高等职业教育计算机系列十三五规划教材WEB渗透与防御/陈云志
本书特色
[
本书以常见的Web安全漏洞为对象,详细介绍了这些Web安全漏洞的漏洞成因、检测方法以及防范技术,这些漏洞都是OWASP TOP 10中所列举的主要风险,为学习和研究Web安全漏洞检测及防范技术提供了有价值的参考。全书共有6章,分别介绍Web系统安全概论、Web协议分析、Web漏洞检测工具、Web漏洞实验平台、Web常见漏洞分析、Web应用安全防护与部署等内容,所涉及的漏洞基本涵盖了OWASP TOP 10中所列举的主要风险。
]
内容简介
[
SUMMARY
]
作者简介
[
宣乐飞,男,硕士研究生,浙江杭州人。杭州职业技术学院信息工程学院信息安全与管理专业负责人,主要讲授计算机网络技术、信息安全方向课程。承担浙江省十三五优势专业—信息安全与管理专业建设,《路由与交换》国家级精品课程主讲教师、国家十二五规划教材《路由与交换》副主编,承担厅级课题3项,发表论文6篇,其中EI收录1篇。
]
目录
目 录项目一 Web安全概述 11.1 Web安全现状与发展趋势 11.1.1 Web安全现状 11.1.2 Web安全发展趋势 41.2 Web系统介绍 51.2.1 Web的发展历程 51.2.2 Web系统的构成 61.2.3 Web系统的应用架构 71.2.4 Web的访问方法 81.2.5 Web编程语言 81.2.6 Web数据库访问技术 101.2.7 Web服务器 11实例 十大安全漏洞比较分析 13项目二 Web协议与分析 142.1 HTTP 142.1.1 HTTP通信过程 142.1.2 统一资源定位符(URL) 152.1.3 HTTP的连接方式和无状态性 152.1.4 HTTP请求报文 162.1.5 HTTP响应报文 192.1.6 HTTP报文结构汇总 212.1.7 HTTP会话管理 222.2 HTTPS 232.2.1 HTTPS和 HTTP的主要区别 242.2.2 HTTPS与Web服务器通信过程 242.2.3 HTTPS的优点 252.2.4 HTTPS的缺点 252.3 网络嗅探工具 252.3.1 Wireshark简介 252.3.2 Wireshark 工具的界面 26实例1 Wireshark应用实例 35实例1.1 捕捉数据包 35实例1.2 处理捕捉后的数据包 39 项目三 Web漏洞检测工具 443.1 Web漏洞检测工具AppScan 443.1.1 AppScan简介 443.1.2 AppScan的安装 453.1.3 AppScan的基本工作流程 483.1.4 AppScan界面介绍 513.2 HTTP分析工具WebScarab 543.3 网络漏洞检测工具Nmap 563.3.1 Nmap简介 563.3.2 Nmap的安装 573.4 集成化的漏洞扫描工具Nessus 593.4.1 Nessus简介 593.4.2 Nessus的安装 60实例1 扫描实例 63实例2 WebScarab的运行 75实例3 Nmap应用实例 82实例3.1 利用Nmap图形界面进行扫描探测 82实例3.2 利用Nmap命令行界面进行扫描探测 95实例4 利用Nessus扫描Web应用程序 103项目四 Web漏洞实验平台 1084.1 DVWA的安装与配置 1084.2 WebGoat简介 109实例1 DVWA v1.9的平台搭建 109实例2 WebGoat的安装与配置 117项目五 Web常见漏洞分析 1225.1 SQL注入漏洞分析 1225.2 XSS漏洞分析 1265.3 CSRF漏洞分析 1305.4 任意文件下载漏洞 1325.5 文件包含漏洞分析 1335.6 逻辑漏洞 1375.6.1 用户相关的逻辑漏洞 1375.6.2 交易相关的逻辑漏洞 1405.6.3 恶意攻击相关的逻辑漏洞 1415.7 任意文件上传漏洞 1425.8 暴力破解 1425.9 命令注入 1425.10 不安全的验证码机制 143实例1 SQL注入漏洞实例 145实例1.1 手工SQL注入 145实例1.2 使用工具进行SQL注入 149实例1.3 手工注入(1) 151实例1.4 手工注入(2) 154实例1.5 布尔盲注 157实例1.6 时间盲注 160实例2 XSS漏洞攻击实例 165实例2.1 反射型XSS漏洞挖掘与利用(1) 165实例2.2 反射型XSS漏洞挖掘与利用(2) 167实例2.3 反射型XSS漏洞挖掘与利用(3) 168实例2.4 存储型XSS漏洞挖掘与利用(1) 169实例2.5 存储型XSS漏洞挖掘与利用(2) 170实例2.6 存储型XSS漏洞挖掘与利用(3) 172实例2.7 DOM型XSS漏洞挖掘与利用(1) 174实例2.8 DOM型XSS漏洞挖掘与利用(2) 175实例2.9 DOM型XSS漏洞挖掘与利用(3) 176实例3 CSRF漏洞攻击实例 177实例3.1 CSRF漏洞挖掘与利用(1) 177实例3.2 CSRF漏洞挖掘与利用(2) 179实例3.3 CSRF漏洞挖掘与利用(3) 180实例4 CMS任意文件下载实例 183实例5 文件包含漏洞攻击实例 185实例5.1 文件包含漏洞挖掘与利用(1) 185实例5.2 文件包含漏洞挖掘与利用(2) 187实例5.3 文件包含漏洞挖掘与利用(3) 188实例6 逻辑漏洞攻击实例 190实例6.1 某网站任意密码修改漏洞 190实例6.2 某电商平台权限跨越漏洞 192实例6.3 某交易支付相关漏洞 195实例6.4 某电商平台邮件炸弹攻击漏洞 196实例7 文件上传漏洞利用实例 197实例7.1 文件上传漏洞利用(1) 197实例7.2 文件上传漏洞利用(2) 199实例7.3 文件上传漏洞利用(3) 203实例7.4 文件上传漏洞防护 205实例8 Web口令暴力破解实例 207实例8.1 Web口令暴力破解(1) 207实例8.2 Web口令暴力破解(2) 211实例8.3 Web口令暴力破解(3) 213实例8.4 Web口令暴力破解防护 217实例9 命令注入漏洞利用实例 219实例9.1 命令注入漏洞利用(1) 219实例9.2 命令注入漏洞利用(2) 223实例9.3 命令注入漏洞利用(3) 226实例9.4 命令注入漏洞防护 230实例10 验证码绕过攻击实例 232实例10.1 验证码绕过攻击(1) 232实例10.2 验证码绕过攻击(2) 235实例10.3 验证码绕过攻击(3) 237实例10.4 验证码绕过漏洞防护 239项目六 Web应用安全防护与部署 2416.1 服务器系统与网络服务 2416.1.1 服务器系统主要技术 2416.1.2 网络操作系统常用的网络服务 2426.2 Apache技术介绍 2456.2.1 Apache工作原理 2456.2.2 配置Apache服务器 2466.3 Web应用防护系统(WAF) 2486.3.1 WAF的主要功能 2486.3.2 常见的WAF产品 249实例1 Linux安全部署 250实例2 Windows安全部署 255实例3 IIS加固设置 265实例4 Apache加固设置 266实例5 Tomcat加固设置 269实例6 WAF配置与应用 272
封面
书名:高等职业教育计算机系列十三五规划教材WEB渗透与防御/陈云志
作者:陈云志
页数:288
定价:¥43.0
出版社:电子工业出版社
出版日期:2018-11-01
ISBN:9787121344169
PDF电子书大小:141MB 高清扫描完整版