Web應用架構詳解與滲透測試
王斌,馮繼舜,張曉蕾
- 出版商: 電子工業
- 出版日期: 2025-08-01
- 售價: $294
- 語言: 簡體中文
- 頁數: 228
- ISBN: 7121512130
- ISBN-13: 9787121512131
-
相關分類:
Penetration-test
下單後立即進貨 (約4週~6週)
相關主題
商品描述
本書采用項目引導結合任務驅動的模式進行編寫,本書深入淺出地介紹了Web應用架構的相關知識,以及Web滲透測試技術和工具。全書共4個項目,包括Web應用架構詳解、Web滲透測試工具、Web滲透測試、Web滲透測試實戰,重點培養學生提出問題、分析問題和解決問題的綜合能力。 本書配有豐富且實用的教學資源,包括教學PPT、實驗環境、CVE漏洞案例和任務實訓等,便於學生更好地掌握相關教學內容。 本書既可以作為高職高專院校和應用型本科院校信息安全相關專業的教材,也可以作為相關技術人員的參考書。
目錄大綱
項目 1 Web 應用架構詳解 ................................................................................................................. 1
任務 1.1 認識 Web 應用環境架構 ............................................................................................. 1
1.1.1 服務器 ........................................................................................................................ 2
1.1.2 數據庫 ........................................................................................................................ 4
1.1.3 中間件 ........................................................................................................................ 6
1.1.4 腳本語言 .................................................................................................................... 7
任務 1.2 認識 HTTP 協議 ........................................................................................................... 9
1.2.1 HTTP 基礎知識 ......................................................................................................... 9
1.2.2 HTTP 消息 ............................................................................................................... 12
1.2.3 HTTP 請求方法 ....................................................................................................... 14
1.2.4 HTTP 頭部字段 ....................................................................................................... 19
1.2.5 HTTP 狀態碼 ........................................................................................................... 23
任務 1.3 認識常見的服務端口 ................................................................................................. 29
1.3.1 FTP 21 端口 ............................................................................................................. 30
1.3.2 SSH 22 端口 ............................................................................................................. 32
1.3.3 Telnet 23 端口 .......................................................................................................... 34
1.3.4 HTTP 80 端口 .......................................................................................................... 35
1.3.5 HTTPS 443 端口 ...................................................................................................... 36
1.3.6 SMB 445 端口 .......................................................................................................... 37
1.3.7 RDP 3389 端口......................................................................................................... 39
1.3.8 MySQL 3306 端口 ................................................................................................... 41
1.3.9 MSSQL 1433 端口 ................................................................................................... 43
1.3.10 Oracle 1521 端口 .................................................................................................... 45
1.3.11 Redis 6379 端口 ..................................................................................................... 48
1.3.12 Tomcat 8080 端口 .................................................................................................. 49
項目 2 Web 滲透測試工具 ............................................................................................................... 51
任務 2.1 測試工具的安裝與使用 ............................................................................................. 51
2.1.1 Nmap ........................................................................................................................ 51
2.1.2 Sqlmap ...................................................................................................................... 59
2.1.3 禦劍後臺掃描工具 .................................................................................................. 69
2.1.4 Metasploit ................................................................................................................. 71
2.1.5 Burp Suite ................................................................................................................. 76
2.1.6 AWVS ...................................................................................................................... 87
2.1.7 AppScan .................................................................................................................... 90
2.1.8 Nessus ....................................................................................................................... 93
項目 3 Web 滲透測試 .................................................................................................................... 103
任務 3.1 配置 Web 滲透測試環境 ......................................................................................... 103
3.1.1 虛擬機工具的安裝 ................................................................................................ 103
3.1.2 集成環境 ................................................................................................................ 109
3.1.3 靶場部署 ................................................................................................................ 112
任務 3.2 學習 Web 應用信息收集 ......................................................................................... 119
3.2.1 子域名收集 ............................................................................................................ 120
3.2.2 WHOIS 信息收集 .................................................................................................. 124
3.2.3 主機信息收集 ........................................................................................................ 126
3.2.4 敏感信息收集 ........................................................................................................ 133
任務 3.3 學習 Web 滲透測試方法 ......................................................................................... 137
3.3.1 XSS(跨站腳本攻擊) ......................................................................................... 138
3.3.2 SQL 註入漏洞 ........................................................................................................ 144
3.3.3 CSRF(跨站請求偽造) ....................................................................................... 151
3.3.4 SSRF(服務端請求偽造) ................................................................................... 154
3.3.5 暴力破解 ................................................................................................................ 159
3.3.6 邏輯漏洞 ................................................................................................................ 162
3.3.7 任意文件上傳 ........................................................................................................ 166
3.3.8 XXE(XML 外部實體註入) .............................................................................. 171
3.3.9 代碼執行 ................................................................................................................ 174
3.3.10 命令執行 .............................................................................................................. 176
項目 4 Web 滲透測試實戰 ............................................................................................................. 179
任務 4.1 安裝與配置實驗靶場 ............................................................................................... 179
4.1.1 VulFocus 靶場介紹 ................................................................................................ 179
4.1.2 VulFocus 靶場的安裝 ............................................................................................ 180
4.1.3 VulFocus 靶場的使用 ............................................................................................ 183
任務 4.2 實戰 CVE 漏洞 ......................................................................................................... 187
4.2.1 CVE-2017-11629(反射型 XSS) ........................................................................ 188
4.2.2 CVE-2019-8924(存儲型 XSS) .......................................................................... 189
4.2.3 CVE-2022-32300(SQL 註入) ........................................................................... 191
4.2.4 CVE-2019-14234(SQL 註入) ........................................................................... 197
4.2.5 CVE-2014-4210(服務端請求偽造) .................................................................. 201
4.2.6 CVE-2022-23983(跨站請求偽造) .................................................................... 203
4.2.7 CVE-2018-12491(文件上傳) ............................................................................ 205
4.2.8 CVE-2019-8933(文件上傳) .............................................................................. 208
4.2.9 CVE-2018-1002015(代碼執行) ........................................................................ 212
4.2.10 CVE-2020-35339(代碼執行) .......................................................................... 213
4.2.11 CVE-2021-32305(命令註入) .......................................................................... 215
4.2.12 CVE-2021-43287(任意文件讀取) .................................................................. 217
4.2.13 CVE-2021-36749(任意文件讀取) .................................................................. 218
