这节主要是讲不安全的配置所带来的威胁。

Forced Browsing

强制浏览是指黑客用来访问获取那些没有被引用，但仍然允许被访问的资源。其中一种方法是操纵浏览器中的URL，删除结尾部分，直到找到一个不受保护的目录。

Encoding Basics

在Web应用程序中会根据不同的应用选择不同的编码方案。每一个编码方案都有与其相关的算法。
编码和加密是不一样的。下面讲解几种常用的编码/加密方法。这章是Web安全的编码基础。

Denial of Service

该课程讲的是由多个登陆引起的拒绝服务。数据库连接总是要占用移动资源的，过度使用会影响系统性能。我们的目标网站允许多次登陆，但它有一个数据库的连接池，只能最大允许两个连接存在，因此我们必须要获得多个用户名和密码，分别登陆，使其超过允许的最大连接数，造成拒绝服务。

Discover Clues in the HTML

在HTML中找线索。众所周知，很多开发者喜欢在源代码中保存fixme（指代码原作者没有完成，需要你去完成的意思）、注释、调试代码等语句或信息。而我们通过审查源码中的相关信息往往能找到密码、后门及一些潜在的问题。

DOM-Based cross-site scripting

基于DOM的跨站点脚本。DOM是文档对象模型，它是中立于平台和语言的接口，它允许程序和脚本动态地访问和更新文档的内容、结构和样式。W3C DOM标准被分为3个不同的部分：

• 核心DOM-针对任何结构化文档的标准模型
• XML DOM-针对XML文档的标准模型
• HTML DOM-针对HTML文档的标准模型（HTML DOM是关于如何获取、修改、添加或HTML元素的标准）

Using an Access Control Matrix

RBAC（Role Based Access Control）模型，基于角色的访问控制模型有三个原则：最小权限原则、责任分离原则和数据抽象原则。不同的人对不同的资源有不同的访问权限。这一步的作用是用来熟悉该站点所使用的访问控制规则，以下是该实验中的不同角色权限：

攻击效果与目标

HTTP应答拆分攻击的效果会使用户接收不到正确的服务器回发的信息，而是接收错误的经过伪装的信息，比如挂了马的网页、含有垃圾信息的网页等。采用的是攻击服务器的缓存，所以并不是针对Http服务器的攻击，而是针对具体用户的攻击。

最近在读《OWASP测试指南》，感觉写的真好，包括很多的安全思想和方法，不得不佩服人类集体协作智慧的伟大。我按照阅读的先后顺序写下自己的一些感悟。

什么是OWASP？

OWASP是一个开源的、非盈利的全球性安全组织，致力于应用软件的安全研究。我们的使命是使应用软件更加安全，使企业和组织能够对应用安全风险作出更清晰的决策。目前OWASP全球拥有140个分会近四万名会员，共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。

以上是官方定义，我的理解OWASP就是一个国际应用安全的标准化组织。