Web安全攻防實戰教程
蝸牛學苑
- 出版商: 人民郵電
- 出版日期: 2026-01-01
- 定價: $299
- 售價: $298
- 語言: 簡體中文
- 頁數: 188
- ISBN: 711568572X
- ISBN-13: 9787115685728
-
相關分類:
Penetration-test
下單後立即進貨 (約4週~6週)
商品描述
本書全面地介紹了常見的Web漏洞原理、防禦策略和不同類型漏洞的攻擊方法。全書共7章,內容包括Web安全概述、SQL註入漏洞、XSS漏洞、請求偽造漏洞、文件操作漏洞、其他漏洞、代碼審計。每章都配有對應知識點的練習題和實訓任務,幫助讀者鞏固所學的內容。
本書可以作為應用型本科、職業本科、高職高專院校信息安全技術應用等專業相關課程的教材,也可以作為信息安全培訓班的教材,還適合Web開發者、Web滲透測試人員和信息安全愛好者自學使用。
作者簡介
鄧強,蝸牛學苑創始人,資深AI講師,高級AI訓練師,四川大學碩士,22年軟件研發及管理經驗。目前專註於AI和大模型領域的課題和技術研究。曾為中原銀行、永州醫院、南天佳信、深圳移動、大唐軟件、華夏基金等30余家企業提供研發咨詢及企業內訓服務。從事培訓事業以來教授學生數萬,遍布國內外各大IT公司,視頻課程全網播放量超1000萬。出版多部IT與AI相關技術書籍,教學嚴謹,原理講解透徹,擅長項目驅動式教學,硬派實戰專家。
目錄大綱
第 1章 Web安全概述 1
1.1 Web安全技術體系 1
1.1.1 Web安全漏洞介紹 1
1.1.2 OWASP Top 10介紹 2
1.1.3 Web安全防禦手段 3
1.2 TCP/IP、HTTP與HTTPS 4
1.2.1 TCP/IP 4
1.2.2 HTTP 6
1.2.3 HTTPS 9
1.3 環境部署 10
1.3.1 CentOS 10
1.3.2 HackBar 16
1.3.3 XAMPP 17
1.3.4 Nmap 18
1.3.5 Burp Suite 19
1.3.6 sqlmap 20
1.3.7 BeEF 21
1.3.8 靶場環境部署 21
1.4 信息收集 28
1.4.1 Web站點信息獲取 28
1.4.2 子域名掃描 29
1.4.3 Nmap掃描 31
1.4.4 後臺地址掃描 32
1.4.5 指紋識別 34
練習題 34
實訓 信息收集實戰演練 34
第 2章 SQL註入漏洞 36
2.1 查詢註入漏洞 36
2.1.1 查詢註入介紹 36
2.1.2 查詢註入原理解析 37
2.1.3 查詢註入漏洞攻擊 38
2.2 報錯註入漏洞 41
2.2.1 報錯註入介紹 41
2.2.2 報錯註入原理解析 41
2.2.3 報錯註入漏洞攻擊 42
2.3 盲註 45
2.3.1 布爾型盲註 45
2.3.2 時間型盲註 49
2.4 其他註入 51
2.4.1 二次註入 51
2.4.2 堆疊註入 53
2.4.3 寬字節註入 53
2.4.4 頭部註入 55
2.5 SQL註入漏洞防禦 59
2.6 使用sqlmap註入 59
2.6.1 sqlmap使用詳解 60
2.6.2 sqlmap Tamper詳解 64
練習題 66
實訓1 查詢註入攻擊實踐 66
實訓2 報錯註入攻擊實踐 68
實訓3 盲註攻擊實踐 70
實訓4 sqlmap攻擊實踐 72
第3章 XSS漏洞 74
3.1 存儲型XSS漏洞 74
3.1.1 存儲型XSS漏洞介紹 74
3.1.2 存儲型XSS漏洞攻擊 74
3.1.3 存儲型XSS漏洞原理解析 76
3.2 反射型XSS漏洞 77
3.2.1 反射型XSS漏洞介紹 77
3.2.2 反射型XSS漏洞攻擊 78
3.2.3 反射型XSS漏洞原理解析 79
3.3 DOM型XSS漏洞 80
3.3.1 DOM型XSS漏洞介紹 80
3.3.2 DOM型XSS漏洞攻擊 81
3.3.3 DOM型XSS漏洞原理解析 82
3.4 BeEF進行XSS滲透 83
3.4.1 BeEF使用詳解 83
3.4.2 BeEF攻擊實戰 86
3.5 內容安全策略 90
3.5.1 CSP配置 90
3.5.2 CSP報告 91
3.5.3 CSP應用實戰 92
練習題 94
實訓1 存儲型XSS漏洞攻擊實踐 94
實訓2 DOM型XSS漏洞攻擊實踐 95
第4章 請求偽造漏洞 98
4.1 CSRF漏洞 98
4.1.1 CSRF漏洞介紹 98
4.1.2 CSRF漏洞攻擊 99
4.1.3 CSRF漏洞原理解析 101
4.1.4 CSRF漏洞防禦 102
4.2 SSRF漏洞 103
4.2.1 SSRF漏洞介紹 103
4.2.2 SSRF漏洞原理 103
4.2.3 SSRF加HTTP攻擊 106
4.2.4 SSRF加file偽協議攻擊 107
4.2.5 SSRF漏洞代碼分析 107
4.2.6 SSRF漏洞防禦 107
練習題 108
實訓1 CSRF漏洞攻擊演練 108
實訓2 SSRF漏洞攻擊演練 109
第5章 文件操作漏洞 112
5.1 文件包含漏洞 112
5.1.1 文件包含漏洞介紹 112
5.1.2 本地文件包含漏洞攻擊 113
5.1.3 遠程文件包含漏洞攻擊 114
5.1.4 日誌文件包含漏洞攻擊 115
5.1.5 PHP偽協議文件包含 119
5.1.6 文件包含漏洞防禦 122
5.2 文件上傳漏洞 122
5.2.1 文件上傳漏洞介紹 122
5.2.2 前端檢測繞過攻擊 123
5.2.3 Content-Type檢測繞過攻擊 125
5.2.4 文件擴展名檢測繞過攻擊 127
5.2.5 文件內容檢測繞過攻擊 129
5.2.6 文件上傳漏洞防禦 132
5.3 文件下載漏洞 133
5.3.1 文件下載漏洞介紹 133
5.3.2 文件下載漏洞攻擊 133
5.3.3 文件下載漏洞原理解析 134
5.3.4 文件下載漏洞防禦 135
練習題 135
實訓1 文件包含漏洞攻擊演練 135
實訓2 文件上傳漏洞攻擊演練 137
實訓3 文件下載漏洞攻擊演練 138
第6章 其他漏洞 140
6.1 XXE漏洞 140
6.1.1 XXE漏洞介紹 140
6.1.2 XXE漏洞攻擊過程 142
6.1.3 XXE漏洞原理解析與防禦方法簡述 143
6.2 弱類型比較漏洞 144
6.2.1 弱類型比較漏洞介紹 144
6.2.2 弱類型比較漏洞攻擊過程 147
6.2.3 弱類型比較漏洞原理解析 147
6.3 命令註入漏洞 148
6.3.1 命令註入漏洞介紹 148
6.3.2 命令註入漏洞攻擊過程 149
6.3.3 命令註入漏洞原理解析 149
6.3.4 命令註入漏洞防禦 149
6.4 邏輯漏洞 150
6.4.1 登錄註冊類漏洞 150
6.4.2 密碼重置類漏洞 150
6.4.3 驗證碼繞過漏洞 151
6.4.4 支付漏洞 152
6.4.5 提權漏洞 153
練習題 154
實訓1 XXE漏洞攻擊演練 154
實訓2 命令註入漏洞攻擊演練 156
實訓3 水平提權漏洞攻擊演練 157
第7章 代碼審計 160
7.1 代碼審計介紹 160
7.1.1 代碼審計方法 160
7.1.2 代碼審計技術要求 160
7.1.3 代碼審計流程 161
7.1.4 安全代碼編寫規範 161
7.1.5 靜態代碼審計策略 162
7.2 Seay源代碼審計系統 164
7.3 VAuditDemo代碼審計實戰 165
7.3.1 使用Seay掃描VAuditDemo 165
7.3.2 系統安裝漏洞 166
7.3.3 驗證碼繞過漏洞 172
7.3.4 SQL註入漏洞 175
7.3.5 任意命令執行漏洞 178
7.3.6 存儲型XSS漏洞 179
7.3.7 文件包含漏洞 182
7.4 代碼審計案例 185
練習題 186
實訓 DVWA代碼審計演練 186
