定 價(jià):38 元
叢書名:高等學(xué)校網(wǎng)絡(luò)空間安全專業(yè)系列教材
- 作者:沈晉慧
- 出版時(shí)間:2023/11/1
- ISBN:9787560670621
- 出 版 社:西安電子科技大學(xué)出版社
- 中圖法分類:TP393.08
- 頁碼:208
- 紙張:
- 版次:1
- 開本:16開
本書聚焦Web安全相關(guān)技術(shù),按照客戶端、網(wǎng)絡(luò)協(xié)議、服務(wù)端和數(shù)據(jù)庫的邏輯線對(duì)安全問題進(jìn)行了分類和分析。本書從基本的漏洞入手,對(duì)XSS跨站腳本攻擊、文件上傳漏洞、文件包含漏洞、命令執(zhí)行漏洞和SQL注入漏洞等進(jìn)行了討論,詳細(xì)講解了它們的產(chǎn)生原理、利用方法及防御的演進(jìn)過程。同時(shí),本書提供了配套的本地和云上實(shí)驗(yàn)靶場,可幫助讀者更好地理解漏洞原理和利用方法,提高學(xué)習(xí)效果。
本書既可作為高等學(xué)校信息安全、網(wǎng)絡(luò)空間安全、計(jì)算機(jī)科學(xué)與技術(shù)及相關(guān)專業(yè)本科生學(xué)習(xí)“Web安全技術(shù)”課程的教材,也可供從事Web安全相關(guān)工作的工程技術(shù)人員學(xué)習(xí)和參考。
隨著企業(yè)數(shù)字化轉(zhuǎn)型的加速,網(wǎng)絡(luò)安全問題變得日益嚴(yán)峻。近十年來,針對(duì)我國網(wǎng)絡(luò)安全和信息化發(fā)展中遇到的新形勢(shì)、新挑戰(zhàn)和新問題,國家以全球視野和發(fā)展的眼光,立足發(fā)展實(shí)際,對(duì)網(wǎng)絡(luò)安全領(lǐng)域的發(fā)展進(jìn)行了精心謀劃和科學(xué)布局,不僅建立完善了網(wǎng)絡(luò)安全的頂層設(shè)計(jì)和規(guī)劃,同時(shí)確立了網(wǎng)絡(luò)安全發(fā)展的戰(zhàn)略布局和方向指引,保障了新時(shí)代的國家現(xiàn)代化發(fā)展進(jìn)程。為了配合國家安全戰(zhàn)略,加快高校網(wǎng)絡(luò)空間安全高層次人才培養(yǎng),2015年國務(wù)院學(xué)位委員會(huì)和教育部決定在“工學(xué)”門類下增設(shè)“網(wǎng)絡(luò)空間安全”一級(jí)學(xué)科。2016年,中央網(wǎng)信辦、發(fā)改委、教育部等六部門聯(lián)合印發(fā)了《關(guān)于加強(qiáng)網(wǎng)絡(luò)安全學(xué)科建設(shè)和人才培養(yǎng)的意見》,網(wǎng)絡(luò)和信息安全類的課程體系逐步成型,“Web安全技術(shù)”課程成為網(wǎng)絡(luò)和信息安全相關(guān)專業(yè)的核心專業(yè)課。
本書緊跟時(shí)代步伐,參照開放性Web應(yīng)用程序安全項(xiàng)目(OWASP)的十大漏洞進(jìn)行分類和分析,將全書分為五章。第1章簡述了Web技術(shù)以及Web涉及的安全問題。第2章講解了HTML + CSS + JavaScript的架構(gòu),并從攻擊和防守兩個(gè)角度分析了XSS這個(gè)目前主流的前端漏洞。第3章重點(diǎn)介紹了HTTP缺陷以及攻擊者對(duì)HTTP的惡意利用所產(chǎn)生的中間人攻擊和重放攻擊等安全問題。第4章先簡述了動(dòng)態(tài)腳本開發(fā)語言PHP的基礎(chǔ)語法和語法漏洞,然后在此基礎(chǔ)上介紹了后端漏洞—文件上傳漏洞、文件包含漏洞、序列化和反序列化漏洞、命令執(zhí)行漏洞的利用方法和防御方法。第5章主要介紹了數(shù)據(jù)庫的SQL注入漏洞(包括最簡單的顯錯(cuò)注入、相對(duì)復(fù)雜的時(shí)間布爾盲注,以及更深入的二次注入、寬字節(jié)等變形注入)、繞過WAF的SQL注入和SQL注入漏洞的防御等內(nèi)容。本書在介紹各個(gè)漏洞利用時(shí)都提供了與之配套的本地和云上實(shí)驗(yàn)靶場,通過實(shí)際動(dòng)手實(shí)踐,讀者可以加深對(duì)漏洞原理的理解,提高學(xué)習(xí)效果。
本書第1章由李曉峰編寫,第2章至第5章由沈晉慧編寫,附錄部分由李月琴整理。本書的出版得到了北京聯(lián)合大學(xué)相關(guān)部門和老師們的大力支持,在此對(duì)所有為本書出版提供幫助和支持的同仁和朋友表示衷心的感謝!
由于編者水平有限,書中難免存在不妥或疏漏之處,敬請(qǐng)讀者批評(píng)指正。
編 者
2023年3月
第1章 Web技術(shù)和安全問題 1
1.1 Web技術(shù)概述 1
1.1.1 Web技術(shù)的發(fā)展 1
1.1.2 Web全棧技術(shù) 3
1.1.3 Web應(yīng)用體系框架 3
1.1.4 本書使用的Web集成環(huán)境 5
1.2 Web涉及的安全問題 6
1.2.1 Web安全問題的產(chǎn)生原因和相關(guān)案例 6
1.2.2 開放性Web應(yīng)用程序安全項(xiàng)目(OWASP) 8
1.3 Web安全技術(shù)的學(xué)習(xí)方法 10
練習(xí)題 13
第2章 客戶端安全 14
2.1 客戶端開發(fā) 14
2.1.1 客戶端開發(fā)基礎(chǔ) 14
2.1.2 HTML 15
2.1.3 CSS 20
2.1.4 JavaScript 24
2.2 XSS跨站腳本攻擊 28
2.2.1 XSS基礎(chǔ) 28
2.2.2 反射型XSS 29
2.2.3 存儲(chǔ)型XSS 35
2.2.4 XSS攻擊平臺(tái) 37
練習(xí)題 39
第3章 網(wǎng)絡(luò)協(xié)議安全 40
3.1 HTTP簡介 40
3.1.1 HTTP的工作流程 40
3.1.2 HTTP請(qǐng)求 42
3.1.3 瀏覽器中的HTTP數(shù)據(jù)包 45
3.2 HTTP安全 47
3.2.1 HTTP的缺陷 47
3.2.2 劫持工具 49
3.2.3 HTTP的惡意利用 51
練習(xí)題 61
第4章 服務(wù)端安全 62
4.1 PHP基礎(chǔ) 62
4.1.1 基礎(chǔ)語法 62
4.1.2 表單驗(yàn)證 65
4.2 PHP語法漏洞 70
4.2.1 變量的弱類型漏洞 70
4.2.2 PHP函數(shù)類漏洞 74
4.3 文件上傳漏洞 80
4.3.1 特洛伊木馬和菜刀類工具 80
4.3.2 漏洞原理 85
4.3.3 客戶端驗(yàn)證和文件類型繞過 86
4.3.4 服務(wù)器操作系統(tǒng)關(guān)聯(lián)型漏洞 92
4.3.5 編碼格式漏洞 95
4.3.6 Web服務(wù)器配置型漏洞 99
4.3.7 條件競爭 103
4.3.8 文件上傳漏洞的防御 107
4.4 文件包含漏洞 108
4.4.1 漏洞原理 108
4.4.2 漏洞利用 110
4.4.3 偽協(xié)議包含 114
4.4.4 文件包含漏洞的防御 123
4.5 序列化和反序列化漏洞 123
4.5.1 序列化基礎(chǔ) 123
4.5.2 魔術(shù)方法 129
4.5.3 漏洞原理 130
4.5.4 漏洞利用 133
4.5.5 序列化和反序列化漏洞的防御 136
4.6 命令執(zhí)行漏洞 137
4.6.1 漏洞原理 137
4.6.2 漏洞利用 139
4.6.3 繞過方法 145
4.6.4 命令執(zhí)行漏洞的防御 146
練習(xí)題 146
第5章 數(shù)據(jù)庫安全 148
5.1 數(shù)據(jù)庫基礎(chǔ) 148
5.1.1 數(shù)據(jù)庫和安全問題 148
5.1.2 PhpStudy中的MySQL 149
5.1.3 MySQL基本指令 150
5.1.4 MySQL與PHP的連接 157
5.2 SQL注入漏洞 158
5.2.1 漏洞原理 158
5.2.2 萬能密碼 159
5.2.3 跨表檢索 162
5.2.4 注入點(diǎn)類型 170
5.2.5 基本SQL注入 173
5.2.6 高階SQL注入 177
5.3 繞過WAF的SQL注入 190
5.3.1 WAF基礎(chǔ) 190
5.3.2 繞過方法 191
5.4 SQL注入漏洞的防御 195
練習(xí)題 195
附錄 與安全相關(guān)的法律法規(guī) 197
參考文獻(xiàn) 200