Web安全基礎(chǔ)及項(xiàng)目實(shí)踐

任務(wù)驅(qū)動(dòng)： 采用“項(xiàng)目- 任務(wù)”編排方式，把學(xué)習(xí)內(nèi)容組織成項(xiàng)目并拆分成一個(gè)個(gè)小任務(wù)。

結(jié)構(gòu)新穎： 每個(gè)項(xiàng)目都包括理論知識(shí)相關(guān)的任務(wù)和案例實(shí)踐相關(guān)的任務(wù)，理論與實(shí)踐相結(jié)合，最后通過“項(xiàng)目小結(jié)”和“思考與練習(xí)”讓讀者總結(jié)測試和提高。

案例豐富： 各項(xiàng)目均安排了豐富的實(shí)戰(zhàn)案例，并帶領(lǐng)讀者一步步完成案例操作過程。

配套微課： 讀者掃描書中二維碼即可播放微課視頻，進(jìn)行直觀學(xué)習(xí)實(shí)踐。

前 言

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，尤其是Web技術(shù)的發(fā)展，基于Web環(huán)境的互聯(lián)網(wǎng)應(yīng)用越來越廣泛。網(wǎng)上訂票、購物、銀行轉(zhuǎn)賬等業(yè)務(wù)都依賴于互聯(lián)網(wǎng)，這也導(dǎo)致越來越多的個(gè)人或企業(yè)敏感信息通過Web展現(xiàn)給了用戶。一些惡意攻擊者會(huì)通過Web竊取重要數(shù)據(jù)或者攻擊Web服務(wù)器，影響人們的工作和生活，Web安全問題日益突出。

本書關(guān)注到Web安全人才緊缺這一社會(huì)現(xiàn)狀，為培養(yǎng)信息安全人才這一目標(biāo)而編寫。全書從原理到實(shí)戰(zhàn)，由淺入深、循序漸進(jìn)地介紹了Web安全基本概念及目前常見高危漏洞的原理、攻擊手段和防御策略，幫助初學(xué)者從零開始掌握一些基本技能。

項(xiàng)目1認(rèn)識(shí)Web安全：介紹Web安全的基本概念、Web訪問過程、常見的Web瀏覽器和服務(wù)器、使用Chrome瀏覽器查看數(shù)據(jù)交互的方法。

項(xiàng)目2使用HTTP協(xié)議傳輸數(shù)據(jù)：包括HTTP協(xié)議和統(tǒng)一資源定位符URL的概念、HTTP請(qǐng)求與HTTP響應(yīng)的格式、HTTP報(bào)文格式，最后分別使用CURL命令和Telnet工具執(zhí)行HTTP請(qǐng)求。

項(xiàng)目3漏洞環(huán)境搭建：搭建常用的漏洞測試環(huán)境，包括Linux系統(tǒng)下的LANMP環(huán)境、Windows系統(tǒng)下的WAMP環(huán)境、DVWA漏洞平臺(tái)、SQL注入平臺(tái)和XSS測試平臺(tái)。

項(xiàng)目4安全工具實(shí)踐：對(duì)常用的安全工具進(jìn)行實(shí)踐，包括Fiddler、SQLMap、Burp Suite、Nmap和AWVS。

項(xiàng)目5至項(xiàng)目10：對(duì)常見的漏洞進(jìn)行實(shí)踐，包括XSS漏洞、CSRF漏洞、SQL注入漏洞、文件上傳漏洞、文件包含漏洞、點(diǎn)擊劫持漏洞、URL跳轉(zhuǎn)漏洞與釣魚操作和命令執(zhí)行漏洞。首先介紹這些漏洞的理論知識(shí)，然后用實(shí)例對(duì)這些漏洞進(jìn)行實(shí)踐，并給出漏洞防御建議。

本書具有以下特色：

（1）任務(wù)驅(qū)動(dòng)。本書采用“項(xiàng)目－任務(wù)”編排方式，把學(xué)習(xí)內(nèi)容組織成項(xiàng)目并拆分成一個(gè)個(gè)小任務(wù)，用通俗易懂的語言和豐富多彩的案例詳細(xì)介紹Web安全的相關(guān)基礎(chǔ)知識(shí)和技術(shù)。

（2）結(jié)構(gòu)新穎。每個(gè)項(xiàng)目都包括理論知識(shí)相關(guān)的任務(wù)和案例實(shí)踐相關(guān)的任務(wù)。首先通過清晰明了的語言介紹項(xiàng)目相關(guān)的概念及技術(shù)，接著安排與當(dāng)前知識(shí)點(diǎn)和實(shí)際應(yīng)用相結(jié)合的實(shí)例，讓讀者邊學(xué)邊練。每個(gè)任務(wù)也是先介紹任務(wù)相關(guān)的理論知識(shí)，再緊跟實(shí)例實(shí)踐過程，理論與實(shí)踐相結(jié)合。此外，每個(gè)項(xiàng)目都有“項(xiàng)目小結(jié)”和“思考與練習(xí)”，讓讀者完成項(xiàng)目后還能對(duì)所學(xué)知識(shí)和技能進(jìn)行總結(jié)與測試。

（3）案例豐富。為加強(qiáng)讀者的實(shí)戰(zhàn)能力，每個(gè)項(xiàng)目都安排了豐富的案例，并詳細(xì)介紹了案例的操作過程，一步一步帶領(lǐng)讀者完成實(shí)踐操作。

（4）配套微課。本書提供微課視頻，便于讀者學(xué)習(xí)和掌握相關(guān)內(nèi)容。

本書由鄭麗（負(fù)責(zé)整體規(guī)劃和內(nèi)容組織）、安厚霖、崔俊鵬任主編，李國輝、時(shí)瑞鵬任副主編。其中鄭麗、安厚霖、李國輝、時(shí)瑞鵬來自天津市職業(yè)大學(xué)，崔俊鵬來自天津中德應(yīng)用技術(shù)大學(xué)。具體分工如下：項(xiàng)目1由安厚霖編寫，項(xiàng)目2、項(xiàng)目5至項(xiàng)目8由鄭麗編寫，項(xiàng)目3、項(xiàng)目4和項(xiàng)目10由崔俊鵬編寫，項(xiàng)目9由李國輝編寫，全書習(xí)題由時(shí)瑞鵬編寫。在本書編寫過程中，編者參考了許多優(yōu)秀資源，在此對(duì)各位作者的辛勤勞動(dòng)表示衷心的感謝。

由于編者水平有限，書中不足甚至錯(cuò)誤之處在所難免，懇請(qǐng)讀者批評(píng)指正。

編 者

2021年10月

前言

項(xiàng)目1 認(rèn)識(shí)Web安全 1
項(xiàng)目導(dǎo)讀 1
教學(xué)目標(biāo) 1
任務(wù)1 認(rèn)識(shí)Web安全 1
任務(wù)2 訪問Web 5
任務(wù)3 Chrome瀏覽器查看數(shù)據(jù)交互 13
項(xiàng)目小結(jié) 16
思考與練習(xí) 17
項(xiàng)目2 使用HTTP協(xié)議傳輸數(shù)據(jù) 18
項(xiàng)目導(dǎo)讀 18
教學(xué)目標(biāo) 18
任務(wù)1 認(rèn)識(shí)HTTP協(xié)議 18
任務(wù)2 HTTP發(fā)送請(qǐng)求與接收響應(yīng) 23
任務(wù)3 查看HTTP報(bào)文 29
任務(wù)4 使用CURL發(fā)送請(qǐng)求 33
任務(wù)5 Telnet模擬HTTP請(qǐng)求 36
項(xiàng)目小結(jié) 39
思考與練習(xí) 39
項(xiàng)目3 漏洞環(huán)境搭建 41
項(xiàng)目導(dǎo)讀 41
教學(xué)目標(biāo) 41
任務(wù)1 Linux系統(tǒng)下的LANMP環(huán)境搭建 41
任務(wù)2 Windows系統(tǒng)下的WAMP應(yīng)用
環(huán)境搭建 44
任務(wù)3 DVWA漏洞平臺(tái)搭建 53
任務(wù)4 SQL注入平臺(tái)搭建 58
任務(wù)5 XSS測試平臺(tái)搭建 63
項(xiàng)目小結(jié) 75
思考與練習(xí) 75
項(xiàng)目4 安全工具實(shí)踐 77
項(xiàng)目導(dǎo)讀 77
教學(xué)目標(biāo) 77
任務(wù)1 Fiddler工具實(shí)踐 77
任務(wù)2 SQLMap工具實(shí)踐 83
任務(wù)3 Burp Suite工具實(shí)踐 94
任務(wù)4 Nmap掃描工具實(shí)踐 111
任務(wù)5 AWVS工具實(shí)踐 118
項(xiàng)目小結(jié) 123
思考與練習(xí) 123
項(xiàng)目5 XSS漏洞實(shí)踐 125
項(xiàng)目導(dǎo)讀 125
教學(xué)目標(biāo) 125
任務(wù)1 認(rèn)識(shí)XSS漏洞 125
任務(wù)2 XSS攻擊與繞過 131
任務(wù)3 DVWA平臺(tái)的XSS攻擊實(shí)踐 138
任務(wù)4 XSS漏洞防御 141
項(xiàng)目小結(jié) 144
思考與練習(xí) 144
項(xiàng)目6 CSRF漏洞實(shí)踐 145
項(xiàng)目導(dǎo)讀 145
教學(xué)目標(biāo) 145
任務(wù)1 認(rèn)識(shí)CSRF漏洞 145
任務(wù)2 在DVWA平臺(tái)實(shí)踐CSRF攻擊 149
任務(wù)3 CSRF漏洞防御 156
項(xiàng)目小結(jié) 159
思考與練習(xí) 159
項(xiàng)目7 SQL注入漏洞實(shí)踐 160
項(xiàng)目導(dǎo)讀 160
教學(xué)目標(biāo) 160
任務(wù)1 使用Sqli-labs平臺(tái)實(shí)踐SQL注入 160
任務(wù)2 使用DVWA平臺(tái)實(shí)踐SQL注入 166
任務(wù)3 使用DVWA平臺(tái)實(shí)踐SQL盲注 181
任務(wù)4 SQL注入繞過及漏洞防御技術(shù) 192
項(xiàng)目小結(jié) 193
思考與練習(xí) 194
項(xiàng)目8 文件上傳漏洞實(shí)踐 195
項(xiàng)目導(dǎo)讀 195
教學(xué)目標(biāo) 195
任務(wù)1 使用DVWA平臺(tái)實(shí)踐文件上傳漏洞 195
任務(wù)2 文件上傳漏洞防御 202
任務(wù)3 文件上傳繞過方法 209
項(xiàng)目小結(jié) 215
思考與練習(xí) 216
項(xiàng)目9 文件包含漏洞實(shí)踐 217
項(xiàng)目導(dǎo)讀 217
教學(xué)目標(biāo) 217
任務(wù)1 認(rèn)識(shí)文件包含漏洞 217
任務(wù)2 使用DVWA平臺(tái)實(shí)踐文件包含漏洞 220
任務(wù)3 繞過攻擊及防御建議 225
項(xiàng)目小結(jié) 228
思考與練習(xí) 228
項(xiàng)目10 其他安全漏洞實(shí)踐 229
項(xiàng)目導(dǎo)讀 229
教學(xué)目標(biāo) 229
任務(wù)1 點(diǎn)擊劫持 229
任務(wù)2 URL跳轉(zhuǎn)與釣魚 232
任務(wù)3 命令執(zhí)行 235
項(xiàng)目小結(jié) 240
思考與練習(xí) 240
參考文獻(xiàn) 241

1. 自然語言處理 [主編　馮建周]
2. 新媒體內(nèi)容創(chuàng)作實(shí)務(wù)（微課版） [主編　覃思源]
3. 人工智能基礎(chǔ) [主編 余平 張春陽]
4. 人工智能導(dǎo)論 [主編 王飛 潘立武]
5. Amazing！兒童英語自然拼讀分級(jí)教材（全8冊(cè)） [王玲　編著]
6. Spark大數(shù)據(jù)處理技術(shù) [主編　劉仁山　周洪翠　莊新妍]
7. 毫無PS痕跡—你的第一本Photoshop書（第二版） [趙鵬 著]
8. 電視新聞制作（活頁式） [主編 王曉翠 劉傳琳]
9. C語言同步案例習(xí)題精解 [主編 肖朝暉]
10. Python程序設(shè)計(jì) [李國燕 王新強(qiáng) 劉佳 等編著]
11. 高等數(shù)學(xué)（下冊(cè)） [秦紅兵]
12. 智慧畜牧業(yè)技術(shù) [主編 連衛(wèi)民 張志明 王輝]
13. Python程序設(shè)計(jì)項(xiàng)目化教程（活頁式） [主編　盧鳳偉]
14. 人工智能算法與實(shí)踐 [主編　梁琨　張翼英]
15. 網(wǎng)頁設(shè)計(jì)與制作 [主編 王瀟 章明珠]
16. Python辦公自動(dòng)化—玩轉(zhuǎn)Excel [郝春吉 劉智楊 周永福 黃 詮]
17. 人工智能概論（第二版） [張廣淵　周風(fēng)余　朱振方　著]
18. 電路與電子技術(shù)Ⅲ——模擬電子技術(shù) [主編 劉峰]
19. 線性代數(shù) [主編 惠小健 王震 盧鴻艷]
20. 信息安全技術(shù)基礎(chǔ)（第二版） [主編 張浩軍 陳莉 王峰]
21. 電氣與控制工程項(xiàng)目管理 [鄒紅利 滕璇璇 陳德山 編著]
22. 計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)項(xiàng)目化教程（微課版） [主編 王艷萍 安華萍]
23. 自然拼讀背單詞：基礎(chǔ)英語4000詞（微課版） [陳雪　編著]
24. 剪枝——庭院常見植物修剪 [［英］大衛(wèi)·斯夸爾]
25. 電子產(chǎn)品生產(chǎn)與檢測（活頁式） [主編　李恒　楊國輝　練斌]
26. Web前端開發(fā)項(xiàng)目化教程（微課版） [主編　郭立文　王洪波]
27. 數(shù)據(jù)清洗 [黃源　劉智楊　孫大松]
28. 計(jì)算機(jī)應(yīng)用基礎(chǔ)與實(shí)踐（Windows 7平臺(tái)與Office 2016應(yīng)用） [主編 呂波 何敏]
29. 程序員考前沖刺100題 [黃少年 李竹村 曾哲軍 編著]
30. 辦公自動(dòng)化高級(jí)應(yīng)用案例教程（微課版） [高海波 張誠 楊順]