Web安全与防护

定　价：¥45.00

作　者：	王立进
出版社：	电子工业出版社
丛编项：
标　签：	暂缺

购买这本书可以去

当当网 (¥38.20)

ISBN：	9787121432200	出版时间：	2022-11-01	包装：	平塑
开本：		页数：		字数：

内容简介

　　Web 系统是目前最为流行的架构，由于它是黑客攻击的重要目标，因此迫切需要大量掌握Web 安全攻防技术的人才提高其安全性。本书结合渗透测试项目实施过程，分为Web 系统安全技术基础、信息收集与漏洞扫描、利用漏洞进行渗透测试与防范、项目验收4个部分，共 10 个单元，详细介绍了Web 系统安全技术与利用漏洞进行渗透测试的方法。每个单元理论知识与实训任务相结合，较好地体现了理实一体化的教学理念。为便于学习，本书主要针对基于PHP+MySQL开发的Web 系统安全攻防技术，实训内容图文并茂，易于实训任务的开展。为了使学生对Web 安全技术融会贯通，本书讲解力求深入至Web 系统程序代码层面。本书体系完整，内容翔实，配套资源丰富，可供高职院校开设Web 安全技术课程的学生使用，也可作为本科院校学生学习Web 安全技术的入门教程，同时也可作为技术人员自学Web 安全技术的参考书。

作者简介

　　王立进，山东科技职业学院副教授，国家级职业教育教师教学创新团队成员，曾获国家级教学成果二等奖、山东省教学成果特等奖，具有CISSP、CCNP、PMP等专业认证证书。精通WEB攻防、防火墙、入侵检测、信息安全管理与评估等技术。具有在启明星辰等知名信息安全公司超过20年的企业工作经验，期间曾被聘任为北京邮电大学计算机学院兼职副教授、硕士研究生企业导师

图书目录

单元 1 Web 系统安全技术基础 1
1.1 Web 系统安全形势与威胁 1
1.1.1 Web 系统安全形势 1
1.1.2 Web 系统威胁分析 2
1.1.3 OWASP十大Web 系统安全漏洞 3
1.1.4 Web 系统渗透测试常用工具 4
1.2 Web 系统架构与技术 5
1.2.1 Web 系统架构 5
1.2.2 服务器端技术 6
1.2.3 客户端技术 7
1.2.4 实训：安装DVWA系统 8
1.3 HTTP 13
1.3.1 HTTP工作原理 13
1.3.2 HTTP请求 14
1.3.3 HTTP响应 16
1.3.4 HTTPS 18
1.3.5 实训：抓取并分析HTTP数据包 19
1.4 Web 系统控制会话技术 24
1.4.1 Cookie 24
1.4.2 Session 25
1.4.3 Cookie 与Session 的比较 25
1.4.4 实训：利用 Cookie 冒充他人登录系统 26
练习题 30
单元 2 信息收集与漏洞扫描 32
2.1 信息收集 32
2.1.1 利用公开网站收集目标系统信息 33
2.1.2 利用Nmap进行信息收集 35
2.1.3 实训：利用Nmap识别DVWA的服务及操作系统 37
2.2 漏洞扫描 41
2.2.1 漏洞扫描的概念 41
2.2.2 网络漏洞扫描系统的工作原理 42
2.2.3 实训：使用Nmap进行漏洞扫描 43
2.2.4 实训：使用AWVS进行漏洞扫描 47
2.3 Burp Suite 的深度利用 52
2.3.1 Burp Suite 常用功能模块 52
2.3.2 实训：使用Burp Suite 进行暴力破解 56
练习题 64
单元 3 SQL注入漏洞渗透测试与防范 66
3.1 SQL注入漏洞概述 66
3.1.1 SQL注入的概念与危害 66
3.1.2 SQL注入漏洞的原理 67
3.1.3 SQL注入漏洞的探测 68
3.1.4 实训：手动SQL注入 70
3.2 SQL注入漏洞利用的基础知识 72
3.2.1 MySQL的注释 73
3.2.2 MySQL的元数据 73
3.2.3 union查询 73
3.2.4 常用的MySQL函数 74
3.2.5 实训：SQL注入的高级利用 75
3.3 SQL盲注的探测与利用 79
3.3.1 SQL盲注概述 79
3.3.2 实训：手动盲注 80
3.3.3 实训：利用SQLMap 对DVWA系统进行注入 85
3.4 SQL注入的防范与绕过 91
3.4.1 常见过滤技术与绕过 91
3.4.2 SQL注入技术的综合防范技术 92
3.4.3 实训：SQL注入过滤的绕过与防范 94
练习题 98
单元 4 跨站脚本漏洞渗透测试与防范 100
4.1 反射型XSS漏洞检测与利用 100
4.1.1 问题引入 100
4.1.2 反射型XSS漏洞原理 101
4.1.3 反射型XSS漏洞检测 103
4.1.4 实训：反射型XSS漏洞检测与利用 103
4.2 存储型XSS漏洞检测与利用 105
4.2.1 存储型XSS漏洞的原理 105
4.2.2 存储型XSS漏洞的检测 105
4.2.3 存储型XSS漏洞的利用 106
4.2.4 实训：存储型XSS漏洞检测与利用 107
4.3 基于DOM的XSS漏洞检测与利用 109
4.3.1 基于DOM的XSS漏洞原理 109
4.3.2 基于DOM的XSS漏洞检测 109
4.3.3 基于DOM的XSS漏洞利用 110
4.3.4 实训：基于DOM的XSS漏洞检测与利用 110
4.4 XSS漏洞的深度利用 112
4.4.1 XSS漏洞出现的场景与利用 112
4.4.2 利用XSS漏洞的攻击范围 113
4.4.3 XSS漏洞利用的绕过技巧 114
4.4.4 实训：绕过XSS漏洞防范措施 114
4.5 XSS漏洞的防范 116
4.5.1 输入校验 116
4.5.2 输出编码 117
4.5.3 HttpOnly 117
4.5.4 实训：XSS漏洞的防范 118
练习题 120
单元 5 文件上传漏洞渗透测试与防范 121
5.1 文件上传漏洞概述 121
5.1.1 文件上传漏洞与WebShell 121
5.1.2 中国菜刀与一句话木马 122
5.1.3 Web 容器解析漏洞 123
5.1.4 实训：利用中国菜刀连接WebShell 124
5.2 文件上传漏洞的防范与绕过 127
5.2.1 设计安全的文件上传控制机制 127
5.2.2 实训：客户端检测机制绕过 127
5.2.3 实训：黑名单及白名单过滤扩展名机制与绕过 131
5.2.4 实训：MIME验证与绕过 134
5.2.5 实训：%00 截断上传攻击 136
5.2.6 实训：.htaccess 文件攻击 138
练习题 141
单元 6 命令执行漏洞渗透测试与防范 143
6.1 命令执行漏洞的防范与绕过 143
6.1.1 命令执行漏洞的概念与危害 143
6.1.2 命令执行漏洞的原理与防范 145
6.1.3 实训：命令执行漏洞渗透测试与绕过 145
6.2 命令执行漏洞与代码执行漏洞的区别 147
练习题 149
单元 7 文件包含漏洞渗透测试与防范 150
7.1 文件包含漏洞的概念与分类 150
7.2 文件包含漏洞的深度利用 153
7.3 文件包含漏洞的防范 158
7.4 实训：文件包含漏洞的利用与防范 159
练习题 162
单元 8 跨站请求伪造漏洞渗透测试与防范 163
8.1 跨站请求伪造的概念 163
8.2 跨站请求伪造的原理 164
8.3 跨站请求伪造漏洞的检测 164
8.4 跨站请求伪造漏洞的防范 166
8.5 实训：跨站请求伪造漏洞的利用与防范 167
练习题 172
单元 9 反序列化漏洞渗透测试与防范 174
9.1 反序列化的概念 174
9.2 反序列化漏洞产生的原因与危害 176
9.3 反序列化漏洞的检测与防范 179
9.4 实训：Typecho1.0 反序列化漏洞利用与分析 179
练习题 187
单元 10 渗透测试报告撰写与沟通汇报 188
10.1 漏洞验证与文档记录 188
10.1.1 漏洞验证 188
10.1.2 文档记录建议 189
10.2 渗透测试报告的撰写 190
10.2.1 渗透测试报告需求分析 190
10.2.2 渗透测试报告样例 191
10.3 沟通汇报资料的准备 194
10.4 渗透测试的后续流程 194
练习题 195
参考文献 196