电子工业出版社-网上书店

本书在《 Web开发与安全防范》“十二五”职业教育国家规划教材的基础上改版而成，也是工业和信息化部“十四五”规划教材。本书紧扣网络安全实战化人才的培养需求，将“实战化能力与思辨能力培养”的教学理念融入设计和编写中，以开发一个博客系统为主线，融入系统设计、编码实现、测试、发布、运维的过程中可能出现的安全问题，以及针对安全问题的测试、验证和修复的相关知识与技能。本书共分为 9个项目，涵盖 Web安全基础、安全的登录认证、安全的数据库交互、安全的用户输入、安全的个人信息修改、安全的文件上传、安全的文件包含、安全的应用发布和安全的 Web防护体系建设，本书配套了丰富的数字资源。

项目一	Web 安全基础 1
1.1	任务一：Web 技术的发展历程 . 2
1.1.1	Web 1.0   . 3
1.1.2	Web 2.0   . 3
1.1.3	Web 3.0   .. 4
1.2	任务二：Web 安全的核心问题 . 4
1.3	任务三：HTTP 及安全性 . 6
1.3.1	HTTP 概述   .. 6
1.3.2	HTTPS 的安全性分析 11
1.4	任务四：Web 应用中的编码与加密  15
1.4.1	字符编码    16
1.4.2	传输过程的编码 .. 17
1.4.3	Web 系统中的加密方法 .. 19
项目二	安全的登录认证 . 21
2.1	任务一：登录认证功能实现  22
2.1.1	了解登录认证  22
2.1.2	创建登录页面  23
2.1.3	判断登录状态  24
2.1.4	增加验证码   .. 26
2.2	任务二：登录认证漏洞形成原理 . 29
2.2.1	登录认证漏洞的概念  29
2.2.2	登录认证漏洞的分类  29
2.2.3	登录认证漏洞的危害  30
2.3	任务三：登录认证漏洞的检测与验证 .. 30
2.3.1	验证码重放漏洞 .. 30
2.3.2	用户名探测漏洞 .. 36
2.3.3	弱密码漏洞   .. 41
2.4	任务四：登录认证漏洞的修复与防范 .. 43
2.4.1	验证码重放漏洞的修复 .. 43
2.4.2	用户名探测漏洞的修复 .. 50
2.4.3	弱密码漏洞的修复 . 54
项目三	安全的数据库交互  59
3.1	任务一：利用数据库实现动态网页  60
3.1.1	了解数据库   .. 60
3.1.2	使用数据库存储用户的身份信息 . 62
3.1.3	使用数据库存储文章  64
3.1.4	实现文章搜索功能 . 65
3.2	任务二：SQL 注入漏洞的形成原理  66
3.2.1	SQL 注入漏洞的概念 66
3.2.2	SQL 注入漏洞的分类 67
3.2.3	SQL 注入漏洞的危害 67
3.3	任务三：SQL 注入漏洞的检测与验证 .. 68
3.3.1	绕过后台登录漏洞（字符型注入漏洞） . 68
3.3.2	文章页面注入漏洞（数字型注入漏洞） . 72
3.3.3	搜索框注入漏洞 .. 74
3.3.4	SQL 注入漏洞的进阶技巧. 76
3.4	任务四：SQL 注入漏洞的修复与防范 .. 78
3.4.1	参数化查询   .. 78
3.4.2	绕过后台登录漏洞的修复（字符型注入漏洞的修复） . 79
3.4.3	文章页面注入漏洞的修复（数字型注入漏洞的修复） . 81
3.4.4	搜索框注入漏洞的修复（搜索框注入漏洞的修复） .. 84
项目四	安全的用户输入 . 88
4.1	任务一：博客系统相关功能实现 . 89
4.1.1	文章发布相关功能实现 .. 89
4.1.2	评论功能实现  95 
4.2	任务二：跨站脚本攻击的原理 .. 99
4.2.1	反射型 XSS 攻击 . 99
4.2.2	存储型 XSS 攻击 . 99
4.2.3	DOM 型 XSS 攻击 100
4.3	任务三：跨站脚本漏洞检测与验证 . 100
4.3.1	检测跨站脚本漏洞 .. 101
4.3.2	验证跨站脚本漏洞 .. 102
4.4	任务四：跨站脚本漏洞的修复与防范  105
4.4.1	对用户输入进行处理 . 105
4.4.2	使用内容安全策略 .. 106
4.4.3	使用安全 Cookie 106
项目五	安全的个人信息修改. 108
5.1	任务一：博客系统的功能实现  109
5.1.1	创建表单   . 109
5.1.2	处理表单提交 . 109
5.2	任务二：跨站请求伪造攻击的原理 ..110
5.2.1	CSRF 攻击的步骤 .111
5.2.2	CSRF 攻击的特点 .111
5.3	任务三：跨站请求伪造漏洞检测与验证 111
5.4	任务四：跨站请求伪造漏洞修复与防范 113
5.4.1	同源检测   ..114
5.4.2	Samesite Cookie 和 CSRTToken.114
5.4.3	特定情况下的必要验证 .116
项目六	安全的文件上传 .. 118
6.1	任务一：构造简单的文件上传 .119
6.1.1	什么是文件上传 .119
6.1.2	简单的文件上传  120
6.1.3	上传文件的方式  121
6.1.4	文件上传数据的存储 . 122
6.1.5	文件上传的三个阶段 . 123
6.2	任务二：文件上传漏洞  124
6.2.1	文件上传漏洞的原理 . 124
6.2.2	文件上传漏洞的危害 . 126 
6.3	任务三：文件上传漏洞的类型  131
6.3.1	文件类型绕过漏洞 .. 131
6.3.2	文件名绕过漏洞  132
6.3.3	目录遍历漏洞 . 133
6.3.4	二进制文件上传漏洞 . 134
6.3.5	非常规后缀名漏洞 .. 135
6.3.6	内容欺骗漏洞 . 137
6.3.7	Web 服务器的负载均衡  138
6.4	任务四：文件上传漏洞的检测与验证  139
6.4.1	攻击业务流程 . 139
6.4.2	文件上传漏洞的检测流程 .. 140
6.4.3	文件上传漏洞的验证流程 .. 142
6.5	任务五：文件上传漏洞的修复与防范  145
项目七	安全的文件包含 .. 149
7.1	任务一：构造简单的文件包含  150
7.1.1	什么是文件包含  150
7.1.2	简单的文件包含  151
7.1.3	文件包含的业务流程 . 152
7.2	任务二：文件包含漏洞的原理  153
7.2.1	什么是文件包含漏洞 . 153
7.2.2	文件包含漏洞的类型 . 154
7.3	任务三：文件包含漏洞的检测与验证  154
7.3.1	文件包含漏洞的检测流程 .. 154
7.3.2	文件包含漏洞的验证流程 .. 155
7.4	任务四：文件包含漏洞的修复与防范  159
项目八	安全的应用发布 .. 162
8.1	任务一：生产环境搭建  163
8.1.1	LAMP 环境的快速搭建  163
8.1.2	部署博客管理系统 .. 178
8.2	任务二：Apache 安全配置 . 184
8.2.1	禁止目录浏览 . 184
8.2.2	隐藏服务器的头部信息  185
8.2.3	配置网站脚本的解析规则 .. 187 
8.2.4	自定义错误页面  189
8.3	任务三：PHP 安全配置  190
8.3.1	关闭调试模式 . 190
8.3.2	配置 PHP 参数  192
8.4	任务四：MySQL 安全配置  194
8.4.1	配置 MySQL 参数  194
8.4.2	数据库用户降权  195
8.4.3	数据库访问控制  195
项目九	安全的 Web 防护体系建设. 197
9.1	任务一：确定安全设计和编码原则 . 198
9.1.1	Web 应用安全设计原则  198
9.1.2	Web 应用安全编码原则  204
9.2	任务二：建立基本的安全框架 .211
9.2.1	处理用户交互权限 211
9.2.2	处理用户输入参数 .. 212
9.2.3	确认用户应用边界 .. 213
9.2.4	处理流程规范化  213
9.3	任务三：实施安全的开发流程  214
9.3.1	SDL 简介  . 214
9.3.2	SDL 实战经验. 217
9.4	任务四：加固边界的安全防护  221
9.4.1	硬件 WAF    222
9.4.2	ModSecurity  225
9.4.3	防篡改软件    225
9.4.4	云防护系统    226
参考文献   . 228

网络安全是国家战略安全的一部分，网络空间的博弈对抗实质上是人与人之间的对抗。网络安全专业技术人才是实现国家战略安全的核心力量之一，培养网络安全专业技术人才的 实战对抗能力，是落实国家安全战略、确保各行各业的网络信息系统安全的基础。《道德经》 中提及“知其白，守其黑，为天下式”，对应到网络安全专业技术人才的成长路线，就是要 从了解攻击模式、掌握安全漏洞分析和利用方法开始，制定有效的安全策略，分析可能存在 的安全漏洞，设计安全的系统。
基于 Web 环境的互联网应用在当今社会已被广泛接纳并使用，但随之而来的还有层出 不穷的各类 Web 应用的网络安全事件。而针对 Web 安全知识、技能的学习有着非常明显的“入 门简单、精通难”的特点。“简单”表现在 Web 漏洞的原理通常较为清晰，漏洞利用方式及 案例非常多，学习过程中的难度较小。“难”则表现在构建 Web 应用的过程中涉及的技术非 常多，且范围非常广。
本书紧扣网络安全实战化人才的培养需求，将“实战化能力与思辨能力培养”的教学理 念融入设计和编写中，以开发一个博客系统为主线，将系统设计、编码实现、测试、发布、 运维的过程中可能出现的安全问题，以及针对安全问题的测试、验证和修复的相关知识与技 能融入其中。本书共分为 9 个项目，项目一讲解 Web 安全基础；项目二讲解安全的登录认 证功能实现，项目三讲解安全的数据库交互功能实现；项目四讲解安全的用户输入功能实现； 项目五讲解安全的个人信息修改功能实现；项目六讲解安全的文件上传功能实现；项目七讲 解安全的文件包含功能实现；项目八讲解安全的应用发布功能实现；项目九讲解安全的 Web 防护体系建设。
本书由重庆电子工程职业学院武春岭、胡兵担任主编，由重庆电子工程职业学院冯文韬、 重庆市信息通信咨询设计院有限公司张晓琴担任副主编。其中，项目一和项目八由武春岭编写，项目二至项目五由胡兵编写，项目六和项目七由冯文韬编写，项目九由张晓琴编写。本书在编写过程中，得到了重庆电子工程职业学院信息安全技术应用卓越技能人才培养计划的 周均（信息安全测试员一级技师）、屈英明（重庆市青年岗位技术能手）、胡耀之（重庆市青 年岗位技术能手）三位同学的实验辅助。此外，本书部分内容借鉴了互联网资料及一些著作， 在此对相关作者一并表示感谢。
由于编者水平有限，加上时间仓促，难免有一些疏漏之处，敬请读者批评指正。

本书配套资源下载

对不起，暂无音视频资源！

Web安全与防护