92

6.2DDoS攻擊現象與特點94

6.3DDoS攻擊方式96

6.3.1攻擊網路頻寬資源96

6.3.2攻擊系統資源100

6.3.3攻擊套用資源103

6.4DDoS攻擊的防禦方法109

6.4.1DDoS攻擊的治理109

6.4.2DDoS攻擊的緩解114

思考題121

第7章威脅情報中心122

7.1威脅情報概述122

7.1.1威脅情報定義122

7.1.2威脅情報分類125

7.2威脅情報服務和威脅情報的用途126

7.3智慧Web套用防火牆128

思考題129

第8章典型案例130

8.1防數據泄露解決方案130

8.1.1背景及需求130

8.1.2解決方案及分析131

8.2防DDoS攻擊解決方案132

8.2.1背景及需求132

8.2.2解決方案及分析133

8.3防網頁篡改解決方案134

8.3.1背景及需求134

8.3.2解決方案及分析135

附錄AWAF技術英文縮略語136

參考文獻139