第零章 关于这本书
作者
上野 宣:OWASP日本分会主席,TRICORDER株式会社董事长。
出版社
人民邮电出版社
翻译
于均良:上海交大硕士,四点网创始人。
字数
22万
图数
172 张
首版
2014年5月
第一章 了解Web及网络基础
第二章 简单的TTP协议
第三章 HTTP报文内的HTTP信息
第四章 返回结果的HTTP状态码
第五章 与HTTP协作的Web服务器
第六章 HTTP首部
第七章 确保Web安全的HTTPS
第八章 确认访问用户身份的认证
当服务器的资源不是对所有人都公开时,就需要对访问资源的用户进行身份认证,只有认证通过了,才能访问资源。
BASIC(基本认证)
BASE64(用户名:密码)作为认证要素发送,由于是明文传输,通信协议应是HTTPS。
DIGEST(摘要认证)
流程同基本认证,只是浏览器发送给服务器的认证数据计算较为复杂,参见:RFC2617
SSL客户端证书认证(HTTPS认证)
注意:支付宝或者网银要求客户安装的数字证书,其实是浏览器的安全控件,与这里说的SSL证书没有关系。
数字证书一方面可以搜集安装机器的物理信息,另一方面对于敏感信息的输入框定制输入逻辑,可以屏蔽钩子程序通过键盘输入获取输入信息,并在通信时使用自定义的加解密算法对敏感数据进行加密。
表单认证(使用范围最广)
服务器提供认证页面(登录页面)要求客户输入凭证,输入信息在HTML页面的表单控件中,表单提交给服务器,服务器验证通过后才返回其访问的资源。