Web滲透與防禦（第2版）（微課版）

本書作為Web安全知識普及與技術推廣教材，不僅能夠為初學Web安全的學生提供全面、實用的理論和技術基礎，而且可以有效培養學生進行Web安全防禦的能力。本書以OWASP Top 10為基礎，重點介紹了SQL註入漏洞、XSS漏洞、CSRF漏洞、SSRF漏洞、文件下載漏洞、文件包含漏洞、文件上傳漏洞、暴力破解漏洞、命令執行漏洞、不安全的驗證碼漏洞、反序列化漏洞與XXE漏洞12種常見的Web漏洞。全書共有7個項目，包括Web安全初探、Web協議與分析、Web漏洞檢測工具、Web漏洞實驗平臺、Web常見漏洞分析（一）、Web常見漏洞分析（二）、Web常見漏洞分析（三），通過漏洞實驗平臺，分析Web漏洞原理，輔以漏洞利用方法的相關實驗，讓學生瞭解如何發現常見的Web漏洞，並進行相應的防禦。本書可以作為高等職業院校與高等專科學校電腦、信息安全及其他相關專業學生的教材，也可以作為網絡安全管理員、網絡工程技術人員的參考用書。

項目一 Web安全初探 1
1.1　Web安全現狀與發展趨勢 1
1.1.1　Web安全現狀 1
1.1.2　Web安全發展趨勢 6
1.2　Web系統介紹 7
1.2.1　Web的發展歷程 7
1.2.2　Web系統的構成 8
1.2.3　Web系統的應用架構 9
1.2.4　Web的訪問方法 10
1.2.5　Web編程語言 11
1.2.6　Web數據庫訪問技術 12
1.2.7　Web服務器 13
實例1　十大Web安全漏洞比較分析 15
項目二 Web協議與分析 16
2.1　HTTP 16
2.1.1　HTTP的通信過程 17
2.1.2　統一資源定位符 17
2.1.3　HTTP的連接方式和無狀態性 18
2.1.4　HTTP的請求報文 18
2.1.5　HTTP的響應報文 22
2.1.6　HTTP的報文報頭類型匯總 24
2.1.7　HTTP的會話管理 24
2.2　HTTPS 26
2.2.1　HTTPS和HTTP的主要區別 26
2.2.2　HTTPS與Web服務器的通信過程 27
2.2.3　HTTPS的優點 27
2.2.4　HTTPS的缺點 28
2.3　網絡嗅探工具 28
2.3.1　Wireshark簡介 28
2.3.2　Wireshark的界面 29
實例1　Wireshark的應用實例 38
實例1.1　捕捉數據包 38
實例1.2　處理捕捉後的數據包 42
項目三 Web漏洞檢測工具 48
3.1　Web漏洞檢測工具AppScan 48
3.1.1　AppScan簡介 48
3.1.2　AppScan的安裝 49
3.1.3　AppScan的基本工作流程 53
3.1.4　AppScan的界面 56
3.2　HTTP分析工具WebScarab 59
3.3　網絡漏洞檢測工具Nmap 62
3.3.1　Nmap簡介 62
3.3.2　Nmap的安裝 63
3.4　集成化的漏洞掃描工具Nessus 66
3.4.1　Nessus簡介 66
3.4.2　Nessus的安裝 66
實例1　AppScan掃描實例 69
實例2　WebScarab的運行 83
實例3　Nmap應用實例 90
實例3.1　利用Nmap的圖形界面進行掃描 90
實例3.2　利用Nmap命令行界面進行掃描探測 103
實例4　利用Nessus掃描Web應用 111
項目四 Web漏洞實驗平臺 117
4.1　DVWA簡介 117
4.2　WebGoat簡介 118
4.3　Pikachu簡介 119
實例1　DVWA的安裝與配置 119
實例2　WebGoat的安裝與配置 128
實例3　Pikachu的安裝與配置 133
項目五 Web常見漏洞分析（一） 136
5.1　SQL註入漏洞 136
5.2　XSS漏洞 141
實例1　SQL註入漏洞實例 145
實例1.1　手動註入（初級） 145
實例1.2　使用工具註入 149
實例1.3　手動註入（中級） 151
實例1.4　手動註入（高級） 155
實例1.5　SQL註入漏洞的防禦 157
實例1.6　布爾盲註 157
實例1.7　時間盲註 161
實例1.8　SQL盲註漏洞的防禦 163
實例2　XSS漏洞實例 165
實例2.1　反射型XSS漏洞（1） 165
實例2.2　反射型XSS漏洞（2） 167
實例2.3　反射型XSS漏洞（3） 168
實例2.4　反射型XSS漏洞的防禦 168
實例2.5　存儲型XSS漏洞（1） 169
實例2.6　存儲型XSS漏洞（2） 170
實例2.7　存儲型XSS漏洞（3） 172
實例2.8　存儲型XSS漏洞的防禦 173
實例2.9　DOM型XSS漏洞（1） 174
實例2.10　DOM型XSS漏洞（2） 175
實例2.11　DOM型XSS漏洞（3） 176
實例2.12　DOM型XSS漏洞的防禦 177
項目六 Web常見漏洞分析（二） 178
6.1　CSRF漏洞 178
6.2　SSRF漏洞 180
6.3　文件下載漏洞 182
6.4　文件包含漏洞 183
6.5　文件上傳漏洞 187
實例1　CSRF漏洞實例 187
實例1.1　CSRF漏洞（1） 187
實例1.2　CSRF漏洞（2） 189
實例1.3　CSRF漏洞（3） 190
實例1.4　CSRF漏洞的防禦 192
實例2　SSRF漏洞實例 193
實例2.1　SSRF漏洞（1） 193
實例2.2　SSRF漏洞（2） 196
實例3　文件下載漏洞實例 198
實例4　文件包含漏洞實例 199
實例4.1　文件包含漏洞（1） 199
實例4.2　文件包含漏洞（2） 202
實例4.3　文件包含漏洞（3） 203
實例4.4　文件包含漏洞的防禦 204
實例5　文件上傳漏洞實例 204
實例5.1　文件上傳漏洞（1） 204
實例5.2　文件上傳漏洞（2） 206
實例5.3　文件上傳漏洞（3） 210
實例5.4　文件上傳漏洞的防禦 213
項目七 Web常見漏洞分析（三） 215
7.1　暴力破解漏洞 215
7.2　命令執行漏洞 216
7.3　不安全的驗證碼漏洞 217
7.4　反序列化漏洞 219
7.5　XXE漏洞 221
實例1　暴力破解漏洞實例 222
實例1.1　暴力破解漏洞（1） 222
實例1.2　暴力破解漏洞（2） 227
實例1.3　暴力破解漏洞（3） 228
實例1.4　暴力破解漏洞的防禦 234
實例2　命令執行漏洞實例 236
實例2.1　命令執行漏洞（1） 236
實例2.2　命令執行漏洞（2） 241
實例2.3　命令執行漏洞（3） 244
實例2.4　命令執行漏洞的防禦 249
實例3　不安全的驗證碼漏洞實例 251
實例3.1　不安全的驗證碼漏洞（1） 251
實例3.2　不安全的驗證碼漏洞（2） 254
實例3.3　不安全的驗證碼漏洞（3） 256
實例3.4　不安全的驗證碼漏洞的防禦 258
實例4　反序列化漏洞實例 259
實例5　XXE漏洞實例 262