web安全攻防項目化實戰教程

《Web安全攻防項目化實戰教程》重點從Web套用安全測試防範技術、Web信息漏洞與探測掃描技術、Web站點漏洞攻擊及注入技術、Web伺服器端組件漏洞測試攻擊與防禦技術、Web應用程式客戶端弱口令攻擊與防禦技術等方面深入淺出地介紹和分析了目前網路上流行的Web滲透攻擊方法和手段。從Web滲透的專業角度，結合網路攻防中的實際案例，圖文並茂地再現了Web滲透的完整過程，精選經典案例，搭建測試環境，供讀者進行測試。《Web安全攻防項目化實戰教程》通過入侵環境的真實模擬、防範技巧的實踐總結，展示了在網路實踐環境中如何做到知己知彼，有效地防範黑客的攻擊，並提供了許多獨到的安全方面的見解，利用大量的實際案例和示例代碼詳細介紹了各類Web應用程式的弱點，闡述了如何針對Web應用程式進行具體的滲透測試過程。《Web安全攻防項目化實戰教程》主要作為網路空間安全、信息安全管理等專業的教材，也可以作為信息安全培訓機構的教材，對從事計算機安全、系統安全、信息化安全的工作者也有較大的參考價值。

項目1 Web套用安全測試防範技術

任務1．1 Web應用程式安全與風險

子任務1．1．1 Web應用程式的發展歷程與常見功能

子任務1．1．2 Web伺服器寫許可權刺探

子任務1．1．3 Web核心安全問題及因素

子任務1．1．4 Web伺服器及常用攻擊技術

子任務1．1．5 Web套用剖析自動化運維

子任務1．1．6 Web應用程式安全的未來

任務1．2 Web安全實踐——HTTP架構分析

子任務1．2．1 HTTP解析

子任務1．2．2 HTTP訊息頭注入

子任務1．2．3 HTTPCookie數據

子任務1．2．4 截取HTTP請求

子任務1．2．5 編碼與規範化漏洞

任務1．3 Web伺服器應用程式規範

子任務1．3．1 攻擊瀏覽器擴展的方法

子任務1．3．2 Web核心安全同源策略

子任務1．3．3 Web套用運行日誌

子任務1．3．4 惡意網頁及其檢測技術

子任務1．3．5 Web伺服器信息泄露

子任務1．3．6 Web伺服器版本信息收集

子任務1．3．7 Web伺服器連線埠掃描

項目2 Web信息漏洞與探測掃描技術

任務2．1 GoogleHack

子任務2．1．1 搜尋子域名

子任務2．1．2 搜尋Web信息

任務2．2 Nmap體驗

子任務2．2．1 安裝Nmap

子任務2．2．2 測主機信息

子任務2．2．3 Nmap腳本引擎

任務2．3 BurpSuite

任務2．4 AWVS

任務2．5 AppScan

項目3 Web站點漏洞攻擊及注入技術

任務3．1 SQL注入攻擊技術

子任務3．1．1 數字型注入

子任務3．1．2 字元型注入

子任務3．1．3 Access的SQL注入

子任務3．1．4 MySQL的SQL注入

子任務3．1．5 Web注入工具

子任務3．1．6 SQL注入防禦

任務3．2 跨站腳本（XSS）攻擊

子任務3．2．1 XSS攻擊的分類

子任務3．2．2 反射型XSS攻擊

子任務3．2．3 存儲型XSS攻擊

子任務3．2．4 DOM型XSS攻擊

子任務3．2．5 XSS攻擊漏洞的利用

子任務3．2．6 XSS攻擊的防禦

任務3．3 跨站點請求偽造（CSRF）

項目4 Web伺服器端組件漏洞測試攻擊與防禦技術

項目5 Web應用程式客戶端弱口令攻擊與防禦技術

賈如春，男，博士、教授，碩士導師，全國大學生信息安全競賽裁判、全國大學生信息安全與對抗技術競賽辦公室主任、全國中國小信息技術創新與實踐大賽、四星級裁判(評審)，《全國高等教育網路空間安全產業人才培養規劃叢書》總主編、編委會主任，雄安新區公共服務研究院研究員。