大西瓜的杂货铺

从包子那边看到的，是h3c上的，原文在这里，虽说是广告，但是有基础的知识介绍的。

Web安全威胁形势严峻

随着国家互联网应急中心最新监测分析报告的发布，一个令人触目惊心的数据引发各方关注： “1月4日至10日，境内被篡改政府网站数量为178个，与前一周相比大幅增长409%，其占境内被篡改网站总数的比例也大幅增长为31%。”不仅政府网 站，近年来各种Web网站攻击事件也是频频发生，网站SQL注入，网页被篡改、信息失窃、甚至被利用成传播木马的载体……Web安全威胁形势日益严 峻，Web安全防护该何去何从？

Web安全威胁的根源分析

Web网站的安全事件频频发生，究其根源，关键原因有二：一是Web网站自身存在技术上的安全漏洞和安全隐患；二是相关的防护设备和防护手段欠缺。

阅读全文

From：80sec

在腾讯09安全峰会上的议题

Hacking web architecture for fun and profit.ppt

代表了80sec相当多的观点

From:WEB应用观察站

深入研究IIS的好东西，微软的，建议仔细看看。对于Web应用程序开发以及Web安全都有很大参考价值，这些资料一直在硬盘资料夹里，研究Web的时候常常来做参考，现在分享给大家。:)

下载：

IIS_6_Resource_Kit_eBook_PDF.zip (PDF格式，大小：10M)

IIS_6_Resource_Kit_eBook_CHM.zip (CHM格式，大小：5M)

IIS_6_Resource_Kit_eBook_DOC.zip (Word格式，大小：14M)

IIS_7.0_Resource_Kit_Book.pdf.zip (PDF格式，大小：14M)

From：Baoz

A web application firewall (WAF) is an appliance, server plugin, or filter that applies a set of rules to an HTTP conversation. Generally, these rules cover common attacks such as Cross-site Scripting (XSS) and SQL Injection. By customizing the rules to your application, many attacks can be identified and blocked. The effort to perform this customization can be significant and needs to be maintained as the application is modified.

A far more detailed description is available at Wikipedia

阅读全文

From：Baoz

此文写的不错，如果可以加上对性能影响的说明就更好了，转载开始。原文在这里。

Web应用防火墙正日趋流行，过去这些工具被很少数的大型项目垄断，但是，随着大量的低成本产品的面市以及可供选择的开源试用产品的出现，它们最终 能被大多数人所使用。在这篇文章中，先向大家介绍Web应用防火墙能干什么，然后快速的概览一下Web应用防火墙最有用的一些特征。通过这篇文章的阅读， 大家能清楚地了解web应用防火墙这个主题，掌握相关知识。

什么是web应用防火墙？

阅读全文

From:tomkeeper

如果把浏览器看作WEB2.0后时代的操作系统，那么客户端脚本就相当于传统的应用程序，而XSS的攻击方式其实就相当于在被攻击者的系统上执行了一个木马程序。但这种“木马”有个很大的缺点，就是无法像传统木马那样在操作系统中安家，以后还能自动执行。

前几个月发现了一种有趣的XSS漏洞，这种漏洞攻击一次后XSS代码就会被存储下来，以后每次访问被XSS的网站这个“木马”都会再自动执行。我在网上没有找到相关的资料，这里姑且称之为“存储型XSS”（如果有朋友之前看到过类似的文档，欢迎指教）。

阅读全文