定 價(jià):43 元
叢書名:高等職業(yè)教育計(jì)算機(jī)系列"十三五"規(guī)劃教材
- 作者:陳云志
- 出版時(shí)間:2019/1/1
- ISBN:9787121344169
- 出 版 社:電子工業(yè)出版社
- 中圖法分類:TP393.08
- 頁(yè)碼:288
- 紙張:
- 版次:01
- 開本:16開
本書以常見的Web安全漏洞為對(duì)象,詳細(xì)介紹了這些Web安全漏洞的漏洞成因、檢測(cè)方法以及防范技術(shù),這些漏洞都是OWASP TOP 10中所列舉的主要風(fēng)險(xiǎn),為學(xué)習(xí)和研究Web安全漏洞檢測(cè)及防范技術(shù)提供了有價(jià)值的參考。全書共有6章,分別介紹Web系統(tǒng)安全概論、Web協(xié)議分析、Web漏洞檢測(cè)工具、Web漏洞實(shí)驗(yàn)平臺(tái)、Web常見漏洞分析、Web應(yīng)用安全防護(hù)與部署等內(nèi)容,所涉及的漏洞基本涵蓋了OWASP TOP 10中所列舉的主要風(fēng)險(xiǎn)。
宣樂飛,男,碩士研究生,浙江杭州人。杭州職業(yè)技術(shù)學(xué)院信息工程學(xué)院信息安全與管理專業(yè)負(fù)責(zé)人,主要講授計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、信息安全方向課程。承擔(dān)浙江省十三五優(yōu)勢(shì)專業(yè)—信息安全與管理專業(yè)建設(shè),《路由與交換》國(guó)家級(jí)精品課程主講教師、國(guó)家十二五規(guī)劃教材《路由與交換》副主編,承擔(dān)廳級(jí)課題3項(xiàng),發(fā)表論文6篇,其中EI收錄1篇。
目 錄
項(xiàng)目一 Web安全概述 1
1.1 Web安全現(xiàn)狀與發(fā)展趨勢(shì) 1
1.1.1 Web安全現(xiàn)狀 1
1.1.2 Web安全發(fā)展趨勢(shì) 4
1.2 Web系統(tǒng)介紹 5
1.2.1 Web的發(fā)展歷程 5
1.2.2 Web系統(tǒng)的構(gòu)成 6
1.2.3 Web系統(tǒng)的應(yīng)用架構(gòu) 7
1.2.4 Web的訪問方法 8
1.2.5 Web編程語(yǔ)言 8
1.2.6 Web數(shù)據(jù)庫(kù)訪問技術(shù) 10
1.2.7 Web服務(wù)器 11
實(shí)例 十大安全漏洞比較分析 13
項(xiàng)目二 Web協(xié)議與分析 14
2.1 HTTP 14
2.1.1 HTTP通信過(guò)程 14
2.1.2 統(tǒng)一資源定位符(URL) 15
2.1.3 HTTP的連接方式和無(wú)狀態(tài)性 15
2.1.4 HTTP請(qǐng)求報(bào)文 16
2.1.5 HTTP響應(yīng)報(bào)文 19
2.1.6 HTTP報(bào)文結(jié)構(gòu)匯總 21
2.1.7 HTTP會(huì)話管理 22
2.2 HTTPS 23
2.2.1 HTTPS和 HTTP的主要區(qū)別 24
2.2.2 HTTPS與Web服務(wù)器通信過(guò)程 24
2.2.3 HTTPS的優(yōu)點(diǎn) 25
2.2.4 HTTPS的缺點(diǎn) 25
2.3 網(wǎng)絡(luò)嗅探工具 25
2.3.1 Wireshark簡(jiǎn)介 25
2.3.2 Wireshark 工具的界面 26
實(shí)例1 Wireshark應(yīng)用實(shí)例 35
實(shí)例1.1 捕捉數(shù)據(jù)包 35
實(shí)例1.2 處理捕捉后的數(shù)據(jù)包 39
項(xiàng)目三 Web漏洞檢測(cè)工具 44
3.1 Web漏洞檢測(cè)工具AppScan 44
3.1.1 AppScan簡(jiǎn)介 44
3.1.2 AppScan的安裝 45
3.1.3 AppScan的基本工作流程 48
3.1.4 AppScan界面介紹 51
3.2 HTTP分析工具WebScarab 54
3.3 網(wǎng)絡(luò)漏洞檢測(cè)工具Nmap 56
3.3.1 Nmap簡(jiǎn)介 56
3.3.2 Nmap的安裝 57
3.4 集成化的漏洞掃描工具Nessus 59
3.4.1 Nessus簡(jiǎn)介 59
3.4.2 Nessus的安裝 60
實(shí)例1 掃描實(shí)例 63
實(shí)例2 WebScarab的運(yùn)行 75
實(shí)例3 Nmap應(yīng)用實(shí)例 82
實(shí)例3.1 利用Nmap圖形界面進(jìn)行掃描探測(cè) 82
實(shí)例3.2 利用Nmap命令行界面進(jìn)行掃描探測(cè) 95
實(shí)例4 利用Nessus掃描Web應(yīng)用程序 103
項(xiàng)目四 Web漏洞實(shí)驗(yàn)平臺(tái) 108
4.1 DVWA的安裝與配置 108
4.2 WebGoat簡(jiǎn)介 109
實(shí)例1 DVWA v1.9的平臺(tái)搭建 109
實(shí)例2 WebGoat的安裝與配置 117
項(xiàng)目五 Web常見漏洞分析 122
5.1 SQL注入漏洞分析 122
5.2 XSS漏洞分析 126
5.3 CSRF漏洞分析 130
5.4 任意文件下載漏洞 132
5.5 文件包含漏洞分析 133
5.6 邏輯漏洞 137
5.6.1 用戶相關(guān)的邏輯漏洞 137
5.6.2 交易相關(guān)的邏輯漏洞 140
5.6.3 惡意攻擊相關(guān)的邏輯漏洞 141
5.7 任意文件上傳漏洞 142
5.8 暴力破解 142
5.9 命令注入 142
5.10 不安全的驗(yàn)證碼機(jī)制 143
實(shí)例1 SQL注入漏洞實(shí)例 145
實(shí)例1.1 手工SQL注入 145
實(shí)例1.2 使用工具進(jìn)行SQL注入 149
實(shí)例1.3 手工注入(1) 151
實(shí)例1.4 手工注入(2) 154
實(shí)例1.5 布爾盲注 157
實(shí)例1.6 時(shí)間盲注 160
實(shí)例2 XSS漏洞攻擊實(shí)例 165
實(shí)例2.1 反射型XSS漏洞挖掘與利用(1) 165
實(shí)例2.2 反射型XSS漏洞挖掘與利用(2) 167
實(shí)例2.3 反射型XSS漏洞挖掘與利用(3) 168
實(shí)例2.4 存儲(chǔ)型XSS漏洞挖掘與利用(1) 169
實(shí)例2.5 存儲(chǔ)型XSS漏洞挖掘與利用(2) 170
實(shí)例2.6 存儲(chǔ)型XSS漏洞挖掘與利用(3) 172
實(shí)例2.7 DOM型XSS漏洞挖掘與利用(1) 174
實(shí)例2.8 DOM型XSS漏洞挖掘與利用(2) 175
實(shí)例2.9 DOM型XSS漏洞挖掘與利用(3) 176
實(shí)例3 CSRF漏洞攻擊實(shí)例 177
實(shí)例3.1 CSRF漏洞挖掘與利用(1) 177
實(shí)例3.2 CSRF漏洞挖掘與利用(2) 179
實(shí)例3.3 CSRF漏洞挖掘與利用(3) 180
實(shí)例4 CMS任意文件下載實(shí)例 183
實(shí)例5 文件包含漏洞攻擊實(shí)例 185
實(shí)例5.1 文件包含漏洞挖掘與利用(1) 185
實(shí)例5.2 文件包含漏洞挖掘與利用(2) 187
實(shí)例5.3 文件包含漏洞挖掘與利用(3) 188
實(shí)例6 邏輯漏洞攻擊實(shí)例 190
實(shí)例6.1 某網(wǎng)站任意密碼修改漏洞 190
實(shí)例6.2 某電商平臺(tái)權(quán)限跨越漏洞 192
實(shí)例6.3 某交易支付相關(guān)漏洞 195
實(shí)例6.4 某電商平臺(tái)郵件炸彈攻擊漏洞 196
實(shí)例7 文件上傳漏洞利用實(shí)例 197
實(shí)例7.1 文件上傳漏洞利用(1) 197
實(shí)例7.2 文件上傳漏洞利用(2) 199
實(shí)例7.3 文件上傳漏洞利用(3) 203
實(shí)例7.4 文件上傳漏洞防護(hù) 205
實(shí)例8 Web口令暴力破解實(shí)例 207
實(shí)例8.1 Web口令暴力破解(1) 207
實(shí)例8.2 Web口令暴力破解(2) 211
實(shí)例8.3 Web口令暴力破解(3) 213
實(shí)例8.4 Web口令暴力破解防護(hù) 217
實(shí)例9 命令注入漏洞利用實(shí)例 219
實(shí)例9.1 命令注入漏洞利用(1) 219
實(shí)例9.2 命令注入漏洞利用(2) 223
實(shí)例9.3 命令注入漏洞利用(3) 226
實(shí)例9.4 命令注入漏洞防護(hù) 230
實(shí)例10 驗(yàn)證碼繞過(guò)攻擊實(shí)例 232
實(shí)例10.1 驗(yàn)證碼繞過(guò)攻擊(1) 232
實(shí)例10.2 驗(yàn)證碼繞過(guò)攻擊(2) 235
實(shí)例10.3 驗(yàn)證碼繞過(guò)攻擊(3) 237
實(shí)例10.4 驗(yàn)證碼繞過(guò)漏洞防護(hù) 239
項(xiàng)目六 Web應(yīng)用安全防護(hù)與部署 241
6.1 服務(wù)器系統(tǒng)與網(wǎng)絡(luò)服務(wù) 241
6.1.1 服務(wù)器系統(tǒng)主要技術(shù) 241
6.1.2 網(wǎng)絡(luò)操作系統(tǒng)常用的網(wǎng)絡(luò)服務(wù) 242
6.2 Apache技術(shù)介紹 245
6.2.1 Apache工作原理 245
6.2.2 配置Apache服務(wù)器 246
6.3 Web應(yīng)用防護(hù)系統(tǒng)(WAF) 248
6.3.1 WAF的主要功能 248
6.3.2 常見的WAF產(chǎn)品 249
實(shí)例1 Linux安全部署 250
實(shí)例2 Windows安全部署 255
實(shí)例3 IIS加固設(shè)置 265
實(shí)例4 Apache加固設(shè)置 266
實(shí)例5 Tomcat加固設(shè)置 269
實(shí)例6 WAF配置與應(yīng)用 272