Web安全与防护
全新正版 极速发货
¥ 27.1 6.0折 ¥ 45 全新
仅1件
广东广州
认证卖家担保交易快速发货售后保障
作者王立进,朱宪花 编
出版社电子工业出版社
ISBN9787121432200
出版时间2022-11
装帧平装
开本16开
定价45元
货号1202789017
上书时间2024-12-02
商品详情
- 品相描述:全新
- 商品描述
-
作者简介
王立进,山东科技职业学院副教授,国家级职业教育教师教学创新团队成员,曾获国家级教学成果二等奖、山东省教学成果特等奖,具有CISSP、CCNP、PMP等专业认证证书。精通WEB攻防、防火墙、入侵检测、信息安全管理与评估等技术。具有在启明星辰等知名信息安全公司超过20年的企业工作经验,期间曾被聘任为北京邮电大学计算机学院兼职副教授、硕士研究生企业导师
目录
单元1Web系统安全技术基础1
1.1Web系统安全形势与威胁1
1.1.1Web系统安全形势1
1.1.2Web系统威胁分析2
1.1.3OWASP十大Web系统安全漏洞3
1.1.4Web系统渗透测试常用工具4
1.2Web系统架构与技术5
1.2.1Web系统架构5
1.2.2服务器端技术6
1.2.3客户端技术7
1.2.4实训:安装DVWA系统8
1.3HTTP13
1.3.1HTTP工作原理13
1.3.2HTTP请求14
1.3.3HTTP响应16
1.3.4HTTPS18
1.3.5实训:抓取并分析HTTP数据包19
1.4Web系统控制会话技术24
1.4.1Cookie24
1.4.2Session25
1.4.3Cookie与Session的比较25
1.4.4实训:利用Cookie冒充他人登录系统26
练习题30
单元2信息收集与漏洞扫描32
2.1信息收集32
2.1.1利用公开网站收集目标系统信息33
2.1.2利用Nmap进行信息收集35
2.1.3实训:利用Nmap识别DVWA的服务及操作系统37
2.2漏洞扫描41
2.2.1漏洞扫描的概念41
2.2.2网络漏洞扫描系统的工作原理42
2.2.3实训:使用Nmap进行漏洞扫描43
2.2.4实训:使用AWVS进行漏洞扫描47
2.3BurpSuite的深度利用52
2.3.1BurpSuite常用功能模块52
2.3.2实训:使用BurpSuite进行暴力破解56
练习题64
单元3SQL注入漏洞渗透测试与防范66
3.1SQL注入漏洞概述66
3.1.1SQL注入的概念与危害66
3.1.2SQL注入漏洞的原理67
3.1.3SQL注入漏洞的探测68
3.1.4实训:手动SQL注入70
3.2SQL注入漏洞利用的基础知识72
3.2.1MySQL的注释73
3.2.2MySQL的元数据73
3.2.3union查询73
3.2.4常用的MySQL函数74
3.2.5实训:SQL注入的高级利用75
3.3SQL盲注的探测与利用79
3.3.1SQL盲注概述79
3.3.2实训:手动盲注80
3.3.3实训:利用SQLMap对DVWA系统进行注入85
3.4SQL注入的防范与绕过91
3.4.1常见过滤技术与绕过91
3.4.2SQL注入技术的综合防范技术92
3.4.3实训:SQL注入过滤的绕过与防范94
练习题98
单元4跨站脚本漏洞渗透测试与防范100
4.1反射型XSS漏洞检测与利用100
4.1.1问题引入100
4.1.2反射型XSS漏洞原理101
4.1.3反射型XSS漏洞检测103
4.1.4实训:反射型XSS漏洞检测与利用103
4.2存储型XSS漏洞检测与利用105
4.2.1存储型XSS漏洞的原理105
4.2.2存储型XSS漏洞的检测105
4.2.3存储型XSS漏洞的利用106
4.2.4实训:存储型XSS漏洞检测与利用107
4.3基于DOM的XSS漏洞检测与利用109
4.3.1基于DOM的XSS漏洞原理109
4.3.2基于DOM的XSS漏洞检测109
4.3.3基于DOM的XSS漏洞利用110
4.3.4实训:基于DOM的XSS漏洞检测与利用110
4.4XSS漏洞的深度利用112
4.4.1XSS漏洞出现的场景与利用112
4.4.2利用XSS漏洞的攻击范围113
4.4.3XSS漏洞利用的绕过技巧114
4.4.4实训:绕过XSS漏洞防范措施114
4.5XSS漏洞的防范116
4.5.1输入校验116
4.5.2输出编码117
4.5.3HttpOnly117
4.5.4实训:XSS漏洞的防范118
练习题120
单元5文件上传漏洞渗透测试与防范121
5.1文件上传漏洞概述121
5.1.1文件上传漏洞与WebShell121
5.1.2中国菜刀与一句话木马122
5.1.3Web容器解析漏洞123
5.1.4实训:利用中国菜刀连接WebShell124
5.2文件上传漏洞的防范与绕过127
5.2.1设计安全的文件上传控制机制127
5.2.2实训:客户端检测机制绕过127
5.2.3实训:黑名单及白名单过滤扩展名机制与绕过131
5.2.4实训:MIME验证与绕过134
5.2.5实训:%00截断上传攻击136
5.2.6实训:.htaccess文件攻击138
练习题141
单元6命令执行漏洞渗透测试与防范143
6.1命令执行漏洞的防范与绕过143
6.1.1命令执行漏洞的概念与危害143
6.1.2命令执行漏洞的原理与防范145
6.1.3实训:命令执行漏洞渗透测试与绕过145
6.2命令执行漏洞与代码执行漏洞的区别147
练习题149
单元7文件包含漏洞渗透测试与防范150
7.1文件包含漏洞的概念与分类150
7.2文件包含漏洞的深度利用153
7.3文件包含漏洞的防范158
7.4实训:文件包含漏洞的利用与防范159
练习题162
单元8跨站请求伪造漏洞渗透测试与防范163
8.1跨站请求伪造的概念163
8.2跨站请求伪造的原理164
8.3跨站请求伪造漏洞的检测164
8.4跨站请求伪造漏洞的防范166
8.5实训:跨站请求伪造漏洞的利用与防范167
练习题172
单元9反序列化漏洞渗透测试与防范174
9.1反序列化的概念174
9.2反序列化漏洞产生的原因与危害176
9.3反序列化漏洞的检测与防范179
9.4实训:Typecho1.0反序列化漏洞利用与分析179
练习题187
单元10渗透测试报告撰写与沟通汇报188
10.1漏洞验证与文档记录188
10.1.1漏洞验证188
10.1.2文档记录建议189
10.2渗透测试报告的撰写190
10.2.1渗透测试报告需求分析190
10.2.2渗透测试报告样例191
10.3沟通汇报资料的准备194
10.4渗透测试的后续流程194
练习题195
参考文献196
内容摘要
Web系统是目前最为流行的架构,由于它是黑客攻击的重要目标,因此迫切需要大量掌握Web安全攻防技术的人才提高其安全性。本书结合渗透测试项目实施过程,分为Web系统安全技术基础、信息收集与漏洞扫描、利用漏洞进行渗透测试与防范、项目验收4个部分,共10个单元,详细介绍了Web系统安全技术与利用漏洞进行渗透测试的方法。每个单元理论知识与实训任务相结合,较好地体现了理实一体化的教学理念。为便于学习,本书主要针对基于PHP+MySQL开发的Web系统安全攻防技术,实训内容图文并茂,易于实训任务的开展。为了使学生对Web安全技术融会贯通,本书讲解力求深入至Web系统程序代码层面。本书体系完整,内容翔实,配套资源丰富,可供高职院校开设Web安全技术课程的学生使用,也可作为本科院校学生学习Web安全技术的入门教程,同时也可作为技术人员自学Web安全技术的参考书。
相关推荐
— 没有更多了 —
以下为对购买帮助不大的评价