內容簡介
本書是針對高職學生信息安全專業學生,在學習信息安全方面中web安全方面的基礎知識。本書採用目前流行的web滲透開源平台DVWA為實驗平台,詳細講解分析流行的web滲透與防護方法。
目錄
第1章 Web信息安全基礎 1
1.1 當前Web信息安全形勢 1
1.2 Web安全防護技術 4
第2章 信息安全法律法規 8
2.1 信息安全法律法規 8
2.2 案例分析 10
第3章 命令注入攻擊與防禦 13
3.1 項目描述 13
3.2 項目分析 13
3.3 項目小結 19
3.4 項目訓練 20
3.4.1 實驗環境 20
3.4.2 命令注入攻擊原理分析 20
3.4.3 利用命令注入獲取信息 24
3.4.4 命令注入漏洞攻擊方法 27
3.4.5 防禦命令注入攻擊 31
3.5 實訓任務 34
第4章 檔案上傳攻擊與防禦 35
4.1 項目描述 35
4.2 項目分析 35
4.3 項目小結 41
4.4 項目訓練 42
4.4.1 實驗環境 42
4.4.2 檔案上傳漏洞原理分析 42
4.4.3 上傳木馬獲取控制權 48
4.4.4 檔案上傳漏洞攻擊方法 52
4.4.5 檔案上傳漏洞防禦方法 54
4.5 實訓任務 56
第5章 SQL注入攻擊與防禦 57
5.1 項目描述 57
5.2 項目分析 57
5.3 項目小結 71
5.4 項目訓練 72
5.4.1 實驗環境 72
5.4.2 SQL注入攻擊原理分析 72
5.4.3 文本框輸入的SQL注入方法 77
5.4.4 非文本框輸入的SQL注入方法 82
5.4.5 固定提示信息的滲透方法 89
5.4.6 利用SQL注入漏洞對檔案進行讀寫 92
5.4.7 利用sqlmap完成SQL注入 94
5.4.8 防範SQL注入 98
5.5 實訓任務 102
第6章 SQL盲注攻擊與防禦 103
6.1 項目描述 103
6.2 項目分析 103
6.3 項目小結 107
6.4 項目訓練 107
6.4.1 實驗環境 107
6.4.2 基於布爾值的字元注入原理 107
6.4.3 基於布爾值的位元組注入原理 113
6.4.4 基於時間的注入原理 115
6.4.5 非文本框輸入的SQL盲注方法 120
6.4.6 固定提示信息的SQL盲注方法 128
6.4.7 利用Burp Suite暴力破解SQL盲注 130
6.4.8 SQL盲注防禦方法 138
6.5 實訓任務 140
第7章 暴力破解攻擊與防禦 141
7.1 項目描述 141
7.2 項目分析 141
7.3 項目小結 145
7.4 項目訓練 145
7.4.1 實驗環境 145
7.4.2 利用萬能密碼進行暴力破解 145
7.4.3 利用Burp Suite進行暴力破解 150
7.4.4 在中、高等安全級別下實施暴力破解 153
7.4.5 利用Bruter實施暴力破解 156
7.4.6 利用Hydra實施暴力破解 159
7.5 實訓任務 161
第8章 檔案包含攻擊與防禦 162
8.1 項目描述 162
8.2 項目分析 162
8.3 項目小結 166
8.4 項目訓練 166
8.4.1 實驗環境 166
8.4.2 檔案包含漏洞原理 166
8.4.3 檔案包含漏洞攻擊方法 171
8.4.4 繞過防禦方法 173
8.4.5 檔案包含漏洞的幾種套用方法 176
8.4.6 檔案包含漏洞的防禦方法 177
8.5 實訓任務 178
第9章 XSS攻擊與防禦 179
9.1 項目描述 179
9.2 項目分析 179
9.3 項目小結 185
9.4 項目訓練 186
9.4.1 實驗環境 186
9.4.2 XSS攻擊原理 186
9.4.3 反射型XSS攻擊方法 189
9.4.4 存儲型XSS攻擊方法 190
9.4.5 利用Cookie完成Session劫持 190
9.4.6 XSS釣魚攻擊 192
9.4.7 防範XSS攻擊 195
9.5 實訓任務 198
第10章 CSRF攻擊與防禦 199
10.1 項目描述 199
10.2 項目分析 199
10.3 項目小結 204
10.4 項目訓練 205
10.4.1 實驗環境 205
10.4.2 CSRF攻擊原理 205
10.4.3 顯性與隱性攻擊方式 208
10.4.4 模擬銀行轉賬攻擊 211
10.4.5 防範CSRF攻擊 215
10.5 實訓任務 219
第11章 代碼審計 220
11.1 代碼審計概述 220
11.2 常見代碼審計方法 221
11.3 代碼審計具體案例 222
參考文獻 223,
第1章 Web信息安全基礎 1
1.1 當前Web信息安全形勢 1
1.2 Web安全防護技術 4
第2章 信息安全法律法規 8
2.1 信息安全法律法規 8
2.2 案例分析 10
第3章 命令注入攻擊與防禦 13
3.1 項目描述 13
3.2 項目分析 13
3.3 項目小結 19
3.4 項目訓練 20
3.4.1 實驗環境 20
3.4.2 命令注入攻擊原理分析 20
3.4.3 利用命令注入獲取信息 24
3.4.4 命令注入漏洞攻擊方法 27
3.4.5 防禦命令注入攻擊 31
3.5 實訓任務 34
第4章 檔案上傳攻擊與防禦 35
4.1 項目描述 35
4.2 項目分析 35
4.3 項目小結 41
4.4 項目訓練 42
4.4.1 實驗環境 42
4.4.2 檔案上傳漏洞原理分析 42
4.4.3 上傳木馬獲取控制權 48
4.4.4 檔案上傳漏洞攻擊方法 52
4.4.5 檔案上傳漏洞防禦方法 54
4.5 實訓任務 56
第5章 SQL注入攻擊與防禦 57
5.1 項目描述 57
5.2 項目分析 57
5.3 項目小結 71
5.4 項目訓練 72
5.4.1 實驗環境 72
5.4.2 SQL注入攻擊原理分析 72
5.4.3 文本框輸入的SQL注入方法 77
5.4.4 非文本框輸入的SQL注入方法 82
5.4.5 固定提示信息的滲透方法 89
5.4.6 利用SQL注入漏洞對檔案進行讀寫 92
5.4.7 利用sqlmap完成SQL注入 94
5.4.8 防範SQL注入 98
5.5 實訓任務 102
第6章 SQL盲注攻擊與防禦 103
6.1 項目描述 103
6.2 項目分析 103
6.3 項目小結 107
6.4 項目訓練 107
6.4.1 實驗環境 107
6.4.2 基於布爾值的字元注入原理 107
6.4.3 基於布爾值的位元組注入原理 113
6.4.4 基於時間的注入原理 115
6.4.5 非文本框輸入的SQL盲注方法 120
6.4.6 固定提示信息的SQL盲注方法 128
6.4.7 利用Burp Suite暴力破解SQL盲注 130
6.4.8 SQL盲注防禦方法 138
6.5 實訓任務 140
第7章 暴力破解攻擊與防禦 141
7.1 項目描述 141
7.2 項目分析 141
7.3 項目小結 145
7.4 項目訓練 145
7.4.1 實驗環境 145
7.4.2 利用萬能密碼進行暴力破解 145
7.4.3 利用Burp Suite進行暴力破解 150
7.4.4 在中、高等安全級別下實施暴力破解 153
7.4.5 利用Bruter實施暴力破解 156
7.4.6 利用Hydra實施暴力破解 159
7.5 實訓任務 161
第8章 檔案包含攻擊與防禦 162
8.1 項目描述 162
8.2 項目分析 162
8.3 項目小結 166
8.4 項目訓練 166
8.4.1 實驗環境 166
8.4.2 檔案包含漏洞原理 166
8.4.3 檔案包含漏洞攻擊方法 171
8.4.4 繞過防禦方法 173
8.4.5 檔案包含漏洞的幾種套用方法 176
8.4.6 檔案包含漏洞的防禦方法 177
8.5 實訓任務 178
第9章 XSS攻擊與防禦 179
9.1 項目描述 179
9.2 項目分析 179
9.3 項目小結 185
9.4 項目訓練 186
9.4.1 實驗環境 186
9.4.2 XSS攻擊原理 186
9.4.3 反射型XSS攻擊方法 189
9.4.4 存儲型XSS攻擊方法 190
9.4.5 利用Cookie完成Session劫持 190
9.4.6 XSS釣魚攻擊 192
9.4.7 防範XSS攻擊 195
9.5 實訓任務 198
第10章 CSRF攻擊與防禦 199
10.1 項目描述 199
10.2 項目分析 199
10.3 項目小結 204
10.4 項目訓練 205
10.4.1 實驗環境 205
10.4.2 CSRF攻擊原理 205
10.4.3 顯性與隱性攻擊方式 208
10.4.4 模擬銀行轉賬攻擊 211
10.4.5 防範CSRF攻擊 215
10.5 實訓任務 219
第11章 代碼審計 220
11.1 代碼審計概述 220
11.2 常見代碼審計方法 221
11.3 代碼審計具體案例 222
參考文獻 223