电子工业出版社-网上书店

本书作为Web安全知识普及与技术推广教材，不仅能够为初学Web安全的学生提供全面、实用的理论和技术基础，而且可以有效培养学生进行Web安全防御的能力。本书以OWASP Top 10为基础，重点介绍了SQL注入漏洞、XSS漏洞、CSRF漏洞、SSRF漏洞、文件下载漏洞、文件包含漏洞、文件上传漏洞、暴力破解漏洞、命令执行漏洞、不安全的验证码漏洞、反序列化漏洞与XXE漏洞12种常见的Web漏洞。全书共有7个项目，包括Web安全初探、Web协议与分析、Web漏洞检测工具、Web漏洞实验平台、Web常见漏洞分析（一）、Web常见漏洞分析（二）、Web常见漏洞分析（三），通过漏洞实验平台，分析Web漏洞原理，辅以漏洞利用方法的相关实验，让学生了解如何发现常见的Web漏洞，并进行相应的防御。本书可以作为高等职业院校与高等专科学校计算机、信息安全及其他相关专业学生的教材，也可以作为网络安全管理员、网络工程技术人员的参考用书。

项目一  Web安全初探	1
1.1　Web安全现状与发展趋势	1
1.1.1　Web安全现状	1
1.1.2　Web安全发展趋势	6
1.2　Web系统介绍	7
1.2.1　Web的发展历程	7
1.2.2　Web系统的构成	8
1.2.3　Web系统的应用架构	9
1.2.4　Web的访问方法	10
1.2.5　Web编程语言	11
1.2.6　Web数据库访问技术	12
1.2.7　Web服务器	13
实例1　十大Web安全漏洞比较分析	15
项目二  Web协议与分析	16
2.1　HTTP	16
2.1.1　HTTP的通信过程	17
2.1.2　统一资源定位符	17
2.1.3　HTTP的连接方式和无状态性	18
2.1.4　HTTP的请求报文	18
2.1.5　HTTP的响应报文	22
2.1.6　HTTP的报文报头类型汇总	24
2.1.7　HTTP的会话管理	24
2.2　HTTPS	26
2.2.1　HTTPS和HTTP的主要区别	26
2.2.2　HTTPS与Web服务器的通信过程	27
2.2.3　HTTPS的优点	27
2.2.4　HTTPS的缺点	28
2.3　网络嗅探工具	28
2.3.1　Wireshark简介	28
2.3.2　Wireshark的界面	29
实例1　Wireshark的应用实例	38
实例1.1　捕捉数据包	38
实例1.2　处理捕捉后的数据包	42
项目三  Web漏洞检测工具	48
3.1　Web漏洞检测工具AppScan	48
3.1.1　AppScan简介	48
3.1.2　AppScan的安装	49
3.1.3　AppScan的基本工作流程	53
3.1.4　AppScan的界面	56
3.2　HTTP分析工具WebScarab	59
3.3　网络漏洞检测工具Nmap	62
3.3.1　Nmap简介	62
3.3.2　Nmap的安装	63
3.4　集成化的漏洞扫描工具Nessus	66
3.4.1　Nessus简介	66
3.4.2　Nessus的安装	66
实例1　AppScan扫描实例	69
实例2　WebScarab的运行	83
实例3　Nmap应用实例	90
实例3.1　利用Nmap的图形界面进行扫描	90
实例3.2　利用Nmap命令行界面进行扫描探测	103
实例4　利用Nessus扫描Web应用	111
项目四  Web漏洞实验平台	117
4.1　DVWA简介	117
4.2　WebGoat简介	118
4.3　Pikachu简介	119
实例1　DVWA的安装与配置	119
实例2　WebGoat的安装与配置 	128
实例3　Pikachu的安装与配置	133
项目五  Web常见漏洞分析（一）	136
5.1　SQL注入漏洞	136
5.2　XSS漏洞	141
实例1　SQL注入漏洞实例	145
实例1.1　手动注入（初级）	145
实例1.2　使用工具注入	149
实例1.3　手动注入（中级）	151
实例1.4　手动注入（高级）	155
实例1.5　SQL注入漏洞的防御	157
实例1.6　布尔盲注	157
实例1.7　时间盲注	161
实例1.8　SQL盲注漏洞的防御	163
实例2　XSS漏洞实例	165
实例2.1　反射型XSS漏洞（1）	165
实例2.2　反射型XSS漏洞（2）	167
实例2.3　反射型XSS漏洞（3）	168
实例2.4　反射型XSS漏洞的防御	168
实例2.5　存储型XSS漏洞（1）	169
实例2.6　存储型XSS漏洞（2）	170
实例2.7　存储型XSS漏洞（3）	172
实例2.8　存储型XSS漏洞的防御	173
实例2.9　DOM型XSS漏洞（1）	174
实例2.10　DOM型XSS漏洞（2）	175
实例2.11　DOM型XSS漏洞（3）	176
实例2.12　DOM型XSS漏洞的防御	177
项目六  Web常见漏洞分析（二）	178
6.1　CSRF漏洞	178
6.2　SSRF漏洞	180
6.3　文件下载漏洞	182
6.4　文件包含漏洞	183
6.5　文件上传漏洞	187
实例1　CSRF漏洞实例	187
实例1.1　CSRF漏洞（1）	187
实例1.2　CSRF漏洞（2）	189
实例1.3　CSRF漏洞（3）	190
实例1.4　CSRF漏洞的防御	192
实例2　SSRF漏洞实例	193
实例2.1　SSRF漏洞（1）	193
实例2.2　SSRF漏洞（2）	196
实例3　文件下载漏洞实例	198
实例4　文件包含漏洞实例	199
实例4.1　文件包含漏洞（1）	199
实例4.2　文件包含漏洞（2）	202
实例4.3　文件包含漏洞（3）	203
实例4.4　文件包含漏洞的防御	204
实例5　文件上传漏洞实例	204
实例5.1　文件上传漏洞（1）	204
实例5.2　文件上传漏洞（2）	206
实例5.3　文件上传漏洞（3）	210
实例5.4　文件上传漏洞的防御	213
项目七  Web常见漏洞分析（三）	215
7.1　暴力破解漏洞	215
7.2　命令执行漏洞	216
7.3　不安全的验证码漏洞	217
7.4　反序列化漏洞	219
7.5　XXE漏洞	221
实例1　暴力破解漏洞实例	222
实例1.1　暴力破解漏洞（1）	222
实例1.2　暴力破解漏洞（2）	227
实例1.3　暴力破解漏洞（3）	228
实例1.4　暴力破解漏洞的防御	234
实例2　命令执行漏洞实例	236
实例2.1　命令执行漏洞（1）	236
实例2.2　命令执行漏洞（2）	241
实例2.3　命令执行漏洞（3）	244
实例2.4　命令执行漏洞的防御	249
实例3　不安全的验证码漏洞实例	251
实例3.1　不安全的验证码漏洞（1）	251
实例3.2　不安全的验证码漏洞（2）	254
实例3.3　不安全的验证码漏洞（3）	256
实例3.4　不安全的验证码漏洞的防御	258
实例4　反序列化漏洞实例	259
实例5　XXE漏洞实例	262

随着微博、微信等各种新型互联网应用的诞生，基于Web环境的互联网应用数量越来越多，覆盖范围越来越广。在企业信息化建设的过程中，各种应用也都架设在Web平台上。在Web业务迅速发展的同时，相关安全管理工作并没有跟上，使得Web安全威胁日益凸显。黑客利用网站系统漏洞和Web服务程序漏洞等获得Web服务器的控制权限，轻则篡改网页内容，重则窃取重要数据，甚至在网页中植入恶意代码，使得网站访问者权益受到侵害。
面对日益严峻的安全形势，国家对于网络安全人员的需求与日俱增。无论是即将毕业的网络空间安全、信息安全与管理专业的大学生，还是在岗的网络安全管理员，都需要努力学好并真正掌握Web安全相关的知识与技能。这已经成为他们从事网络信息安全工作的必备条件，并对其今后的发展具有特殊意义。
本书以常见的Web安全漏洞为背景，详细介绍了Web安全漏洞的成因、检测方法及防范技术，通过分析OWASP Top 10中列举的主要漏洞，为学生学习和研究Web安全漏洞检测及防范技术提供了具有价值的参考。全书共有7个项目，项目设计由浅入深、由简入繁、循序渐进，注重实践操作，围绕操作过程，按需介绍知识点，侧重应用，抛开复杂的理论说教，便于学生学以致用。
本书可以作为高等职业院校与高等专科学校计算机、信息安全及其他相关专业学生的教材，也可以作为网络安全管理员、网络工程技术人员的参考用书。另外，本书还适合所有对Web安全技术感兴趣的读者阅读与学习。
本书由杭州职业技术学院信息工程学院宣乐飞教授策划并组织编写，浙江警官职业院校吕韩飞教授和浙江经济职业技术学院毕晓东副教授参与编写。宣乐飞、陈云志、郝阜平担任主编，吴兴法、富众杰、赵刚、叶雷鹏担任副主编。其中，项目一由陈云志和吕韩飞共同编写，项目二由富众杰编写，项目三由郝阜平编写，项目四由赵刚和王伦共同编写，项目五由宣乐飞和毕晓东共同编写，项目六由吴兴法和叶雷鹏共同编写，项目七由宣乐飞编写；全书由宣乐飞统稿，由申毅主审。本书中部分项目素材由杭州安恒信息技术股份有限公司提供，苗春雨、吴鸣旦、叶雷鹏、王伦等专家对本书编写提出了大量意见与建议，并参与了部分内容的校对和整理工作，在此一并表示感谢。
本书注重实践操作，围绕操作过程，按需介绍知识点，每个项目均安排了相关的实例内容。本书中的重要知识点讲解和技能实操演示等已制作成视频，学生可扫描对应的二维码进行学习。同时，本书可以作为浙江省精品在线开放课程“Web应用安全”的配套教材。在学习的过程中，学生可以通过智慧职教访问课程的配套资源，如PPT、视频、动画、实训、习题等。
为方便教师教学，本书配有电子教学课件及相关资源，请有此需要的教师登录华信教育资源网（www.hxedu.com.cn）注册后免费下载，如有问题可在网站留言板留言或与电子工业出版社（E-mail：hxedu@phei.com.cn）联系。
由于编者水平有限，书中难免存在疏漏和不足之处，恳请同行专家和读者给予批评指正。
　
编  者

本书配套资源下载

对不起，暂无音视频资源！

Web渗透与防御（第2版）（微课版）