华信教育资源网
  1. 高职高专
  2. 计算机类
  3. 计算机网络与信息安全
#
  • #
#
Web渗透与防御
丛   书   名: 高等职业教育计算机系列“十三五”规划教材
作   译   者:陈云志 出 版 日 期:2019-01-01
出   版   社:电子工业出版社 维   护   人:徐建军 
书   代   号:G0344160 I S B N:9787121344169

图书简介:

本书以常见的Web安全漏洞为对象,详细介绍了这些Web安全漏洞的漏洞成因、检测方法以及防范技术,这些漏洞都是OWASP TOP 10中所列举的主要风险,为学习和研究Web安全漏洞检测及防范技术提供了有价值的参考。全书共有6章,分别介绍Web系统安全概论、Web协议分析、Web漏洞检测工具、Web漏洞实验平台、Web常见漏洞分析、Web应用安全防护与部署等内容,所涉及的漏洞基本涵盖了OWASP TOP 10中所列举的主要风险。
样书申请
定价 43.0
购买
您的专属联系人更多
联系人:贺志洪
电话:010-88254609
邮箱:hzh@phei.com.cn
关注 评论(0) 分享
配套资源 图书内容 样章/电子教材 图书评价
  • 配 套 资 源

    本书资源

    会员上传本书资源

    为本书上传资源
  • 图 书 内 容

    内容简介

    本书以常见的Web安全漏洞为对象,详细介绍了这些Web安全漏洞的漏洞成因、检测方法以及防范技术,这些漏洞都是OWASP TOP 10中所列举的主要风险,为学习和研究Web安全漏洞检测及防范技术提供了有价值的参考。全书共有6章,分别介绍Web系统安全概论、Web协议分析、Web漏洞检测工具、Web漏洞实验平台、Web常见漏洞分析、Web应用安全防护与部署等内容,所涉及的漏洞基本涵盖了OWASP TOP 10中所列举的主要风险。

    图书详情

    ISBN:9787121344169
    开 本:16(185*260)
    页 数:288
    字 数:460.8

    本书目录 

    目    录
    项目一  Web安全概述	1
    1.1  Web安全现状与发展趋势	1
    1.1.1  Web安全现状	1
    1.1.2  Web安全发展趋势	4
    1.2  Web系统介绍	5
    1.2.1  Web的发展历程	5
    1.2.2  Web系统的构成	6
    1.2.3  Web系统的应用架构	7
    1.2.4  Web的访问方法	8
    1.2.5  Web编程语言	8
    1.2.6  Web数据库访问技术	10
    1.2.7  Web服务器	11
    实例  十大安全漏洞比较分析	13
    项目二  Web协议与分析	14
    2.1  HTTP	14
    2.1.1  HTTP通信过程	14
    2.1.2  统一资源定位符(URL)	15
    2.1.3  HTTP的连接方式和无状态性	15
    2.1.4  HTTP请求报文	16
    2.1.5  HTTP响应报文	19
    2.1.6  HTTP报文结构汇总	21
    2.1.7  HTTP会话管理	22
    2.2  HTTPS	23
    2.2.1  HTTPS和 HTTP的主要区别	24
    2.2.2  HTTPS与Web服务器通信过程	24
    2.2.3  HTTPS的优点	25
    2.2.4  HTTPS的缺点	25
    2.3  网络嗅探工具	25
    2.3.1  Wireshark简介	25
    2.3.2  Wireshark 工具的界面	26
    实例1  Wireshark应用实例	35
    实例1.1  捕捉数据包	35
    实例1.2  处理捕捉后的数据包	39
     
    项目三  Web漏洞检测工具	44
    3.1  Web漏洞检测工具AppScan	44
    3.1.1  AppScan简介	44
    3.1.2  AppScan的安装	45
    3.1.3  AppScan的基本工作流程	48
    3.1.4  AppScan界面介绍	51
    3.2  HTTP分析工具WebScarab	54
    3.3  网络漏洞检测工具Nmap	56
    3.3.1  Nmap简介	56
    3.3.2  Nmap的安装	57
    3.4  集成化的漏洞扫描工具Nessus	59
    3.4.1  Nessus简介	59
    3.4.2  Nessus的安装	60
    实例1  扫描实例	63
    实例2  WebScarab的运行	75
    实例3  Nmap应用实例	82
    实例3.1  利用Nmap图形界面进行扫描探测	82
    实例3.2  利用Nmap命令行界面进行扫描探测	95
    实例4  利用Nessus扫描Web应用程序	103
    项目四  Web漏洞实验平台	108
    4.1  DVWA的安装与配置	108
    4.2  WebGoat简介	109
    实例1  DVWA v1.9的平台搭建	109
    实例2  WebGoat的安装与配置	117
    项目五  Web常见漏洞分析	122
    5.1  SQL注入漏洞分析	122
    5.2  XSS漏洞分析	126
    5.3  CSRF漏洞分析	130
    5.4  任意文件下载漏洞	132
    5.5  文件包含漏洞分析	133
    5.6  逻辑漏洞	137
    5.6.1  用户相关的逻辑漏洞	137
    5.6.2  交易相关的逻辑漏洞	140
    5.6.3  恶意攻击相关的逻辑漏洞	141
    5.7  任意文件上传漏洞	142
    5.8  暴力破解	142
    5.9  命令注入	142
    5.10  不安全的验证码机制	143
    实例1   SQL注入漏洞实例	145
    实例1.1  手工SQL注入	145
    实例1.2  使用工具进行SQL注入	149
    实例1.3  手工注入(1)	151
    实例1.4  手工注入(2)	154
    实例1.5  布尔盲注	157
    实例1.6  时间盲注	160
    实例2  XSS漏洞攻击实例	165
    实例2.1  反射型XSS漏洞挖掘与利用(1)	165
    实例2.2  反射型XSS漏洞挖掘与利用(2)	167
    实例2.3  反射型XSS漏洞挖掘与利用(3)	168
    实例2.4  存储型XSS漏洞挖掘与利用(1)	169
    实例2.5  存储型XSS漏洞挖掘与利用(2)	170
    实例2.6  存储型XSS漏洞挖掘与利用(3)	172
    实例2.7  DOM型XSS漏洞挖掘与利用(1)	174
    实例2.8  DOM型XSS漏洞挖掘与利用(2)	175
    实例2.9  DOM型XSS漏洞挖掘与利用(3)	176
    实例3  CSRF漏洞攻击实例	177
    实例3.1  CSRF漏洞挖掘与利用(1)	177
    实例3.2  CSRF漏洞挖掘与利用(2)	179
    实例3.3  CSRF漏洞挖掘与利用(3)	180
    实例4  CMS任意文件下载实例	183
    实例5  文件包含漏洞攻击实例	185
    实例5.1  文件包含漏洞挖掘与利用(1)	185
    实例5.2  文件包含漏洞挖掘与利用(2)	187
    实例5.3  文件包含漏洞挖掘与利用(3)	188
    实例6  逻辑漏洞攻击实例	190
    实例6.1  某网站任意密码修改漏洞	190
    实例6.2  某电商平台权限跨越漏洞	192
    实例6.3  某交易支付相关漏洞	195
    实例6.4  某电商平台邮件炸弹攻击漏洞	196
    实例7  文件上传漏洞利用实例	197
    实例7.1  文件上传漏洞利用(1)	197
    实例7.2  文件上传漏洞利用(2)	199
    实例7.3  文件上传漏洞利用(3)	203
    实例7.4  文件上传漏洞防护	205
    实例8  Web口令暴力破解实例	207
    实例8.1  Web口令暴力破解(1)	207
    实例8.2  Web口令暴力破解(2)	211
    实例8.3  Web口令暴力破解(3)	213
    实例8.4  Web口令暴力破解防护	217
    实例9   命令注入漏洞利用实例	219
    实例9.1  命令注入漏洞利用(1)	219
    实例9.2  命令注入漏洞利用(2)	223
    实例9.3  命令注入漏洞利用(3)	226
    实例9.4  命令注入漏洞防护	230
    实例10  验证码绕过攻击实例	232
    实例10.1  验证码绕过攻击(1)	232
    实例10.2  验证码绕过攻击(2)	235
    实例10.3  验证码绕过攻击(3)	237
    实例10.4  验证码绕过漏洞防护	239
    项目六  Web应用安全防护与部署	241
    6.1  服务器系统与网络服务	241
    6.1.1  服务器系统主要技术	241
    6.1.2  网络操作系统常用的网络服务	242
    6.2  Apache技术介绍	245
    6.2.1  Apache工作原理	245
    6.2.2  配置Apache服务器	246
    6.3  Web应用防护系统(WAF)	248
    6.3.1  WAF的主要功能	248
    6.3.2  常见的WAF产品	249
    实例1  Linux安全部署	250
    实例2  Windows安全部署	255
    实例3  IIS加固设置	265
    实例4  Apache加固设置	266
    实例5  Tomcat加固设置	269
    实例6  WAF配置与应用	272
    展开

    前     言

    随着微博、微信等一系列新型互联网应用的诞生,基于Web环境的互联网应用越来越广泛。在企业信息化过程中,各种应用也都架设在Web平台上。在Web业务迅速发展的同时,相关安全管理并没有跟上,使得Web安全威胁日益凸显。黑客利用网站系统漏洞和Web服务程序漏洞等获得Web服务器的控制权限,轻则篡改网页内容,重则窃取重要数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。
    面对日益严峻的安全形势,国家对于网络安全人员的需求与日俱增。无论是即将毕业的网络空间安全、信息安全与管理专业的大学生,还是在岗的网络安全工作者,努力学好并真正掌握Web安全相关的知识与技能,已经成为从事网络信息安全工作的先决和必要条件,并对其今后的发展具有特殊意义。
    本书以常见的Web安全漏洞为背景,详细介绍了Web安全漏洞的成因、检测方法及防范技术,通过分析OWASP top 10中所列举的主要风险,为学生学习和研究Web安全漏洞检测及防范技术提供了有价值的参考。全书共有6个项目:Web安全概述、Web协议与分析、Web漏洞检测工具、Web漏洞实验平台、Web常见漏洞分析和Web应用安全防护与部署。项目设计由浅入深,由简入繁,循序渐进;注重实践操作,知识点围绕操作过程,按需介绍,侧重应用,抛开了复杂的理论说教,便于学以致用。
    本书可作为高等院校计算机、信息安全及其相关专业的本科生和专科生的教材,也可作为网络安全运维人员、网络工程技术人员的参考书。也把这本书推荐给所有对学习Web安全技术有兴趣的读者。
    本书由杭州职业技术学院信息工程学院的陈云志教授策划并组织编写,由陈云志、宣乐飞、郝阜平担任主编;吴培飞、吴兴法、富众杰、赵刚担任副主编。其中,项目一由陈云志和宣乐飞共同编写,项目二由富众杰编写,项目三由郝阜平编写,项目四由赵刚编写,项目五由宣乐飞和吴兴法编写,项目六由吴培飞编写,全书由陈云志统稿,由申毅主审。本书中部分项目素材由杭州安恒信息技术有限公司提供,冯旭杭、孙小平等专家对本书编写提出了大量意见与建议,并参与了部分内容的校对和整理工作,在此一并表示感谢。
    本书注重实践操作,知识点围绕操作过程,按需介绍,每个项目均安排了相关的实训内容。作为国家信息安全与管理专业教学资源库课程“Web应用安全”的配套教材,学员可以通过该资源库平台访问课程的配套资源,如PPT、视频、动画、实训、习题等。
    为方便教师教学,本书配有电子教学课件及相关资源,请有此需要的教师登录华信教育资源网(www.hxedu.com.cn)免费注册后下载,如有问题可在网站留言板留言或与电子工业出版社(E-mail:hxedu@phei.com.cn)联系。
    由于编者水平有限,书中难免存在疏漏和不足,恳请同行专家和读者给予批评指正。
                  编  者
    展开

    作者简介

    本书暂无作者简介
  • 样 章 试 读
  • 图 书 评 价 我要评论
相关推荐 浏览记录
Web前端开发(初级)(上册)
49.0
单片机应用技术(C语言版)第4版
55.0
数据可视化——从小白到数据工程师的成长之路
56.0
财务共享综合实训
45.0
单片机原理及应用——基于Proteus和Keil C(第4版)
45.0
计算机算法设计与分析(第5版)
52.0
华信教育资源网