第 1章 网络安全导论 1
1.1 网络安全概述 2
1.1.1 网络安全基础 2
1.1.2 网络安全体系 4
1.1.3 网络安全事件分析 5
1.2 网络安全法律法规 7
1.2.1 网络安全观念与意识 7
1.2.2 国内外法律法规介绍 8
1.2.3 网络安全等级保护制度 10
1.3 小结 12
1.4 习题 13
第 2章 网络安全评估准备工作 14
2.1 网络安全评估基础 15
2.1.1 网络安全评估概述 15
2.1.2 安全评估报告 19
2.2 工作环境和工具介绍 21
2.2.1 虚拟机环境 21
2.2.2 网络协议评估工具介绍 22
2.2.3 Web安全评估工具介绍 23
2.2.4 PHP代码评估工具介绍 23
2.3 项目1:网络安全评估工作环境搭建 29
2.3.1 任务1:虚拟机安装和配置 29
2.3.2 任务2:系统基础环境准备 36
2.4 项目2:主机和网络安全评估工具准备 40
2.4.1 任务1:网络协议评估工具配置及调试 40
2.4.2 任务2:Web评估工具配置及调试 45
2.4.3 任务3:PHP代码评估工具配置及调试 52
2.5 小结 57
2.6 习题 58
第3章 主机及网络系统安全评估实践 59
3.1 主机及网络系统安全评估基础 60
3.1.1 网络协议安全评估基础 60
3.1.2 主机系统安全评估基础 65
3.1.3 中间件安全评估基础 66
3.2 项目1:网络协议安全评估实施 68
3.2.1 任务1:网络故障优化协议安全评估 69
3.2.2 任务2:拒绝服务攻击流量安全评估 72
3.2.3 任务3:恶意代码攻击流量安全评估 74
3.3 项目2:主机系统安全评估实施 76
3.3.1 任务1:Linux主机系统安全配置核查 76
3.3.2 任务2:Linux主机系统安全加固 86
3.4 项目3:中间件安全评估实施 92
3.4.1 任务1:Tomcat任意文件上传漏洞安全评估与验证 93
3.4.2 任务2:FastCGI任意命令执行漏洞安全评估与验证 98
3.4.3 任务3:PHP-CGI任意命令执行漏洞安全评估与验证 108
3.4.4 任务4:Nginx目录穿越漏洞安全评估与验证 110
3.5 小结 113
3.6 习题 113
3.6.1 实操题 113
3.6.2 思考题 113
第4章 Web系统安全评估实践 114
4.1 Web系统安全评估基础 115
4.1.1 Web系统基础知识 115
4.1.2 Web系统安全评估 123
4.1.3 任务:Web系统安全评估目标环境搭建 124
4.2 项目1:Web站点信息探测 130
4.2.1 信息收集定义和分类 130
4.2.2 任务1:存活主机探测和端口扫描 132
4.2.3 任务2:Web站点基本信息收集 135
4.2.4 任务3:Web站点WAF识别 137
4.2.5 任务4:Web站点目录扫描 138
4.3 项目2:Web系统SQL注入漏洞安全评估 141
4.3.1 SQL注入漏洞安全评估概述 141
4.3.2 任务1:SQL注入漏洞安全评估 143
4.3.3 任务2:Union注入漏洞安全评估 148
4.3.4 任务3:SQL盲注漏洞安全评估 154
4.3.5 任务4:HTTP文件头注入漏洞安全评估 158
4.3.6 任务5:Cookie注入漏洞安全评估 161
4.3.7 任务6:二次注入漏洞安全评估 164
4.4 项目3:Web系统XSS漏洞安全评估 166
4.4.1 XSS漏洞安全评估概述 166
4.4.2 任务:XSS漏洞安全评估实施 168
4.5 项目4:Web系统其他漏洞安全评估 175
4.5.1 任务1:CSRF漏洞安全评估 175
4.5.2 任务2:SSRF漏洞安全评估 178
4.5.3 任务3:逻辑漏洞安全评估 182
4.5.4 任务4:文件上传漏洞安全评估 186
4.5.5 任务5:文件包含漏洞安全评估 189
4.5.6 任务6:命令执行漏洞安全评估 194
4.6 小结 196
4.7 习题 196
4.7.1 简答题 196
4.7.2 实操题 196
第5章 软件代码安全评估实践 197
5.1 软件代码安全评估基础 198
5.1.1 软件代码安全评估概述 198
5.1.2 软件代码安全评估流程 198
5.1.3 PHP基础知识 201
5.2 项目:PHP代码安全评估实施 205
5.2.1 任务1:PHP代码安全评估 205
5.2.2 任务2:软件代码安全评估工作报告 224
5.3 小结 227
5.4 习题 227
5.4.1 实操题 227
5.4.2 思考题 227
第6章 企业网络安全建设实践 228
6.1 企业安全建设基础 228
6.1.1 等级保护基本要求 229
6.1.2 网络安全设备 232
6.2 项目1:安全区域边界搭建 235
6.2.1 任务1:防火墙部署与管理 236
6.2.2 任务2:VPN部署与管理 239
6.2.3 任务3:WAF部署与管理 249
6.3 项目2:安全管理中心搭建 253
6.3.1 任务1:堡垒机部署与管理 253
6.3.2 任务2:终端管理系统部署与管理 256
6.4 小结 262
6.5 习题 263
6.5.1 简答题 263
6.5.2 实操题 263
附录 网络安全评估工具列表 264
参考资料 267