张晓梅、刘海峰、毛东军等编著的《Web应用系统安全设计和检测》一书从Web应用安全隐患的成因开始入手进行了详细剖析，并就软件开发生命周期中应关注的安全问题从产生和防护两方面分别作了全面阐述，在书的后半部分，又从Web安全检测者的角度出发，就如何对Web应用系统进行安全检测展开了详尽讨论，对从事Web信息系统的开发和集成的工程技术人员，以及从事Web应用安全检测的从业人员来讲都具有有益的指导和借鉴意义。

本丛书从电子政务的固有特点出发，结合编著单位丰富的实践经验，围绕电子政务信息安全保障的重点领域，介绍了信息安全的实用技术方法。

张晓梅、刘海峰、毛东军等编著的《Web应用系统安全设计和检测》为丛书的Web应用系统安全设计与检测分册，按照Web应用系统的生命周期详细阐述了Web应用系统的常见安全问题、安全设计与实验方法及检测技术，便于读者在项目实施过程中参考。

《Web应用系统安全设计和检测》可供各级政府以及安全服务机构、第三方测评机构从事信息化、网络与信息安全的管理和技术人员使用，也可供其他行业相关人员参考。

第1章 概述

 1.1 Web应用技术的发展

 1.2 Web应用安全形势

1.2.1 Web应用安全攻击的后果

1.2.2 Web应用安全问题

1.2.3 Web应用安全的特点

 1.3 Web应用安全防护

1.3.1 设计实现阶段

1.3.2 配置部署阶段

1.3.3 运行维护阶段

1.3.4 安全测评

第2章 Web应用安全隐患

 2.1 概述

2.1.1 Web应用系统安全隐患的成因

2.1.2 Web应用系统安全隐患研究现状

 2.2 Web应用程序设计安全隐患

2.2.1 用户访问处理安全隐患

2.2.2 用户输入验证安全隐患

2.2.3 文件系统管理安全隐患

2.2.4 代码编写安全隐患

 2.3 Web应用配置安全隐患

2.3.1 Web服务器的配置安全隐患

2.3.2 数据库管理系统的配置管理安全隐患

2.3.3 应用系统配置管理安全隐患

  2.4 Web应用系统平台安全隐患

2.4.1 Web服务器软件漏洞

2.4.2 数据库管理系统漏洞

2.4.3 第三方内容管理系统漏洞

第3章 设计安全的Web应用系统架构

 3.1 运行环境设计和部署

3.1.1 网络基础环境

3.1.2 主机系统安全

 3.2 应用系统设计、实现及配置

3.2.1 安全加固

3.2.2 设计实现

3.2.3 安全配置

第4章 设计Web应用系统的安全功能

 4.1 示例系统——办公自动化系统

4.1.1 系统背景

4.1.2 系统业务需求分析

4.1.3 系统业务功能设计

 4.2 安全的身份鉴别机制

4.2.1 安全目标

4.2.2 系统问题分析

4.2.3 可供选择的安全实现技术

4.2.4 身份鉴别安全功能设计

 4.3 安全的访问控制机制

4.3.1 安全目标

4.3.2 系统问题分析

4.3.3 访问控制安全功能设计

 4.4 安全的会话管理机制

4.4.1 安全目标

4.4.2 系统问题分析

4.4.3 示例系统的会话管理安全功能设计

 4.5 安全的审计管理机制

4.5.1 安全目标

4.5.2 系统问题分析

4.5.3 常见的第三方日志组件

4.5,4 安全审计功能设计

 4.6 安全的资源管理机制

4.6.1 安全目标

4.6.2 系统问题分析

4.6.3 资源管理功能设计

 4.7 安全的软件容错机制

4.7.1 安全目标

4.7.2 系统问题分析

4.7.3 软件容错安全功能详细设计

 4.8 安全的数据处理机制

4.8.1 安全目标

4.8.2 系统问题分析

4.8.3 数据处理安全功能设计

第5章 设计安全的源代码

 5.1 实现安全的输入输出处理机制

 5.2 实现安全的Web请求处理机制

 5.3 实现安全的文件系统源代码

 5.4 实现安全的数据库系统源代码

 5.5 实现安全的日志处理源代码

 5.6 实现安全的安全特性源代码

第6章 配置安全的Web应用系统

 6.1 配置安全的Web服务器

6.1.1 IIS的安全配置

6.1.2 Tomcat的安全配置

6.1.3 Apache的安全配置

6.1.4 WebSphere的安全配置

6.1.5 WebLogic的安全配置

 6.2 配置安全的数据库管理系统

6.2.1 通用安全配置

6.2.2 MySQL的安全配置

6.2.3 Microsoft SQL Server的安全配置

6.2.4 ORACLE的安全配置

 6.3 配置安全的应用系统

6.3.1 身份鉴别

6.3.2 访问控制

6.3.3 安全审计

6.3.4 资源管理

第7章 Web应用系统源代码安全审查

 7.1 概述

 7.2 源代码静态分析常见方法

 7.3 人工审查

7.3.1 代码检查方法简介

7.3.2 人工审查流程

 7.4 自动化审查

7.4.1 常见的源代码安全审查工具简介

7.4.2 借助自动化工具的审查流程

第8章 Web应用系统符合性检测

 8.1 Web应用系统安全功能符合性检测

8.1.1 身份鉴别

8.1.2 访问控制

8.1.3 安全审计

8.1.4 系统容错

8.1.5 资源管理

8.1.6 数据完整性

8.1.7 数据保密性

8.1.8 备份和恢复

 8.2 Web服务器配置安全符合性检测

8.2.1 IIS

8.2.2 Tomcat

8.2.3 Weblogic

8.2.4 Websphere

 8.3 Web应用系统数据库管理系统配置安全符合性检测

8.3.1 SQL Server数据库

8.3.2 Oracle数据库

第9章 Web应用系统渗透测试

 9.1 Web渗透测试概述

9.1.1 Web渗透测试的作用

9.1.2 Web渗透测试的流程

9.1.3 Web渗透测试工具

 9.2 信息挖掘与分析

9.2.1 Web应用程序信息分析

9.2.2 Web应用系统结构分析

 9.3 测试身份鉴别机制

9.3.1 测试鉴别凭据管理缺陷

9.3.2 测试验证码缺陷

 9.4 测试输入验证机制

9.4.1 测试跨站脚本漏洞

9.4.2 测试SQL注入漏洞

 9.5 测试文件操作漏洞

9.5.1 测试目录遍历漏洞

9.5.2 测试文件包含漏洞

9.5.3 测试文件上传漏洞

附录

附录1 Web应用系统程序设计常见安全缺陷列表

附录2 Web应用程序的安全检测表（节选）

附录3 Web安全检测常见工具

附录4 wASC WST、Cv2应用安全漏洞分类

参考文献