PHP Web攻防技術與實踐

PHP Web攻防技術與實踐 預覽內頁
  • 出版商: 清華大學
  • 出版日期: 2025-07-01
  • 售價: $414
  • 語言: 簡體中文
  • ISBN: 7302688737
  • ISBN-13: 9787302688730
  • 相關分類: PHP

    • 下單後立即進貨 (約4週~6週)

  • PHP Web攻防技術與實踐-preview-1
  • PHP Web攻防技術與實踐-preview-2
  • PHP Web攻防技術與實踐-preview-3
PHP Web攻防技術與實踐-preview-1

相關主題

商品描述

《PHP Web攻防技術與實踐》圍繞Web安全漏洞的攻防實踐展開,以PHP語言為載體,全面、系統地介紹12類經典安全漏洞的技術原理、攻擊方法和防禦機制。通過豐富的示例代碼、詳細的過程截圖和大量的操作視頻,使得具有PHP語言基礎的讀者能夠比較輕松地理解各種安全漏洞的產生原因和利用方法。《PHP Web攻防技術與實踐》以攻防對抗的形式介紹Web應用防火墻(WebApplicationFirewall,WAF)防禦Web攻擊的原理和機制,在各章節詳細討論兩種WAF防禦不同漏洞攻擊的安全規則、防禦效果和繞過方法,通過系統分析WAF的優缺點有效提升讀者的Web防禦水平。

作者簡介

郭帆,中國科學技術大學計算機軟件與理論專業博士,在網絡安全方面具有極為豐富的實踐經驗和教學經驗;在國內外主流期刊和會議發表30余篇論文;現主持國家自然科學基金項目1項,已完成多項省級項目。

目錄大綱

目錄

第1章基礎知識/

1.1Web應用攻擊

1.2Web應用防禦

1.2.1雷池WAF

1.2.2ModSecurity

1.3系統環境

1.4小結

第2章SQL註入/

2.1基礎知識

2.1.1MySQL基礎

2.1.2SQL註入類型

2.2數字型註入

2.2.1存在性測試

2.2.2聯合註入

2.2.3防註入編碼

2.2.4註釋的用法

2.2.5自動化攻擊

2.2.6反過濾機制

2.3字符型註入

2.3.1存在性測試

2.3.2過濾引號

2.3.3二次註入

2.4報錯註入

2.4.1XPath語法錯誤

2.4.2floor函數報錯

2.4.3整數溢出報錯

2.5盲註

2.5.1布爾盲註

2.5.2時間盲註

2.6其他註入

2.7註入技巧

2.8小結

練習

第3章遠程命令/代碼執行/

3.1基礎知識

3.1.1命令執行函數

3.1.2代碼執行函數

3.2命令註入

3.2.1Windows命令

註入

3.2.2Linux命令註入

3.2.3註入防禦

3.3繞過黑名單

3.3.1繞過Windows

限制

3.3.2繞過Linux限制

3.3.3命令替代

3.4命令註入外帶方法

3.5命令註入防禦

3.5.1ModSecurity防禦

3.5.2雷池防禦

3.6代碼註入與防禦

3.6.1PHP註入繞過

3.6.2ModSecurity防禦

3.6.3雷池防禦

3.7小結

練習

第4章文件包含/

4.1基礎知識

4.2PHP偽協議

4.3繞過限制

4.4系統文件包含

4.5WAF檢測

4.5.1ModSecurity

4.5.2雷池WAF

4.6小結

練習

第5章文件上傳/

5.1基礎知識

5.2信息驗證

5.2.1白名單驗證

5.2.2黑名單驗證

5.3內容驗證

5.4條件競爭

5.4.1上傳進度變量

5.4.2臨時文件包含

5.5WAF防禦

5.5.1ModSecurity

5.5.2雷池WAF

5.6小結

練習

第6章跨站請求偽造/

6.1基礎知識

6.1.1SSRF漏洞

6.1.2CSRF漏洞

6.2SSRF攻擊與防禦

6.2.1Gopher協議

6.2.2典型SSRF攻擊

6.2.3SSRF防禦機制

6.3CSRF攻擊與防禦

6.4WAF防禦

6.4.1防禦SSRF

6.4.2防禦CSRF

6.5小結

練習

第7章跨站腳本註入/

7.1基礎知識

7.1.1XSS漏洞類型

7.1.2同源策略

7.1.3Cookie

7.2註入方法

7.2.1閉合標簽

7.2.2事件處理函數

7.2.3屬性註入

7.2.4腳本上下文註入

7.2.5其他方法

7.3防禦機制與繞過

7.3.1黑名單

7.3.2限制字符

7.3.3無法繞過的防禦

機制

7.4WAF防禦與繞過

7.4.1ModSecurity防禦

與繞過

7.4.2雷池防禦與繞過

7.5CSP策略

7.6小結

練習

第8章PHP語言特性/

8.1文件處理函數

8.2運算符

8.2.1邏輯運算符

8.2.2比較運算符

8.2.3in_array函數

8.2.4intval函數

8.2.5浮點數精度

8.2.6哈希函數

8.2.7strcmp函數

8.2.8數組與字符串

8.3變量

8.3.1非法變量名

8.3.2變量執行

8.3.3變量覆蓋

8.3.4預定義變量

8.4類方法調用

8.5__halt_compiler函數

8.6正則匹配

8.6.1preg_match函數

8.6.2preg_replace

函數

8.7require_once

8.8parse_url

8.9小結

第9章反序列化/

9.1基礎知識

9.1.1對象的序列化

9.1.2對象的反序列化

9.2魔術方法

9.2.1__construct和

__destruct

9.2.2__sleep和

__wakeup

9.2.3__invoke和

__call

9.2.4__get、__set、__isset和

__unset

9.2.5__serialize和

__unserialize

9.2.6__toString和

__debugInfo

9.3反序列化漏洞

9.3.1魔術方法誤用

9.3.2同名方法誤用

9.3.3異常處理

9.3.4對象回收

9.3.5對象方法調用

9.3.6動態增加對象

屬性

9.3.7PHP會話的反

序列化

9.3.8PHAR反序列化

9.4防禦反序列化攻擊

9.5小結

練習

第10章其他常見漏洞/

10.1外部實體註入(XXE)

10.1.1參數實體

註入

10.1.2WAF防禦

XXE

10.2CRLF註入

10.3HTTP請求走私

10.3.1基礎知識

10.3.2攻擊方法

10.3.3防禦請求

走私

10.4點擊劫持

10.5小結

練習

第11章Web滲透測試過程/

11.1信息收集

11.1.1域名信息

收集

11.1.2域名信息收集

工具

11.1.3網絡服務信息

收集

11.1.4URL路徑和Web

應用

11.2漏洞掃描

11.3滲透測試案例

11.3.1弱口令漏洞

11.3.2歷史漏洞

利用

11.3.3權限配置

錯誤

11.4小結

參考文獻/

類似商品