互联网 类型
7.4 豆瓣评分
可以朗读 语音朗读
428千字 字数
2016-09-01 发行日期
展开全部

主编推荐语

Web应用防火墙技术超级专家实战经验总结,阿里巴巴一线技术高手精准演绎,用HTTPS加密网页,让用户数据通信更安全。

内容简介

本书是集理论、协议细节、漏洞分析、部署建议于一体的详尽Web应用安全指南。书中具体内容包括:协议各层的漏洞,涵盖实现细节,HTTP和浏览器问题,协议漏洞;最新的攻击形式,如BEAST、CRIME、BREACH、Lucky 13等;详尽的部署建议;如何使用OpenSSL生成密钥和确认信息;如何使用Apache httpd、IIS、Nginx等进行安全配置。

目录

  • 版权信息
  • 版权声明
  • 前言
  • 第1章 SSL、TLS和密码学
  • 1.1 传输层安全
  • 1.2 网络层
  • 1.3 协议历史
  • 1.4 密码学
  • 第2章 协议
  • 2.1 记录协议
  • 2.2 握手协议
  • 2.3 密钥交换
  • 2.4 身份验证
  • 2.5 加密
  • 2.6 重新协商
  • 2.7 应用数据协议
  • 2.8 警报协议
  • 2.9 关闭连接
  • 2.10 密码操作
  • 2.11 密码套件
  • 2.12 扩展
  • 2.13 协议限制
  • 2.14 协议版本间的差异
  • 第3章 公钥基础设施
  • 3.1 互联网公钥基础设施
  • 3.2 标准
  • 3.3 证书
  • 3.4 证书链
  • 3.5 信赖方
  • 3.6 证书颁发机构
  • 3.7 证书生命周期
  • 3.8 吊销
  • 3.9 弱点
  • 3.10 根密钥泄露
  • 3.11 生态系统评估
  • 3.12 进步
  • 第4章 攻击PKI
  • 4.1 VeriSign签发的Microsoft代码签名证书
  • 4.2 Thawte签发的login.live.com
  • 4.3 StartCom违规(2008)
  • 4.4 CertStar(Comodo)签发的Mozilla证书
  • 4.5 伪造的RapidSSL CA证书
  • 4.6 Comodo代理商违规
  • 4.7 StartCom违规(2011)
  • 4.8 DigiNotar
  • 4.9 DigiCert Sdn. Bhd.
  • 4.10 火焰病毒
  • 4.11 TURKTRUST
  • 4.12 ANSSI
  • 4.13 印度国家信息中心
  • 4.14 广泛存在的SSL窃听
  • 4.15 CNNIC
  • 第5章 HTTP和浏览器问题
  • 5.1 sidejacking
  • 5.2 Cookie窃取
  • 5.3 Cookie篡改
  • 5.4 SSL剥离
  • 5.5 中间人攻击证书
  • 5.6 证书警告
  • 5.7 安全指示标志
  • 5.8 混合内容
  • 5.9 扩展验证证书
  • 5.10 证书吊销
  • 第6章 实现问题
  • 6.1 证书校验缺陷
  • 6.2 随机数生成
  • 6.3 心脏出血
  • 6.4 FREAK
  • 6.5 Logjam
  • 6.6 协议降级攻击
  • 6.7 截断攻击
  • 6.8 部署上的弱点
  • 第7章 协议攻击
  • 7.1 不安全重新协商
  • 7.2 BEAST
  • 7.3 压缩旁路攻击
  • 7.4 Lucky 13
  • 7.5 RC4缺陷
  • 7.6 三次握手攻击
  • 7.7 POODLE
  • 7.8 Bullrun
  • 第8章 部署
  • 8.1 密钥
  • 8.2 证书
  • 8.3 协议配置
  • 8.4 密码套件配置
  • 8.5 服务器配置和架构
  • 8.6 问题缓解方法
  • 8.7 钉扎
  • 8.8 HTTP
  • 第9章 性能优化
  • 9.1 延迟和连接管理
  • 9.2 TLS协议优化
  • 9.3 拒绝服务攻击
  • 第10章 HTTP严格传输安全、内容安全策略和钉扎
  • 10.1 HTTP严格传输安全
  • 10.2 内容安全策略
  • 10.3 钉扎
  • 第11章 OpenSSL
  • 11.1 入门
  • 11.2 密钥和证书管理
  • 11.3 配置
  • 11.4 创建私有证书颁发机构
  • 第12章 使用OpenSSL进行测试
  • 12.1 连接SSL服务
  • 12.2 测试升级到SSL的协议
  • 12.3 使用不同的握手格式
  • 12.4 提取远程证书
  • 12.5 测试支持的协议
  • 12.6 测试支持的密码套件
  • 12.7 测试要求包含SNI的服务器
  • 12.8 测试会话复用
  • 12.9 检查OCSP吊销状态
  • 12.10 测试OCSP stapling
  • 12.11 检查CRL吊销状态
  • 12.12 测试重新协商
  • 12.13 测试BEAST漏洞
  • 12.14 测试心脏出血
  • 12.15 确定Diffie-Hellman参数的强度
  • 第13章 配置Apache
  • 13.1 安装静态编译OpenSSL的Apache
  • 13.2 启用TLS
  • 13.3 配置TLS协议
  • 13.4 配置密钥和证书
  • 13.5 配置多个密钥
  • 13.6 通配符和多站点证书
  • 13.7 虚拟安全托管
  • 13.8 为错误消息保留默认站点
  • 13.9 前向保密
  • 13.10 OCSP stapling
  • 13.11 配置临时的DH密钥交换
  • 13.12 TLS会话管理
  • 13.13 客户端身份验证
  • 13.14 缓解协议问题
  • 13.15 部署HTTP严格传输安全
  • 13.16 监视会话缓存状态
  • 13.17 记录协商的TLS参数
  • 13.18 使用mod_sslhaf的高级日志记录
  • 第14章 配置Java和Tomcat
  • 14.1 Java加密组件
  • 14.2 Tomcat
  • 第15章 配置Microsoft Windows和IIS
  • 15.1 Schannel
  • 15.2 Microsoft根证书计划
  • 15.3 配置
  • 15.4 保护ASP.NET网站应用的安全
  • 15.5 Internet信息服务
  • 第16章 配置Nginx
  • 16.1 以静态链接OpenSSL方式安装Nginx
  • 16.2 启用TLS
  • 16.3 配置TLS协议
  • 16.4 配置密钥和证书
  • 16.5 配置多密钥
  • 16.6 通配符证书和多站点证书
  • 16.7 虚拟安全托管
  • 16.8 默认站点返回错误消息
  • 16.9 前向保密
  • 16.10 OCSP stapling
  • 16.11 配置临时DH密钥交换
  • 16.12 配置临时ECDH密钥交换
  • 16.13 TLS会话管理
  • 16.14 客户端身份验证
  • 16.15 缓解协议问题
  • 16.16 部署HTTP严格传输安全
  • 16.17 TLS缓冲区调优
  • 16.18 日志记录
  • 第17章 总结
  • 看完了
展开全部

评分及书评

评分不足
2个评分
  • 用户头像
    给这本书评了
    5.0

    本书内容全面覆盖了 HTTP Web 应用,但几乎没有提及其他协议。这主要是因为浏览器。浏览器已经成为最流行的应用分发平台,而 HTTP 在浏览器上运用加密的方法非常特殊,带来了很多问题。因此本书才花了非常多的篇幅讲 HTTP。事实上,除了有关 HTTP 的章节,全书仍有三分之二的内容提供了可以应用到任何使用 TLS 协议的一般性指导。关于 OpenSSLJava Microsoft 的几章分别为相应的平台提供了协议的一般信息。

      转发
      评论
      用户头像
      给这本书评了
      3.0
      一看就是学者写的

      面面俱到,又像蜻蜓点水

        转发
        评论

      出版方

      人民邮电出版社·图灵出品

      图灵社区成立于2005年6月,由人民邮电出版社投资控股,以策划出版高质量的科技书籍为核心业务,主要出版领域包括计算机、电子电气、数学统计、科普等,通过引进国际高水平的教材、专著,以及发掘国内优秀原创作品等途径,为目标读者提供一流的内容。