目 录
项目一 Web安全概述 1
1.1 Web安全现状与发展趋势 1
1.1.1 Web安全现状 1
1.1.2 Web安全发展趋势 4
1.2 Web系统介绍 5
1.2.1 Web的发展历程 5
1.2.2 Web系统的构成 6
1.2.3 Web系统的应用架构 7
1.2.4 Web的访问方法 8
1.2.5 Web编程语言 8
1.2.6 Web数据库访问技术 10
1.2.7 Web服务器 11
实例 十大安全漏洞比较分析 13
项目二 Web协议与分析 14
2.1 HTTP 14
2.1.1 HTTP通信过程 14
2.1.2 统一资源定位符(URL) 15
2.1.3 HTTP的连接方式和无状态性 15
2.1.4 HTTP请求报文 16
2.1.5 HTTP响应报文 19
2.1.6 HTTP报文结构汇总 21
2.1.7 HTTP会话管理 22
2.2 HTTPS 23
2.2.1 HTTPS和 HTTP的主要区别 24
2.2.2 HTTPS与Web服务器通信过程 24
2.2.3 HTTPS的优点 25
2.2.4 HTTPS的缺点 25
2.3 网络嗅探工具 25
2.3.1 Wireshark简介 25
2.3.2 Wireshark 工具的界面 26
实例1 Wireshark应用实例 35
实例1.1 捕捉数据包 35
实例1.2 处理捕捉后的数据包 39
项目三 Web漏洞检测工具 44
3.1 Web漏洞检测工具AppScan 44
3.1.1 AppScan简介 44
3.1.2 AppScan的安装 45
3.1.3 AppScan的基本工作流程 48
3.1.4 AppScan界面介绍 51
3.2 HTTP分析工具WebScarab 54
3.3 网络漏洞检测工具Nmap 56
3.3.1 Nmap简介 56
3.3.2 Nmap的安装 57
3.4 集成化的漏洞扫描工具Nessus 59
3.4.1 Nessus简介 59
3.4.2 Nessus的安装 60
实例1 扫描实例 63
实例2 WebScarab的运行 75
实例3 Nmap应用实例 82
实例3.1 利用Nmap图形界面进行扫描探测 82
实例3.2 利用Nmap命令行界面进行扫描探测 95
实例4 利用Nessus扫描Web应用程序 103
项目四 Web漏洞实验平台 108
4.1 DVWA的安装与配置 108
4.2 WebGoat简介 109
实例1 DVWA v1.9的平台搭建 109
实例2 WebGoat的安装与配置 117
项目五 Web常见漏洞分析 122
5.1 SQL注入漏洞分析 122
5.2 XSS漏洞分析 126
5.3 CSRF漏洞分析 130
5.4 任意文件下载漏洞 132
5.5 文件包含漏洞分析 133
5.6 逻辑漏洞 137
5.6.1 用户相关的逻辑漏洞 137
5.6.2 交易相关的逻辑漏洞 140
5.6.3 恶意攻击相关的逻辑漏洞 141
5.7 任意文件上传漏洞 142
5.8 暴力破解 142
5.9 命令注入 142
5.10 不安全的验证码机制 143
实例1 SQL注入漏洞实例 145
实例1.1 手工SQL注入 145
实例1.2 使用工具进行SQL注入 149
实例1.3 手工注入(1) 151
实例1.4 手工注入(2) 154
实例1.5 布尔盲注 157
实例1.6 时间盲注 160
实例2 XSS漏洞攻击实例 165
实例2.1 反射型XSS漏洞挖掘与利用(1) 165
实例2.2 反射型XSS漏洞挖掘与利用(2) 167
实例2.3 反射型XSS漏洞挖掘与利用(3) 168
实例2.4 存储型XSS漏洞挖掘与利用(1) 169
实例2.5 存储型XSS漏洞挖掘与利用(2) 170
实例2.6 存储型XSS漏洞挖掘与利用(3) 172
实例2.7 DOM型XSS漏洞挖掘与利用(1) 174
实例2.8 DOM型XSS漏洞挖掘与利用(2) 175
实例2.9 DOM型XSS漏洞挖掘与利用(3) 176
实例3 CSRF漏洞攻击实例 177
实例3.1 CSRF漏洞挖掘与利用(1) 177
实例3.2 CSRF漏洞挖掘与利用(2) 179
实例3.3 CSRF漏洞挖掘与利用(3) 180
实例4 CMS任意文件下载实例 183
实例5 文件包含漏洞攻击实例 185
实例5.1 文件包含漏洞挖掘与利用(1) 185
实例5.2 文件包含漏洞挖掘与利用(2) 187
实例5.3 文件包含漏洞挖掘与利用(3) 188
实例6 逻辑漏洞攻击实例 190
实例6.1 某网站任意密码修改漏洞 190
实例6.2 某电商平台权限跨越漏洞 192
实例6.3 某交易支付相关漏洞 195
实例6.4 某电商平台邮件炸弹攻击漏洞 196
实例7 文件上传漏洞利用实例 197
实例7.1 文件上传漏洞利用(1) 197
实例7.2 文件上传漏洞利用(2) 199
实例7.3 文件上传漏洞利用(3) 203
实例7.4 文件上传漏洞防护 205
实例8 Web口令暴力破解实例 207
实例8.1 Web口令暴力破解(1) 207
实例8.2 Web口令暴力破解(2) 211
实例8.3 Web口令暴力破解(3) 213
实例8.4 Web口令暴力破解防护 217
实例9 命令注入漏洞利用实例 219
实例9.1 命令注入漏洞利用(1) 219
实例9.2 命令注入漏洞利用(2) 223
实例9.3 命令注入漏洞利用(3) 226
实例9.4 命令注入漏洞防护 230
实例10 验证码绕过攻击实例 232
实例10.1 验证码绕过攻击(1) 232
实例10.2 验证码绕过攻击(2) 235
实例10.3 验证码绕过攻击(3) 237
实例10.4 验证码绕过漏洞防护 239
项目六 Web应用安全防护与部署 241
6.1 服务器系统与网络服务 241
6.1.1 服务器系统主要技术 241
6.1.2 网络操作系统常用的网络服务 242
6.2 Apache技术介绍 245
6.2.1 Apache工作原理 245
6.2.2 配置Apache服务器 246
6.3 Web应用防护系统(WAF) 248
6.3.1 WAF的主要功能 248
6.3.2 常见的WAF产品 249
实例1 Linux安全部署 250
实例2 Windows安全部署 255
实例3 IIS加固设置 265
实例4 Apache加固设置 266
实例5 Tomcat加固设置 269
实例6 WAF配置与应用 272