Web安全基礎(chǔ)及項(xiàng)目實(shí)踐

中國水利水電出版社

【作者】主編鄭麗安厚霖崔俊鵬

【I S B N 】978-7-5226-0163-2

【責(zé)任編輯】周春元

【適用讀者群】高職高專

【出版時(shí)間】2022-02-21

【開本】16開

【裝幀信息】平裝（光膜）

【版次】第1版第1次印刷

【頁數(shù)】248

【千字?jǐn)?shù)】387

【印張】15.5

【定價(jià)】￥45

【叢書】面向1+X證書系列教材（網(wǎng)絡(luò)安全評(píng)估）

【備注信息】

圖書詳情

簡(jiǎn)介

本書特色

前言

章節(jié)列表

精彩閱讀

下載資源

相關(guān)圖書

內(nèi) 容提要

本書共10個(gè)項(xiàng)目：項(xiàng)目1和項(xiàng)目2介紹Web安全和HTTP協(xié)議的基礎(chǔ)知識(shí)；項(xiàng)目3和項(xiàng)目4介紹漏洞環(huán)境的搭建和各種安全工具的使用，包括在Linux系統(tǒng)和Windows系統(tǒng)下搭建漏洞測(cè)試平臺(tái)及Fiddler、SQLMap、Burp Suite、Nmap和AWVS工具的使用；項(xiàng)目5至項(xiàng)目10對(duì)常見的漏洞進(jìn)行實(shí)踐，從原理、攻擊方法和防御策略等方面詳細(xì)介紹XSS漏洞、CSRF漏洞、SQL注入漏洞、文件上傳漏洞、文件包含漏洞、點(diǎn)擊劫持漏洞、URL跳轉(zhuǎn)漏洞與釣魚操作和命令執(zhí)行漏洞。

本書可作為高職高專院校計(jì)算機(jī)、信息安全、網(wǎng)絡(luò)工程等專業(yè)的教材，也可作為信息安全開發(fā)愛好者及1+X認(rèn)證考試的參考書。

任務(wù)驅(qū)動(dòng)：采用“項(xiàng)目- 任務(wù)”編排方式，把學(xué)習(xí)內(nèi)容組織成項(xiàng)目并拆分成一個(gè)個(gè)小任務(wù)。

結(jié)構(gòu)新穎：每個(gè)項(xiàng)目都包括理論知識(shí)相關(guān)的任務(wù)和案例實(shí)踐相關(guān)的任務(wù)，理論與實(shí)踐相結(jié)合，最后通過“項(xiàng)目小結(jié)”和“思考與練習(xí)”讓讀者總結(jié)測(cè)試和提高。

案例豐富：各項(xiàng)目均安排了豐富的實(shí)戰(zhàn)案例，并帶領(lǐng)讀者一步步完成案例操作過程。

配套微課：讀者掃描書中二維碼即可播放微課視頻，進(jìn)行直觀學(xué)習(xí)實(shí)踐。

前言

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，尤其是Web技術(shù)的發(fā)展，基于Web環(huán)境的互聯(lián)網(wǎng)應(yīng)用越來越廣泛。網(wǎng)上訂票、購物、銀行轉(zhuǎn)賬等業(yè)務(wù)都依賴于互聯(lián)網(wǎng)，這也導(dǎo)致越來越多的個(gè)人或企業(yè)敏感信息通過Web展現(xiàn)給了用戶。一些惡意攻擊者會(huì)通過Web竊取重要數(shù)據(jù)或者攻擊Web服務(wù)器，影響人們的工作和生活，Web安全問題日益突出。

本書關(guān)注到Web安全人才緊缺這一社會(huì)現(xiàn)狀，為培養(yǎng)信息安全人才這一目標(biāo)而編寫。全書從原理到實(shí)戰(zhàn)，由淺入深、循序漸進(jìn)地介紹了Web安全基本概念及目前常見高危漏洞的原理、攻擊手段和防御策略，幫助初學(xué)者從零開始掌握一些基本技能。

項(xiàng)目1認(rèn)識(shí)Web安全：介紹Web安全的基本概念、Web訪問過程、常見的Web瀏覽器和服務(wù)器、使用Chrome瀏覽器查看數(shù)據(jù)交互的方法。

項(xiàng)目2使用HTTP協(xié)議傳輸數(shù)據(jù)：包括HTTP協(xié)議和統(tǒng)一資源定位符URL的概念、HTTP請(qǐng)求與HTTP響應(yīng)的格式、HTTP報(bào)文格式，最后分別使用CURL命令和Telnet工具執(zhí)行HTTP請(qǐng)求。

項(xiàng)目3漏洞環(huán)境搭建：搭建常用的漏洞測(cè)試環(huán)境，包括Linux系統(tǒng)下的LANMP環(huán)境、Windows系統(tǒng)下的WAMP環(huán)境、DVWA漏洞平臺(tái)、SQL注入平臺(tái)和XSS測(cè)試平臺(tái)。

項(xiàng)目4安全工具實(shí)踐：對(duì)常用的安全工具進(jìn)行實(shí)踐，包括Fiddler、SQLMap、Burp Suite、Nmap和AWVS。

項(xiàng)目5至項(xiàng)目10：對(duì)常見的漏洞進(jìn)行實(shí)踐，包括XSS漏洞、CSRF漏洞、SQL注入漏洞、文件上傳漏洞、文件包含漏洞、點(diǎn)擊劫持漏洞、URL跳轉(zhuǎn)漏洞與釣魚操作和命令執(zhí)行漏洞。首先介紹這些漏洞的理論知識(shí)，然后用實(shí)例對(duì)這些漏洞進(jìn)行實(shí)踐，并給出漏洞防御建議。

本書具有以下特色：

（1）任務(wù)驅(qū)動(dòng)。本書采用“項(xiàng)目－任務(wù)”編排方式，把學(xué)習(xí)內(nèi)容組織成項(xiàng)目并拆分成一個(gè)個(gè)小任務(wù)，用通俗易懂的語言和豐富多彩的案例詳細(xì)介紹Web安全的相關(guān)基礎(chǔ)知識(shí)和技術(shù)。

（2）結(jié)構(gòu)新穎。每個(gè)項(xiàng)目都包括理論知識(shí)相關(guān)的任務(wù)和案例實(shí)踐相關(guān)的任務(wù)。首先通過清晰明了的語言介紹項(xiàng)目相關(guān)的概念及技術(shù)，接著安排與當(dāng)前知識(shí)點(diǎn)和實(shí)際應(yīng)用相結(jié)合的實(shí)例，讓讀者邊學(xué)邊練。每個(gè)任務(wù)也是先介紹任務(wù)相關(guān)的理論知識(shí)，再緊跟實(shí)例實(shí)踐過程，理論與實(shí)踐相結(jié)合。此外，每個(gè)項(xiàng)目都有“項(xiàng)目小結(jié)”和“思考與練習(xí)”，讓讀者完成項(xiàng)目后還能對(duì)所學(xué)知識(shí)和技能進(jìn)行總結(jié)與測(cè)試。

（3）案例豐富。為加強(qiáng)讀者的實(shí)戰(zhàn)能力，每個(gè)項(xiàng)目都安排了豐富的案例，并詳細(xì)介紹了案例的操作過程，一步一步帶領(lǐng)讀者完成實(shí)踐操作。

（4）配套微課。本書提供微課視頻，便于讀者學(xué)習(xí)和掌握相關(guān)內(nèi)容。

本書由鄭麗（負(fù)責(zé)整體規(guī)劃和內(nèi)容組織）、安厚霖、崔俊鵬任主編，李國輝、時(shí)瑞鵬任副主編。其中鄭麗、安厚霖、李國輝、時(shí)瑞鵬來自天津市職業(yè)大學(xué)，崔俊鵬來自天津中德應(yīng)用技術(shù)大學(xué)。具體分工如下：項(xiàng)目1由安厚霖編寫，項(xiàng)目2、項(xiàng)目5至項(xiàng)目8由鄭麗編寫，項(xiàng)目3、項(xiàng)目4和項(xiàng)目10由崔俊鵬編寫，項(xiàng)目9由李國輝編寫，全書習(xí)題由時(shí)瑞鵬編寫。在本書編寫過程中，編者參考了許多優(yōu)秀資源，在此對(duì)各位作者的辛勤勞動(dòng)表示衷心的感謝。

由于編者水平有限，書中不足甚至錯(cuò)誤之處在所難免，懇請(qǐng)讀者批評(píng)指正。

編者

2021年10月

前言

項(xiàng)目1 認(rèn)識(shí)Web安全 1
項(xiàng)目導(dǎo)讀 1
教學(xué)目標(biāo) 1
任務(wù)1 認(rèn)識(shí)Web安全 1
任務(wù)2 訪問Web 5
任務(wù)3 Chrome瀏覽器查看數(shù)據(jù)交互 13
項(xiàng)目小結(jié) 16
思考與練習(xí) 17
項(xiàng)目2 使用HTTP協(xié)議傳輸數(shù)據(jù) 18
項(xiàng)目導(dǎo)讀 18
教學(xué)目標(biāo) 18
任務(wù)1 認(rèn)識(shí)HTTP協(xié)議 18
任務(wù)2 HTTP發(fā)送請(qǐng)求與接收響應(yīng) 23
任務(wù)3 查看HTTP報(bào)文 29
任務(wù)4 使用CURL發(fā)送請(qǐng)求 33
任務(wù)5 Telnet模擬HTTP請(qǐng)求 36
項(xiàng)目小結(jié) 39
思考與練習(xí) 39
項(xiàng)目3 漏洞環(huán)境搭建 41
項(xiàng)目導(dǎo)讀 41
教學(xué)目標(biāo) 41
任務(wù)1 Linux系統(tǒng)下的LANMP環(huán)境搭建 41
任務(wù)2 Windows系統(tǒng)下的WAMP應(yīng)用
環(huán)境搭建 44
任務(wù)3 DVWA漏洞平臺(tái)搭建 53
任務(wù)4 SQL注入平臺(tái)搭建 58
任務(wù)5 XSS測(cè)試平臺(tái)搭建 63
項(xiàng)目小結(jié) 75
思考與練習(xí) 75
項(xiàng)目4 安全工具實(shí)踐 77
項(xiàng)目導(dǎo)讀 77
教學(xué)目標(biāo) 77
任務(wù)1 Fiddler工具實(shí)踐 77
任務(wù)2 SQLMap工具實(shí)踐 83
任務(wù)3 Burp Suite工具實(shí)踐 94
任務(wù)4 Nmap掃描工具實(shí)踐 111
任務(wù)5 AWVS工具實(shí)踐 118
項(xiàng)目小結(jié) 123
思考與練習(xí) 123
項(xiàng)目5 XSS漏洞實(shí)踐 125
項(xiàng)目導(dǎo)讀 125
教學(xué)目標(biāo) 125
任務(wù)1 認(rèn)識(shí)XSS漏洞 125
任務(wù)2 XSS攻擊與繞過 131
任務(wù)3 DVWA平臺(tái)的XSS攻擊實(shí)踐 138
任務(wù)4 XSS漏洞防御 141
項(xiàng)目小結(jié) 144
思考與練習(xí) 144
項(xiàng)目6 CSRF漏洞實(shí)踐 145
項(xiàng)目導(dǎo)讀 145
教學(xué)目標(biāo) 145
任務(wù)1 認(rèn)識(shí)CSRF漏洞 145
任務(wù)2 在DVWA平臺(tái)實(shí)踐CSRF攻擊 149
任務(wù)3 CSRF漏洞防御 156
項(xiàng)目小結(jié) 159
思考與練習(xí) 159
項(xiàng)目7 SQL注入漏洞實(shí)踐 160
項(xiàng)目導(dǎo)讀 160
教學(xué)目標(biāo) 160
任務(wù)1 使用Sqli-labs平臺(tái)實(shí)踐SQL注入 160
任務(wù)2 使用DVWA平臺(tái)實(shí)踐SQL注入 166
任務(wù)3 使用DVWA平臺(tái)實(shí)踐SQL盲注 181
任務(wù)4 SQL注入繞過及漏洞防御技術(shù) 192
項(xiàng)目小結(jié) 193
思考與練習(xí) 194
項(xiàng)目8 文件上傳漏洞實(shí)踐 195
項(xiàng)目導(dǎo)讀 195
教學(xué)目標(biāo) 195
任務(wù)1 使用DVWA平臺(tái)實(shí)踐文件上傳漏洞 195
任務(wù)2 文件上傳漏洞防御 202
任務(wù)3 文件上傳繞過方法 209
項(xiàng)目小結(jié) 215
思考與練習(xí) 216
項(xiàng)目9 文件包含漏洞實(shí)踐 217
項(xiàng)目導(dǎo)讀 217
教學(xué)目標(biāo) 217
任務(wù)1 認(rèn)識(shí)文件包含漏洞 217
任務(wù)2 使用DVWA平臺(tái)實(shí)踐文件包含漏洞 220
任務(wù)3 繞過攻擊及防御建議 225
項(xiàng)目小結(jié) 228
思考與練習(xí) 228
項(xiàng)目10 其他安全漏洞實(shí)踐 229
項(xiàng)目導(dǎo)讀 229
教學(xué)目標(biāo) 229
任務(wù)1 點(diǎn)擊劫持 229
任務(wù)2 URL跳轉(zhuǎn)與釣魚 232
任務(wù)3 命令執(zhí)行 235
項(xiàng)目小結(jié) 240
思考與練習(xí) 240
參考文獻(xiàn) 241

電子課件

關(guān)閉

打印