Web系統安全和滲透性測試基礎

《Web系統安全和滲透性測試基礎》是中國信息安全測評中心註冊信息安全專業人員(CISP)和註冊信息安全員(CISM)的正式教材，可作為高等院校信息安全類專業學生教材，亦可作為信息安全培訓教材和IT信息安全從業人員的參考書籍。

《Web系統安全和滲透性測試基礎》內容從淺入深，依次逐步展開。《Web系統安全和滲透性測試基礎》共分兩部分：第一部分是Web系統安全基礎，主要介紹了Web系統的基礎和Web系統安全的基礎；第二部分是Web系統滲透性測試基礎，主要講述了Web滲透測試的步驟、Web套用滲透性測試的框架以及如何撰寫Web滲透測試報告。另外，書中附錄部分介紹了一些常用的Web系統安全滲透性測試工具。

《Web系統安全和滲透性測試基礎》：信息化是當今世界發展的大趨勢，是推動經濟社會變革的重要力量。大力推進信息化，是覆蓋我國現代化建設全局的戰略舉措，是貫徹落實科學發展觀，全面建設小康社會、構建社會主義和諧社會和建設創新型國家的迫切需要和必然選擇。如何以信息化提升綜合國力，如何在信息化快速發展的同時確保國家信息安全，這已經成為各國政府關心的熱點問題。信息安全已經從國家政治、經濟、軍事、文化等領域普及到社會團體、企業，直到普通百姓，信息安全成為信息化的最主要的基礎建設之一。

從當前形勢分析，信息安全教育工作滯後，信息安全人才極度匱乏，社會需求與人才供給間還存在著很大差距。如何培養信息安全的專業人才，這一新問題困擾著人們，是我國目前面臨的重要問題。

《國家信息安全培訓叢書》從根本出發，以求解決這一問題，推進信息安全人員培訓工作的順利開展。作者對於本套教材花費了大量的精力，力圖能描畫出信息安全保障的基礎性的概貌，是一套十分寶貴的信息安全專業人員培訓叢書。相信這套叢書的出版，能成為我國培養信息安全專業人員的重要基石。

第一部分 Web系統安全基礎

第1章 Web系統基礎

1．1 Web概述

1．1．1 URL

1．1．2 超文本和超媒體

1．2 Web系統的結構和組成

1．2．1 Web系統基本架構

1．2．2 Web工作原理

1．2．3 Web伺服器

1．2．4 Web瀏覽器

1．2．5 Web技術概覽

1．3 Web系統及相關技術介紹

1．3．1 HTTP

1．3．2 cookie

1．3．3 HTML

1．3．4 XML

1．3．5 SQL

1．3．6 動態網頁技術

1．3．7 Web服務

1．3．8 客戶端互動技術AJAX

1．3．9 Web2．0

..................

第2章 Web系統安全基礎

2.1 Web安全概述

2.2 Web系統面對的威脅及對策

2.2.1 對保密性的威脅及對策

2.2.2 對完整性的威脅及對策

2.2.3 對可用性的威脅及對策

2.2.4 對可追究性的威脅及對策

2.3 Web系統面對的威脅及對策(伺服器、客戶端、通信)

2.4 Web安全技術介紹

2.4.1 IPSEC

2.4.2 SST/TLS

2.4.3 SET協定

2.5 Web系統安全問題來源與預防措施分析

2.5.1 Web安全問題來源分析

2.5.2 Web安全問題預防措施

第二部分 Web系統滲透性測試基礎

第3章 滲透性測試介紹

3.1 滲透性測試概述

3.2 滲透性測試方法

3.2.1 階段Ⅰ：計畫和準備

3.2.2 階段Ⅱ：評估

3.2.3 階段Ⅲ：報告、清除和破壞測試過程產物

第4章 Web系統滲透性測試基礎

4.1 Web系統滲透性測試

4.1.1 Web應用程式滲透測試的概念

4.1.2 漏洞的概念

4.1.3 Web測試方法的概念

4.2 Web套用滲透性測試框架

4.3 偵查分析

4.3.1 收集信息

4.3.2 分析套用

4.4 輸入處理

4.4.1 數據有效性驗證測試

4.4.2 Web服務測試

4.4.3 AJAX測試

4.5 訪問處理

4.5.1 鑑別測試

4.5.2 會話管理測試

4.6 套用邏輯

4.6.1 業務邏輯

4.6.2 拒絕服務測試

第5章 撰寫測試報告

附錄：Web系統安全滲透性測試工具