Web基礎滲透與防護（第2版）

項目一　認識Web安全基礎 1
1.1　當前 Web 安全形勢 1
1.2　Web 安全防禦技術 5
1.3　Web 安全發展趨勢 8
項目二　熟悉信息安全法律法規 11
2.1　信息安全相關法律法規 11
2.2　案例分析 16
項目三　命令註入攻擊與防禦 20
學習目標 20
項目描述 21
項目分析 21
項目相關知識點 22
項目實施 26
3.1　實驗環境 26
3.2　命令註入攻擊原理分析 27
3.3　利用命令註入漏洞獲取信息 30
3.4 命令註入攻擊方法分析 34
3.5 防禦命令註入攻擊 38
項目小結 42
同步練習 43
實訓任務 44
項目四　文件上傳攻擊與防禦 46
學習目標 46
項目描述 47
項目分析 47
項目相關知識點 48
項目實施 55
4.1 實驗環境 55
4.2 文件上傳攻擊原理分析 55
4.3 上傳木馬獲取控制權 62
4.4 文件上傳攻擊方法 67
4.5 文件上傳攻擊防禦方法 69
項目小結 72
同步練習 73
實訓任務 74
項目五　SQL註入攻擊與防禦 75
學習目標 75
項目描述 76
項目分析 76
項目相關知識點 77
項目實施 93
5.1 實驗環境 93
5.2 SQL 註入攻擊原理分析 93
5.3 文本框輸入的 SQL 註入方法 99
5.4 非文本框輸入的 SQL 註入方法 105
5.5 固定提示信息的滲透方法 113
5.6 利用 SQL 註入漏洞對文件進行讀/寫 115
5.7 利用 sqlmap 完成 SQL 註入 118
5.8 防禦 SQL 註入攻擊 122
項目小結 127
同步練習 128
實訓任務 129
項目六　SQL盲註攻擊與防禦 130
學習目標 130
項目描述 131
項目分析 131
項目相關知識點 132
項目實施 135
6.1 實驗環境 135
6.2 基於布爾值的字符註入 136
6.3 基於布爾值的字節註入 142
6.4 基於時間的註入 144
6.5 非文本框輸入的 SQL 盲註 150
6.6 固定提示信息的 SQL 盲註 160
6.7 利用 Burp Suite 暴力破解 SQL 盲註 162
6.8 SQL 盲註攻擊的防禦 171
項目小結 174
同步練習 175
實訓任務 177
項目七　暴力破解攻擊與防禦 178
學習目標 178
項目描述 179
項目分析 179
項目相關知識點 180
項目實施 184
7.1　實驗環境 184
7.2　利用萬能密碼進行暴力破解攻擊 184
7.3　利用 Burp Suite 進行暴力破解攻擊 189
7.4　在中等、高等安全級別下實施暴力破解攻擊 192
7.5　利用 Bruter 實施暴力破解攻擊 199
7.6　利用 Hydra 實施暴力破解攻擊 201
項目小結 204
同步練習 204
實訓任務 206
項目八　文件包含攻擊與防禦 207
學習目標 207
項目描述 208
項目分析 208
項目相關知識點 209
項目實施 213
8.1　實驗環境 213
8.2　文件包含漏洞原理分析 213
8.3　文件包含攻擊 219
8.4　文件包含漏洞的繞過 221
8.5　文件包含漏洞的應用 224
8.6　文件包含攻擊的防禦 225
項目小結 227
同步練習 228
實訓任務 229
項目九　XSS攻擊與防禦 230
學習目標 230
項目描述 231
項目分析 231
項目相關知識點 232
項目實施 239
9.1　實驗環境 239
9.2　XSS 攻擊原理分析 239
9.3　反射型 XSS 攻擊 243
9.4　存儲型 XSS 攻擊 243
9.5　利用 Cookie 完成 Session 劫持 244
9.6　XSS 釣魚攻擊 246
9.7　防禦 XSS 攻擊 249
項目小結 252
同步練習 253
實訓任務 254
項目十　CSRF攻擊與防禦 255
學習目標 255
項目描述 256
項目分析 256
項目相關知識點 257
項目實施 263
10.1　實驗環境 263
10.2　CSRF 攻擊原理分析 263
10.3　顯性與隱性攻擊 267
10.4　模擬銀行轉賬攻擊 269
10.5　防禦 CSRF 攻擊 274
項目小結 278
同步練習 279
實訓任務 280
項目十一　代碼審計 281
11.1　代碼審計概述 281
11.2　常見代碼審計方法 282
11.3　代碼審計具體案例 283