首先感谢Tse Ho同学的资源分享,大家给他来点掌声吧。。。。。。。
目的
本文档是为了让大家对各种web安全威胁的产生原因、常见攻击手段有更深入的了解,并且作为各种web安全威胁的修补方案标准,以便大家能够快速的定位漏洞代码和解除安全隐患。
目录
二零一零年… 1
阿里巴巴(Alibaba.com)… 1
目的… 2
使用范围… 2
适合读者… 2
版本控制… 2
分发控制… 2
第一章 页面展示… 5
Cross Site Script. 5
安全威胁… 6
代码示例… 6
攻击实例… 7
解决方案… 8
FLASH.. 10
安全威胁… 11
代码示例… 11
攻击实例… 11
解决方案… 12
Third-party script references. 15
安全威胁… 15
代码示例… 15
攻击方法… 16
解决方案… 16
第二章 伪装… 16
Cross-Site Request Forgery. 16
安全威胁… 16
代码示例… 16
攻击实例… 17
解决方案… 18
常见问题… 19
URL redirect. 19
安全威胁… 19
代码示例… 19
攻击方法… 19
解决方案… 21
第三章 注入… 21
SQL injection. 21
安全威胁… 22
代码示例… 22
攻击实例… 23
解决方案… 23
Code injection. 24
安全威胁… 24
代码示例… 24
攻击实例… 25
解决方案… 26
XML injection. 26
安全威胁… 26
代码示例… 26
攻击实例… 27
解决方案… 27
System command injection. 28
安全威胁… 28
代码示例… 28
攻击实例… 28
解决方案… 28
常见问题… 28
第四章 文件操作… 28
File upload. 28
名称定义… 28
代码示例… 28
攻击实例… 29
解决方案… 29
File download and Directory traversal 30
安全威胁… 30
代码示例… 30
攻击实例… 30
解决方案… 31
第五章 访问控制… 31
Vertical Access Control 31
名称定义… 31
代码示例… 31
攻击方法… 32
解决方案… 32
Horizontal Access Control 32
安全威胁… 32
代码示例… 32
攻击实例… 33
解决方案… 34
常见问题… 34
第六章 Session管理… 35
Cookie httponly flag. 35
安全威胁… 35
代码示例… 35
攻击实例… 35
解决方案… 35
常见问题… 35
Cookie Secure flag. 35
名称定义… 36
代码示例… 36
攻击方法… 36
解决方案… 36
Session Expires. 37
安全威胁… 37
代码示例… 37
攻击实例… 37
解决方案… 37
第七章 密码算法安全… 38
Insecure Pseudo randomness. 38
安全威胁… 38
代码示例… 38
攻击实例… 39
解决方案… 40
Insufficient Encryption Strength. 40
安全威胁… 40
代码示例… 40
攻击实例… 41
解决方案… 41
第八章 错误处理与日志… 42
Error Handling. 42
安全威胁… 42
代码示例… 42
攻击实例… 43
解决方案… 43
Logging. 44
记录日志… 44
日志存储… 44
日志字段… 44
第九章 Changelog. 45
第十章 相关链接… 45
下载链接: http://pan.baidu.com/s/1jGjytLG 密码: x2vk
狂点32个赞!!大神最近好东西真多呀~支持下!