Web安全与防护
¥
28.19
6.3折
¥
45
九品
仅1件
作者王立进
出版社电子工业出版社
出版时间2022-11
版次1
装帧其他
货号A6
上书时间2024-10-26
商品详情
- 品相描述:九品
图书标准信息
-
作者
王立进
-
出版社
电子工业出版社
-
出版时间
2022-11
-
版次
1
-
ISBN
9787121432200
-
定价
45.00元
-
装帧
其他
-
开本
16开
-
页数
204页
-
字数
326千字
- 【内容简介】
-
Web 系统是目前最为流行的架构,由于它是黑客攻击的重要目标,因此迫切需要大量掌握Web 安全攻防技术的人才提高其安全性。本书结合渗透测试项目实施过程,分为Web 系统安全技术基础、信息收集与漏洞扫描、利用漏洞进行渗透测试与防范、项目验收4个部分,共 10 个单元,详细介绍了Web 系统安全技术与利用漏洞进行渗透测试的方法。每个单元理论知识与实训任务相结合,较好地体现了理实一体化的教学理念。为便于学习,本书主要针对基于PHP+MySQL开发的Web 系统安全攻防技术,实训内容图文并茂,易于实训任务的开展。为了使学生对Web 安全技术融会贯通,本书讲解力求深入至Web 系统程序代码层面。本书体系完整,内容翔实,配套资源丰富,可供高职院校开设Web 安全技术课程的学生使用,也可作为本科院校学生学习Web 安全技术的入门教程,同时也可作为技术人员自学Web 安全技术的参考书。
- 【作者简介】
-
王立进,山东科技职业学院副教授,国家级职业教育教师教学创新团队成员,曾获国家级教学成果二等奖、山东省教学成果特等奖,具有CISSP、CCNP、PMP等专业认证证书。精通WEB攻防、防火墙、入侵检测、信息安全管理与评估等技术。具有在启明星辰等知名信息安全公司超过20年的企业工作经验,期间曾被聘任为北京邮电大学计算机学院兼职副教授、硕士研究生企业导师
- 【目录】
-
单元 1 Web 系统安全技术基础1
1.1 Web 系统安全形势与威胁1
1.1.1 Web 系统安全形势1
1.1.2 Web 系统威胁分析2
1.1.3 OWASP十大Web 系统安全漏洞3
1.1.4 Web 系统渗透测试常用工具4
1.2 Web 系统架构与技术5
1.2.1 Web 系统架构5
1.2.2 服务器端技术6
1.2.3 客户端技术7
1.2.4 实训:安装DVWA系统8
1.3 HTTP13
1.3.1 HTTP工作原理13
1.3.2 HTTP请求14
1.3.3 HTTP响应16
1.3.4 HTTPS18
1.3.5 实训:抓取并分析HTTP数据包19
1.4 Web 系统控制会话技术24
1.4.1 Cookie24
1.4.2 Session25
1.4.3 Cookie 与Session 的比较25
1.4.4 实训:利用 Cookie 冒充他人登录系统26
练习题30
单元 2 信息收集与漏洞扫描32
2.1 信息收集32
2.1.1 利用公开网站收集目标系统信息33
2.1.2 利用Nmap进行信息收集35
2.1.3 实训:利用Nmap识别DVWA的服务及操作系统37
2.2 漏洞扫描41
2.2.1 漏洞扫描的概念41
2.2.2 网络漏洞扫描系统的工作原理42
2.2.3 实训:使用Nmap进行漏洞扫描43
2.2.4 实训:使用AWVS进行漏洞扫描47
2.3 Burp Suite 的深度利用52
2.3.1 Burp Suite 常用功能模块52
2.3.2 实训:使用Burp Suite 进行暴力破解56
练习题64
单元 3 SQL注入漏洞渗透测试与防范66
3.1 SQL注入漏洞概述66
3.1.1 SQL注入的概念与危害66
3.1.2 SQL注入漏洞的原理67
3.1.3 SQL注入漏洞的探测68
3.1.4 实训:手动SQL注入70
3.2 SQL注入漏洞利用的基础知识72
3.2.1 MySQL的注释73
3.2.2 MySQL的元数据73
3.2.3 union查询73
3.2.4 常用的MySQL函数74
3.2.5 实训:SQL注入的高级利用75
3.3 SQL盲注的探测与利用79
3.3.1 SQL盲注概述79
3.3.2 实训:手动盲注80
3.3.3 实训:利用SQLMap 对DVWA系统进行注入85
3.4 SQL注入的防范与绕过91
3.4.1 常见过滤技术与绕过91
3.4.2 SQL注入技术的综合防范技术92
3.4.3 实训:SQL注入过滤的绕过与防范94
练习题98
单元 4 跨站脚本漏洞渗透测试与防范100
4.1 反射型XSS漏洞检测与利用100
4.1.1 问题引入100
4.1.2 反射型XSS漏洞原理101
4.1.3 反射型XSS漏洞检测103
4.1.4 实训:反射型XSS漏洞检测与利用103
4.2 存储型XSS漏洞检测与利用105
4.2.1 存储型XSS漏洞的原理105
4.2.2 存储型XSS漏洞的检测105
4.2.3 存储型XSS漏洞的利用106
4.2.4 实训:存储型XSS漏洞检测与利用107
4.3 基于DOM的XSS漏洞检测与利用109
4.3.1 基于DOM的XSS漏洞原理109
4.3.2 基于DOM的XSS漏洞检测109
4.3.3 基于DOM的XSS漏洞利用110
4.3.4 实训:基于DOM的XSS漏洞检测与利用110
4.4 XSS漏洞的深度利用112
4.4.1 XSS漏洞出现的场景与利用112
4.4.2 利用XSS漏洞的攻击范围113
4.4.3 XSS漏洞利用的绕过技巧114
4.4.4 实训:绕过XSS漏洞防范措施114
4.5 XSS漏洞的防范116
4.5.1 输入校验116
4.5.2 输出编码117
4.5.3 HttpOnly117
4.5.4 实训:XSS漏洞的防范118
练习题120
单元 5 文件上传漏洞渗透测试与防范121
5.1 文件上传漏洞概述121
5.1.1 文件上传漏洞与WebShell121
5.1.2 中国菜刀与一句话木马122
5.1.3 Web 容器解析漏洞123
5.1.4 实训:利用中国菜刀连接WebShell124
5.2 文件上传漏洞的防范与绕过127
5.2.1 设计安全的文件上传控制机制127
5.2.2 实训:客户端检测机制绕过127
5.2.3 实训:黑名单及白名单过滤扩展名机制与绕过131
5.2.4 实训:MIME验证与绕过134
5.2.5 实训:%00 截断上传攻击136
5.2.6 实训:.htaccess 文件攻击138
练习题141
单元 6 命令执行漏洞渗透测试与防范143
6.1 命令执行漏洞的防范与绕过143
6.1.1 命令执行漏洞的概念与危害143
6.1.2 命令执行漏洞的原理与防范145
6.1.3 实训:命令执行漏洞渗透测试与绕过145
6.2 命令执行漏洞与代码执行漏洞的区别147
练习题149
单元 7 文件包含漏洞渗透测试与防范150
7.1 文件包含漏洞的概念与分类150
7.2 文件包含漏洞的深度利用153
7.3 文件包含漏洞的防范158
7.4 实训:文件包含漏洞的利用与防范159
练习题162
单元 8 跨站请求伪造漏洞渗透测试与防范163
8.1 跨站请求伪造的概念163
8.2 跨站请求伪造的原理164
8.3 跨站请求伪造漏洞的检测164
8.4 跨站请求伪造漏洞的防范166
8.5 实训:跨站请求伪造漏洞的利用与防范167
练习题172
单元 9 反序列化漏洞渗透测试与防范174
9.1 反序列化的概念174
9.2 反序列化漏洞产生的原因与危害176
9.3 反序列化漏洞的检测与防范179
9.4 实训:Typecho1.0 反序列化漏洞利用与分析179
练习题187
单元 10 渗透测试报告撰写与沟通汇报188
10.1 漏洞验证与文档记录188
10.1.1 漏洞验证188
10.1.2 文档记录建议189
10.2 渗透测试报告的撰写190
10.2.1 渗透测试报告需求分析190
10.2.2 渗透测试报告样例191
10.3 沟通汇报资料的准备194
10.4 渗透测试的后续流程194
练习题195
参考文献196
点击展开
点击收起
— 没有更多了 —
以下为对购买帮助不大的评价