华信教育资源网
  1. 高职高专
  2. 计算机类
  3. 计算机网络与信息安全
#
  • #
#
Web安全与防护
丛   书   名: 高等职业教育新目录新专标电子与信息大类教材
作   译   者:王立进 出 版 日 期:2022-11-01
出   版   社:电子工业出版社 维   护   人:左雅 
书   代   号:G0432200 I S B N:9787121432200

图书简介:

Web 系统是目前最为流行的架构,由于它是黑客攻击的重要目标,因此迫切需要大量掌握Web 安全攻防技术的人才提高其安全性。本书结合渗透测试项目实施过程,分为Web 系统安全技术基础、信息收集与漏洞扫描、利用漏洞进行渗透测试与防范、项目验收4个部分,共 10 个单元,详细介绍了Web 系统安全技术与利用漏洞进行渗透测试的方法。每个单元理论知识与实训任务相结合,较好地体现了理实一体化的教学理念。为便于学习,本书主要针对基于PHP+MySQL开发的Web 系统安全攻防技术,实训内容图文并茂,易于实训任务的开展。为了使学生对Web 安全技术融会贯通,本书讲解力求深入至Web 系统程序代码层面。本书体系完整,内容翔实,配套资源丰富,可供高职院校开设Web 安全技术课程的学生使用,也可作为本科院校学生学习Web 安全技术的入门教程,同时也可作为技术人员自学Web 安全技术的参考书。
样书申请
定价 45.0
购买
您的专属联系人更多
联系人:贺志洪
电话:010-88254609
邮箱:hzh@phei.com.cn
关注 评论(3) 分享
配套资源 图书内容 样章/电子教材 图书评价
  • 配 套 资 源

    本书资源

    会员上传本书资源

    为本书上传资源
  • 图 书 内 容

    内容简介

    Web 系统是目前最为流行的架构,由于它是黑客攻击的重要目标,因此迫切需要大量掌握Web 安全攻防技术的人才提高其安全性。本书结合渗透测试项目实施过程,分为Web 系统安全技术基础、信息收集与漏洞扫描、利用漏洞进行渗透测试与防范、项目验收4个部分,共 10 个单元,详细介绍了Web 系统安全技术与利用漏洞进行渗透测试的方法。每个单元理论知识与实训任务相结合,较好地体现了理实一体化的教学理念。为便于学习,本书主要针对基于PHP+MySQL开发的Web 系统安全攻防技术,实训内容图文并茂,易于实训任务的开展。为了使学生对Web 安全技术融会贯通,本书讲解力求深入至Web 系统程序代码层面。本书体系完整,内容翔实,配套资源丰富,可供高职院校开设Web 安全技术课程的学生使用,也可作为本科院校学生学习Web 安全技术的入门教程,同时也可作为技术人员自学Web 安全技术的参考书。

    图书详情

    ISBN:9787121432200
    开 本:16(185*260)
    页 数:204
    字 数:326

    本书目录 

    单元 1  Web 系统安全技术基础	1
1.1  Web 系统安全形势与威胁	1
1.1.1  Web 系统安全形势	1
1.1.2  Web 系统威胁分析	2
1.1.3  OWASP十大Web 系统安全漏洞	3
1.1.4  Web 系统渗透测试常用工具	4
1.2  Web 系统架构与技术	5
1.2.1  Web 系统架构	5
1.2.2  服务器端技术	6
1.2.3  客户端技术	7
1.2.4  实训:安装DVWA系统	8
1.3  HTTP	13
1.3.1  HTTP工作原理	13
1.3.2  HTTP请求	14
1.3.3  HTTP响应	16
1.3.4  HTTPS	18
1.3.5  实训:抓取并分析HTTP数据包	19
1.4  Web 系统控制会话技术	24
1.4.1  Cookie	24
1.4.2  Session	25
1.4.3  Cookie 与Session 的比较	25
1.4.4  实训:利用 Cookie 冒充他人登录系统	26
练习题	30
单元 2  信息收集与漏洞扫描	32
2.1  信息收集	32
2.1.1  利用公开网站收集目标系统信息	33
2.1.2  利用Nmap进行信息收集	35
2.1.3  实训:利用Nmap识别DVWA的服务及操作系统	37
2.2  漏洞扫描	41
2.2.1  漏洞扫描的概念	41
2.2.2  网络漏洞扫描系统的工作原理	42
2.2.3  实训:使用Nmap进行漏洞扫描	43
2.2.4  实训:使用AWVS进行漏洞扫描	47
2.3  Burp Suite 的深度利用	52
2.3.1  Burp Suite 常用功能模块	52
2.3.2  实训:使用Burp Suite 进行暴力破解	56
练习题	64
单元 3  SQL注入漏洞渗透测试与防范	66
3.1  SQL注入漏洞概述	66
3.1.1  SQL注入的概念与危害	66
3.1.2  SQL注入漏洞的原理	67
3.1.3  SQL注入漏洞的探测	68
3.1.4  实训:手动SQL注入	70
3.2  SQL注入漏洞利用的基础知识	72
3.2.1  MySQL的注释	73
3.2.2  MySQL的元数据	73
3.2.3  union查询	73
3.2.4  常用的MySQL函数	74
3.2.5  实训:SQL注入的高级利用	75
3.3  SQL盲注的探测与利用	79
3.3.1  SQL盲注概述	79
3.3.2  实训:手动盲注	80
3.3.3  实训:利用SQLMap 对DVWA系统进行注入	85
3.4  SQL注入的防范与绕过	91
3.4.1  常见过滤技术与绕过	91
3.4.2  SQL注入技术的综合防范技术	92
3.4.3  实训:SQL注入过滤的绕过与防范	94
练习题	98
单元 4  跨站脚本漏洞渗透测试与防范	100
4.1  反射型XSS漏洞检测与利用	100
4.1.1  问题引入	100
4.1.2  反射型XSS漏洞原理	101
4.1.3  反射型XSS漏洞检测	103
4.1.4  实训:反射型XSS漏洞检测与利用	103
4.2  存储型XSS漏洞检测与利用	105
4.2.1  存储型XSS漏洞的原理	105
4.2.2  存储型XSS漏洞的检测	105
4.2.3  存储型XSS漏洞的利用	106
4.2.4  实训:存储型XSS漏洞检测与利用	107
4.3  基于DOM的XSS漏洞检测与利用	109
4.3.1  基于DOM的XSS漏洞原理	109
4.3.2  基于DOM的XSS漏洞检测	109
4.3.3  基于DOM的XSS漏洞利用	110
4.3.4  实训:基于DOM的XSS漏洞检测与利用	110
4.4  XSS漏洞的深度利用	112
4.4.1  XSS漏洞出现的场景与利用	112
4.4.2  利用XSS漏洞的攻击范围	113
4.4.3  XSS漏洞利用的绕过技巧	114
4.4.4  实训:绕过XSS漏洞防范措施	114
4.5  XSS漏洞的防范	116
4.5.1  输入校验	116
4.5.2  输出编码	117
4.5.3  HttpOnly	117
4.5.4  实训:XSS漏洞的防范	118
练习题	120
单元 5  文件上传漏洞渗透测试与防范	121
5.1  文件上传漏洞概述	121
5.1.1  文件上传漏洞与WebShell	121
5.1.2  中国菜刀与一句话木马	122
5.1.3  Web 容器解析漏洞	123
5.1.4  实训:利用中国菜刀连接WebShell	124
5.2  文件上传漏洞的防范与绕过	127
5.2.1  设计安全的文件上传控制机制	127
5.2.2  实训:客户端检测机制绕过	127
5.2.3  实训:黑名单及白名单过滤扩展名机制与绕过	131
5.2.4  实训:MIME验证与绕过	134
5.2.5  实训:%00 截断上传攻击	136
5.2.6  实训:.htaccess 文件攻击	138
练习题	141
单元 6  命令执行漏洞渗透测试与防范	143
6.1  命令执行漏洞的防范与绕过	143
6.1.1  命令执行漏洞的概念与危害	143
6.1.2  命令执行漏洞的原理与防范	145
6.1.3  实训:命令执行漏洞渗透测试与绕过	145
6.2  命令执行漏洞与代码执行漏洞的区别	147
练习题	149
单元 7  文件包含漏洞渗透测试与防范	150
7.1  文件包含漏洞的概念与分类	150
7.2  文件包含漏洞的深度利用	153
7.3  文件包含漏洞的防范	158
7.4  实训:文件包含漏洞的利用与防范	159
练习题	162
单元 8  跨站请求伪造漏洞渗透测试与防范	163
8.1  跨站请求伪造的概念	163
8.2  跨站请求伪造的原理	164
8.3  跨站请求伪造漏洞的检测	164
8.4  跨站请求伪造漏洞的防范	166
8.5  实训:跨站请求伪造漏洞的利用与防范	167
练习题	172
单元 9  反序列化漏洞渗透测试与防范	174
9.1  反序列化的概念	174
9.2  反序列化漏洞产生的原因与危害	176
9.3  反序列化漏洞的检测与防范	179
9.4  实训:Typecho1.0 反序列化漏洞利用与分析	179
练习题	187
单元 10  渗透测试报告撰写与沟通汇报	188
10.1  漏洞验证与文档记录	188
10.1.1  漏洞验证	188
10.1.2  文档记录建议	189
10.2  渗透测试报告的撰写	190
10.2.1  渗透测试报告需求分析	190
10.2.2  渗透测试报告样例	191
10.3  沟通汇报资料的准备	194
10.4  渗透测试的后续流程	194
练习题	195
参考文献	196
    展开

    前     言

    Web 系统是目前最为流行的架构,也是受黑客攻击最多的目标。据国家互联网应急中心(CNCERT)监测报告,在 2020 年我国境内网站被篡改的数量达到 243 709 个,提高 Web 系统的安全性刻不容缓,迫切需要大量掌握Web 安全技术的人才提高其安全性。
本书将Web 安全技术融入渗透测试项目实施的各个过程,既让学生掌握相关技术与技能,又让学生熟悉渗透测试项目实施的过程。全书分为 Web 系统安全技术基础、信息收集与漏洞扫描、利用漏洞进行渗透测试与防范、项目验收4个部分,共 10 个单元,每个单元包括相关的理论知识及实训任务。
第一部分包括Web 系统安全形势与威胁、Web 系统架构与技术、HTTP、Web 系统控制会话技术等内容。
第二部分包括信息收集与漏洞扫描的内容,为后续的测试与防范做好准备。
第三部分是本书的重点内容,包括SQL注入、跨站脚本、文件上传、命令执行、文件包含、跨站请求伪造、反序列化漏洞的渗透测试与防范,共 7 个单元,根据不同的漏洞介绍相应的渗透测试技术与防范方法。
第四部分主要介绍项目验收的环节。
本书由校企双元开发,整体特点是“易教易学”,讲解力求深入至程序代码层面,无缝融入课程思政内容,融合职业技能竞赛要求的知识点与形式。
(1)本书采用理实相结合的授课方式,易于教授。每个单元的知识点都对应相应的实训任务。实训环境以开源系统为主,辅以可自行编写的小程序,采用的工具易于下载,方便实训教学的开展。
(2)本书主要针对 PHP+MySQL 开发的 Web 系统的安全技术,实训内容图文并茂,方便学生学习。有更高追求的学生可在此基础上横向扩展学习基于其他语言或数据库开发的Web 系统的安全技术。
(3)本书侧重于 Web 系统自身的安全技术,因此力求深入到程序代码层面。漏洞形成原理、利用及防范方法都结合源代码进行讲解,使学生真正理解相关知识点,做到融会贯通。
(4)本书融合了职业技能竞赛要求的知识点与形式。在各类网络安全大赛中 Web 类型的 CTF 题目占有较大比重,本书在习题部分含有龙头企业专家编写的 CTF 题目,使学生加强对相关知识的掌握,深入理解职业技能竞赛要求的知识点与形式,有效提升学生对 Web 安全技术的兴趣。
为便于教与学,本书每单元提供若干微课视频,请扫描书中二维码观看学习。配套课件、习题答案等请登录华信教育资源网(http://www.hxedu.com.cn)注册后免费下载。
本书由山东科技职业学院王立进、山东电子职业技术学院朱宪花担任主编,山东信息职业技术学院李臻、山东科技职业学院张宗宝、启明星辰技术总监张镇担任副主编,北京工业大学教授、博导张建标担任主审。王立进编写了单元 1 至单元 6,朱宪花编写了单元 9 及练习题目,李臻编写了单元 7 ,张宗宝编写了单元 8 ,张镇编写了单元 10 及习题中的CTF题目部分。本书的编写还得到Web 前端技术国家创新团队的倾力支持;另外,在编写过程中,参考了吴翰清、张炳帅等信息安全专家及学者的著作,在此一并表示感谢。
由于信息安全攻防技术不仅涉及知识面广,而且要求深入,加之作者水平有限,时间仓促,书中难免有不足之处,欢迎各位专家、同人、读者批评指正。

编 者
    展开

    作者简介

    王立进,山东科技职业学院副教授,国家级职业教育教师教学创新团队成员,曾获国家级教学成果二等奖、山东省教学成果特等奖,具有CISSP、CCNP、PMP等专业认证证书。精通WEB攻防、防火墙、入侵检测、信息安全管理与评估等技术。具有在启明星辰等知名信息安全公司超过20年的企业工作经验,期间曾被聘任为北京邮电大学计算机学院兼职副教授、硕士研究生企业导师
  • 样 章 试 读
  • 图 书 评 价 我要评论
相关推荐 浏览记录
单片机应用技术(C语言版)第4版
55.0
Web前端开发(初级)(上册)
49.0
射频技术(第2版)
58.0
数据可视化——从小白到数据工程师的成长之路
56.0
计算机算法设计与分析(第5版)
52.0
财务共享综合实训
45.0
华信教育资源网