面向Web应用的认证安全问题及解决方案研究
| 中文摘要 | 第1-4页 |
| ABSTRACT | 第4-8页 |
| 第一章 绪论 | 第8-14页 |
| ·研究背景 | 第8-9页 |
| ·国内外Web安全研究现状 | 第9-11页 |
| ·身份认证的提出 | 第11-13页 |
| ·身份认证 | 第11-12页 |
| ·身份认证分类 | 第12-13页 |
| ·论文主要工作及组织结构 | 第13-14页 |
| 第二章 认证漏洞攻击 | 第14-25页 |
| ·认证迂回 | 第14-15页 |
| ·SQL攻击 | 第14-15页 |
| ·路径遍历 | 第15页 |
| ·会话管理 | 第15-18页 |
| ·Session劫持 | 第16-17页 |
| ·Session猜测 | 第17页 |
| ·Session转账 | 第17-18页 |
| ·参数操作 | 第18-19页 |
| ·URL参数操作 | 第18页 |
| ·表单变量操作 | 第18-19页 |
| ·认证回放 | 第19-20页 |
| ·密码查询 | 第20-22页 |
| ·浏览器缓存中的密码发现 | 第20-21页 |
| ·内存中的密码查询 | 第21-22页 |
| ·钓鱼攻击 | 第22-23页 |
| ·拒绝服务 | 第23-24页 |
| ·拒绝服务攻击 | 第23-24页 |
| ·分布式拒绝服务攻击 | 第24页 |
| ·认证攻击的漏洞分析 | 第24-25页 |
| 第三章 程序级解决方案 | 第25-42页 |
| ·输入有效性处理 | 第25-33页 |
| ·SQL特殊字符 | 第25-26页 |
| ·URL特殊字符 | 第26-27页 |
| ·脚本特殊字符 | 第27-28页 |
| ·Shell命令过滤 | 第28页 |
| ·操作系统命令 | 第28-29页 |
| ·字符编码与UTF-8 | 第29-31页 |
| ·输入有效性处理实验 | 第31-33页 |
| ·输出有效性处理 | 第33-36页 |
| ·跨站脚本(XSS)处理 | 第33-35页 |
| ·异常输出处理 | 第35-36页 |
| ·强Session管理机制 | 第36-38页 |
| ·客户端的session状态 | 第36-37页 |
| ·表现层的session状态 | 第37页 |
| ·Session机制 | 第37-38页 |
| ·“POST”变量提交 | 第38-40页 |
| ·提交方式 | 第38-39页 |
| ·变量提交对比实验 | 第39-40页 |
| ·页面缓存清除 | 第40-42页 |
| 第四章 应用级解决方案 | 第42-56页 |
| ·用户名/密码 | 第42-43页 |
| ·数字证书 | 第43-47页 |
| ·数字证书结构 | 第43-44页 |
| ·基于数字证书实现身份认证 | 第44-47页 |
| ·OTP认证 | 第47-49页 |
| ·双因子认证 | 第49-56页 |
| ·双因子认证基本流程 | 第49-51页 |
| ·MD5 加密算法 | 第51页 |
| ·数字证书加密 | 第51-54页 |
| ·双因子认证实例 | 第54页 |
| ·生物识别技术 | 第54-56页 |
| 第五章 总结与展望 | 第56-58页 |
| ·总结 | 第56页 |
| ·展望 | 第56-58页 |
| 参考文献 | 第58-60页 |
| 发表论文和科研情况说明 | 第60-61页 |
| 致谢 | 第61页 |
