Web基础渗透与防护
正版保障 假一赔十 可开发票
¥ 37.59 8.0折 ¥ 47 全新
库存5件
广东广州
认证卖家担保交易快速发货售后保障
作者王德鹏
出版社电子工业出版社
ISBN9787121354281
出版时间2019-07
装帧平装
开本16开
定价47元
货号27913796
上书时间2024-10-28
商品详情
- 品相描述:全新
- 商品描述
-
前言
前 言
Web信息安全是网络安全,或者说是习近平同志提出的网络空间安全的一个重要组成部分,也是与用户直观交互多的一个组成部分。为了提高民众的网络安全意识,需要开展网络安全知识教育。网络安全是一个大环境,包含通信设备、安全设备、服务器设备、各种应用软件等方方面面的知识与技术。Web信息安全对普通大众来说,是在网络应用层次上的,与自身关系密切。
在网络空间安全提出之前,从事网络安全工作的人员,都是专业的技术人员,大多从高级程序员、设备驱动程序开发人员转换而来,具有丰富、扎实的软件开发、网络编程等技术知识。因此,目前涉及网络安全基础知识的书籍较少,学生学习网络安全基础知识的入门教材更是难寻。为了方便计算机专业的学生学习Web信息安全的基础知识,以及信息安全爱好人员学习网络安全知识,主编团队特编写了本书。
本书以任务驱动的项目式教学作为编写思路,注重Web信息安全的理论知识和实际项目相结合,具有很强的可操作性,每个项目分为项目描述、项目分析、项目小结、项目训练和实训任务几个模块,既给出了完成项目所需要学习的目标和主要任务,也给出了完成项目所需要的理论知识。本书主要讲解了在Web信息安全中常见的漏洞攻击方法的基本原理与针对性的防御方法。本书针对OWASP每年公布利用率与危害性的TOP10中的Web渗透方法,主要分析了命令注入、文件上传、SQL注入与盲注、暴力破解、文件保护、XSS跨站、CSRF等的方法,结合主流的hacker实验平台DVWA,分析原理、利用方法、加固措施等。Web信息安全是一把双刃剑,在理解攻击原理后,可以针对性地设计加固与防御方案,同时也可以根据原理设计新的攻击方式,因此信息安全从业人员需要守住自己的底线。为了加强安全意识,本书利用一章的篇幅讲解信息安全方面的规章制度与法律法规。为了加强防御方法,本书后分析了代码审计对软件的必要性。
编者根据多年从事网络安全专业教学的经验,以及多年参与高职院校技能大赛信息安全与评估赛项的技术积累,根据一线信息安全专家的建议,完成了本书的编写工作。在编写过程中得到了江苏天创科技有限公司的大力支持,该公司主要从事网络安全方面的工作,与苏州市政府具有广泛的合作。编者以该公司丰富的实战案例作为依据,对本书的内容方面进行了编写。
本书由苏州市职业大学的王德鹏、谭方勇任主编,苏州市职业大学刘刚、江苏天创科技有限公司张洪璇任副主编,苏州市职业大学高小惠、姒茂新等教师任参编。
由于时间仓促,书中难免存在疏漏和不妥之处,敬请读者批评指正。
编 者
2019年4月
导语摘要
本书是针对高职学生信息安全专业学生,在学习信息安全方面中web安全方面的基础知识。本书采用目前流行的web渗透开源平台DVWA为实验平台,详细讲解分析流行的web渗透与防护方法。
作者简介
王德鹏,2008年至今就职于苏州市职业大学计算机工程学院,从事计算机课程的教学工作,担任过软件开发等课程教学工作,从2012年开始从事计算机网络方面的教学工作,主要担任信息安全课程的教学工作,并从2012年开始指导学生参加江苏省高职技能大赛信息安全与评估赛项,连续多年获奖。
目录
目 录
第1章 Web信息安全基础1
1.1 当前Web信息安全形势1
1.2 Web安全防护技术4
第2章 信息安全法律法规8
2.1 信息安全法律法规8
2.2 案例分析10
第3章 命令注入攻击与防御13
3.1 项目描述13
3.2 项目分析13
3.3 项目小结19
3.4 项目训练20
3.4.1 实验环境20
3.4.2 命令注入攻击原理分析20
3.4.3 利用命令注入获取信息24
3.4.4 命令注入漏洞攻击方法27
3.4.5 防御命令注入攻击31
3.5 实训任务34
第4章 文件上传攻击与防御35
4.1 项目描述35
4.2 项目分析35
4.3 项目小结41
4.4 项目训练42
4.4.1 实验环境42
4.4.2 文件上传漏洞原理分析42
4.4.3 上传木马获取控制权48
4.4.4 文件上传漏洞攻击方法52
4.4.5 文件上传漏洞防御方法54
4.5 实训任务56
第5章 SQL注入攻击与防御57
5.1 项目描述57
5.2 项目分析57
5.3 项目小结71
5.4 项目训练72
5.4.1 实验环境72
5.4.2 SQL注入攻击原理分析72
5.4.3 文本框输入的SQL注入方法77
5.4.4 非文本框输入的SQL注入方法82
5.4.5 固定提示信息的渗透方法89
5.4.6 利用SQL注入漏洞对文件进行读写92
5.4.7 利用sqlmap完成SQL注入94
5.4.8 防范SQL注入98
5.5 实训任务102
第6章 SQL盲注攻击与防御103
6.1 项目描述103
6.2 项目分析103
6.3 项目小结107
6.4 项目训练107
6.4.1 实验环境107
6.4.2 基于布尔值的字符注入原理107
6.4.3 基于布尔值的字节注入原理113
6.4.4 基于时间的注入原理115
6.4.5 非文本框输入的SQL盲注方法120
6.4.6 固定提示信息的SQL盲注方法128
6.4.7 利用Burp Suite暴力破解SQL盲注130
6.4.8 SQL盲注防御方法138
6.5 实训任务140
第7章 暴力破解攻击与防御141
7.1 项目描述141
7.2 项目分析141
7.3 项目小结145
7.4 项目训练145
7.4.1 实验环境145
7.4.2 利用密码进行暴力破解145
7.4.3 利用Burp Suite进行暴力破解150
7.4.4 在中、高等安全级别下实施暴力破解153
7.4.5 利用Bruter实施暴力破解156
7.4.6 利用Hydra实施暴力破解159
7.5 实训任务161
第8章 文件包含攻击与防御162
8.1 项目描述162
8.2 项目分析162
8.3 项目小结166
8.4 项目训练166
8.4.1 实验环境166
8.4.2 文件包含漏洞原理166
8.4.3 文件包含漏洞攻击方法171
8.4.4 绕过防御方法173
8.4.5 文件包含漏洞的几种应用方法176
8.4.6 文件包含漏洞的防御方法177
8.5 实训任务178
第9章 XSS攻击与防御179
9.1 项目描述179
9.2 项目分析179
9.3 项目小结185
9.4 项目训练186
9.4.1 实验环境186
9.4.2 XSS攻击原理186
9.4.3 反射型XSS攻击方法189
9.4.4 存储型XSS攻击方法190
9.4.5 利用Cookie完成Session劫持190
9.4.6 XSS钓鱼攻击192
9.4.7 防范XSS攻击195
9.5 实训任务198
第10章 CSRF攻击与防御199
10.1 项目描述199
10.2 项目分析199
10.3 项目小结204
10.4 项目训练205
10.4.1 实验环境205
10.4.2 CSRF攻击原理205
10.4.3 显性与隐性攻击方式208
10.4.4 模拟银行转账攻击211
10.4.5 防范CSRF攻击215
10.5 实训任务219
第11章 代码审计220
11.1 代码审计概述220
11.2 常见代码审计方法221
11.3 代码审计具体案例222
参考文献223
内容摘要
本书是针对高职学生信息安全专业学生,在学习信息安全方面中web安全方面的基础知识。本书采用目前流行的web渗透开源平台DVWA为实验平台,详细讲解分析流行的web渗透与防护方法。
主编推荐
王德鹏,2008年至今就职于苏州市职业大学计算机工程学院,从事计算机课程的教学工作,担任过软件开发等课程教学工作,从2012年开始从事计算机网络方面的教学工作,主要担任信息安全课程的教学工作,并从2012年开始指导学生参加江苏省高职技能大赛信息安全与评估赛项,连续多年获奖。
相关推荐
— 没有更多了 —
以下为对购买帮助不大的评价