新書推薦:
《
秦汉史讲义
》
售價:NT$
690.0
《
万千心理·我的精神分析之道:复杂的俄狄浦斯及其他议题
》
售價:NT$
475.0
《
荷马:伊利亚特(英文)-西方人文经典影印21
》
售價:NT$
490.0
《
我的心理医生是只猫
》
售價:NT$
225.0
《
股权控制战略:如何实现公司控制和有效激励(第2版)
》
售價:NT$
449.0
《
汉译名著·哲学经典十种
》
售價:NT$
3460.0
《
成吉思汗传:看历代帝王将相谋略 修炼安身成事之根本
》
售價:NT$
280.0
《
爱丁堡古罗马史-罗马城的起源和共和国的崛起
》
售價:NT$
349.0
|
內容簡介: |
Web 系统是目前最为流行的架构,由于它是黑客攻击的重要目标,因此迫切需要大量掌握Web 安全攻防技术的人才提高其安全性。本书结合渗透测试项目实施过程,分为Web 系统安全技术基础、信息收集与漏洞扫描、利用漏洞进行渗透测试与防范、项目验收4个部分,共 10 个单元,详细介绍了Web 系统安全技术与利用漏洞进行渗透测试的方法。每个单元理论知识与实训任务相结合,较好地体现了理实一体化的教学理念。为便于学习,本书主要针对基于PHP+MySQL开发的Web 系统安全攻防技术,实训内容图文并茂,易于实训任务的开展。为了使学生对Web 安全技术融会贯通,本书讲解力求深入至Web 系统程序代码层面。本书体系完整,内容翔实,配套资源丰富,可供高职院校开设Web 安全技术课程的学生使用,也可作为本科院校学生学习Web 安全技术的入门教程,同时也可作为技术人员自学Web 安全技术的参考书。
|
關於作者: |
王立进,山东科技职业学院副教授,国家级职业教育教师教学创新团队成员,曾获国家级教学成果二等奖、山东省教学成果特等奖,具有CISSP、CCNP、PMP等专业认证证书。精通WEB攻防、防火墙、入侵检测、信息安全管理与评估等技术。具有在启明星辰等知名信息安全公司超过20年的企业工作经验,期间曾被聘任为北京邮电大学计算机学院兼职副教授、硕士研究生企业导师
|
目錄:
|
单元 1 Web 系统安全技术基础11.1 Web 系统安全形势与威胁11.1.1 Web 系统安全形势11.1.2 Web 系统威胁分析21.1.3 OWASP十大Web 系统安全漏洞31.1.4 Web 系统渗透测试常用工具41.2 Web 系统架构与技术51.2.1 Web 系统架构51.2.2 服务器端技术61.2.3 客户端技术71.2.4 实训:安装DVWA系统81.3 HTTP131.3.1 HTTP工作原理131.3.2 HTTP请求141.3.3 HTTP响应161.3.4 HTTPS181.3.5 实训:抓取并分析HTTP数据包191.4 Web 系统控制会话技术241.4.1 Cookie241.4.2 Session251.4.3 Cookie 与Session 的比较251.4.4 实训:利用 Cookie 冒充他人登录系统26练习题30单元 2 信息收集与漏洞扫描322.1 信息收集322.1.1 利用公开网站收集目标系统信息332.1.2 利用Nmap进行信息收集352.1.3 实训:利用Nmap识别DVWA的服务及操作系统372.2 漏洞扫描412.2.1 漏洞扫描的概念412.2.2 网络漏洞扫描系统的工作原理422.2.3 实训:使用Nmap进行漏洞扫描432.2.4 实训:使用AWVS进行漏洞扫描472.3 Burp Suite 的深度利用522.3.1 Burp Suite 常用功能模块522.3.2 实训:使用Burp Suite 进行暴力破解56练习题64单元 3 SQL注入漏洞渗透测试与防范663.1 SQL注入漏洞概述663.1.1 SQL注入的概念与危害663.1.2 SQL注入漏洞的原理673.1.3 SQL注入漏洞的探测683.1.4 实训:手动SQL注入703.2 SQL注入漏洞利用的基础知识723.2.1 MySQL的注释733.2.2 MySQL的元数据733.2.3 union查询733.2.4 常用的MySQL函数743.2.5 实训:SQL注入的高级利用753.3 SQL盲注的探测与利用793.3.1 SQL盲注概述793.3.2 实训:手动盲注803.3.3 实训:利用SQLMap 对DVWA系统进行注入853.4 SQL注入的防范与绕过913.4.1 常见过滤技术与绕过913.4.2 SQL注入技术的综合防范技术923.4.3 实训:SQL注入过滤的绕过与防范94练习题98单元 4 跨站脚本漏洞渗透测试与防范1004.1 反射型XSS漏洞检测与利用1004.1.1 问题引入1004.1.2 反射型XSS漏洞原理1014.1.3 反射型XSS漏洞检测1034.1.4 实训:反射型XSS漏洞检测与利用1034.2 存储型XSS漏洞检测与利用1054.2.1 存储型XSS漏洞的原理1054.2.2 存储型XSS漏洞的检测1054.2.3 存储型XSS漏洞的利用1064.2.4 实训:存储型XSS漏洞检测与利用1074.3 基于DOM的XSS漏洞检测与利用1094.3.1 基于DOM的XSS漏洞原理1094.3.2 基于DOM的XSS漏洞检测1094.3.3 基于DOM的XSS漏洞利用1104.3.4 实训:基于DOM的XSS漏洞检测与利用1104.4 XSS漏洞的深度利用1124.4.1 XSS漏洞出现的场景与利用1124.4.2 利用XSS漏洞的攻击范围1134.4.3 XSS漏洞利用的绕过技巧1144.4.4 实训:绕过XSS漏洞防范措施1144.5 XSS漏洞的防范1164.5.1 输入校验1164.5.2 输出编码1174.5.3 HttpOnly1174.5.4 实训:XSS漏洞的防范118练习题120单元 5 文件上传漏洞渗透测试与防范1215.1 文件上传漏洞概述1215.1.1 文件上传漏洞与WebShell1215.1.2 中国菜刀与一句话木马1225.1.3 Web 容器解析漏洞1235.1.4 实训:利用中国菜刀连接WebShell1245.2 文件上传漏洞的防范与绕过1275.2.1 设计安全的文件上传控制机制1275.2.2 实训:客户端检测机制绕过1275.2.3 实训:黑名单及白名单过滤扩展名机制与绕过1315.2.4 实训:MIME验证与绕过1345.2.5 实训:%00 截断上传攻击1365.2.6 实训:.htaccess 文件攻击138练习题141单元 6 命令执行漏洞渗透测试与防范1436.1 命令执行漏洞的防范与绕过1436.1.1 命令执行漏洞的概念与危害1436.1.2 命令执行漏洞的原理与防范1456.1.3 实训:命令执行漏洞渗透测试与绕过1456.2 命令执行漏洞与代码执行漏洞的区别147练习题149单元 7 文件包含漏洞渗透测试与防范1507.1 文件包含漏洞的概念与分类1507.2 文件包含漏洞的深度利用1537.3 文件包含漏洞的防范1587.4 实训:文件包含漏洞的利用与防范159练习题162单元 8 跨站请求伪造漏洞渗透测试与防范1638.1 跨站请求伪造的概念1638.2 跨站请求伪造的原理1648.3 跨站请求伪造漏洞的检测1648.4 跨站请求伪造漏洞的防范1668.5 实训:跨站请求伪造漏洞的利用与防范167练习题172单元 9 反序列化漏洞渗透测试与防范1749.1 反序列化的概念1749.2 反序列化漏洞产生的原因与危害1769.3 反序列化漏洞的检测与防范1799.4 实训:Typecho1.0 反序列化漏洞利用与分析179练习题187单元 10 渗透测试报告撰写与沟通汇报18810.1 漏洞验证与文档记录18810.1.1 漏洞验证18810.1.2 文档记录建议18910.2 渗透测试报告的撰写19010.2.1 渗透测试报告需求分析19010.2.2 渗透测试报告样例19110.3 沟通汇报资料的准备19410.4 渗透测试的后续流程194练习题195参考文献196
|
|