本書是針對(duì)高職學(xué)生信息安全專業(yè)學(xué)生,在學(xué)習(xí)信息安全方面中web安全方面的基礎(chǔ)知識(shí)。本書采用目前流行的web滲透開源平臺(tái)DVWA為實(shí)驗(yàn)平臺(tái),詳細(xì)講解分析流行的web滲透與防護(hù)方法。
王德鵬,2008年至今就職于蘇州市職業(yè)大學(xué)計(jì)算機(jī)工程學(xué)院,從事計(jì)算機(jī)課程的教學(xué)工作,擔(dān)任過軟件開發(fā)等課程教學(xué)工作,從2012年開始從事計(jì)算機(jī)網(wǎng)絡(luò)方面的教學(xué)工作,主要擔(dān)任信息安全課程的教學(xué)工作,并從2012年開始指導(dǎo)學(xué)生參加江蘇省高職技能大賽信息安全與評(píng)估賽項(xiàng),連續(xù)多年獲獎(jiǎng)。
目 錄
第1章 Web信息安全基礎(chǔ) 1
1.1 當(dāng)前Web信息安全形勢 1
1.2 Web安全防護(hù)技術(shù) 4
第2章 信息安全法律法規(guī) 8
2.1 信息安全法律法規(guī) 8
2.2 案例分析 10
第3章 命令注入攻擊與防御 13
3.1 項(xiàng)目描述 13
3.2 項(xiàng)目分析 13
3.3 項(xiàng)目小結(jié) 19
3.4 項(xiàng)目訓(xùn)練 20
3.4.1 實(shí)驗(yàn)環(huán)境 20
3.4.2 命令注入攻擊原理分析 20
3.4.3 利用命令注入獲取信息 24
3.4.4 命令注入漏洞攻擊方法 27
3.4.5 防御命令注入攻擊 31
3.5 實(shí)訓(xùn)任務(wù) 34
第4章 文件上傳攻擊與防御 35
4.1 項(xiàng)目描述 35
4.2 項(xiàng)目分析 35
4.3 項(xiàng)目小結(jié) 41
4.4 項(xiàng)目訓(xùn)練 42
4.4.1 實(shí)驗(yàn)環(huán)境 42
4.4.2 文件上傳漏洞原理分析 42
4.4.3 上傳木馬獲取控制權(quán) 48
4.4.4 文件上傳漏洞攻擊方法 52
4.4.5 文件上傳漏洞防御方法 54
4.5 實(shí)訓(xùn)任務(wù) 56
第5章 SQL注入攻擊與防御 57
5.1 項(xiàng)目描述 57
5.2 項(xiàng)目分析 57
5.3 項(xiàng)目小結(jié) 71
5.4 項(xiàng)目訓(xùn)練 72
5.4.1 實(shí)驗(yàn)環(huán)境 72
5.4.2 SQL注入攻擊原理分析 72
5.4.3 文本框輸入的SQL注入方法 77
5.4.4 非文本框輸入的SQL注入方法 82
5.4.5 固定提示信息的滲透方法 89
5.4.6 利用SQL注入漏洞對(duì)文件進(jìn)行讀寫 92
5.4.7 利用sqlmap完成SQL注入 94
5.4.8 防范SQL注入 98
5.5 實(shí)訓(xùn)任務(wù) 102
第6章 SQL盲注攻擊與防御 103
6.1 項(xiàng)目描述 103
6.2 項(xiàng)目分析 103
6.3 項(xiàng)目小結(jié) 107
6.4 項(xiàng)目訓(xùn)練 107
6.4.1 實(shí)驗(yàn)環(huán)境 107
6.4.2 基于布爾值的字符注入原理 107
6.4.3 基于布爾值的字節(jié)注入原理 113
6.4.4 基于時(shí)間的注入原理 115
6.4.5 非文本框輸入的SQL盲注方法 120
6.4.6 固定提示信息的SQL盲注方法 128
6.4.7 利用Burp Suite暴力破解SQL盲注 130
6.4.8 SQL盲注防御方法 138
6.5 實(shí)訓(xùn)任務(wù) 140
第7章 暴力破解攻擊與防御 141
7.1 項(xiàng)目描述 141
7.2 項(xiàng)目分析 141
7.3 項(xiàng)目小結(jié) 145
7.4 項(xiàng)目訓(xùn)練 145
7.4.1 實(shí)驗(yàn)環(huán)境 145
7.4.2 利用萬能密碼進(jìn)行暴力破解 145
7.4.3 利用Burp Suite進(jìn)行暴力破解 150
7.4.4 在中、高等安全級(jí)別下實(shí)施暴力破解 153
7.4.5 利用Bruter實(shí)施暴力破解 156
7.4.6 利用Hydra實(shí)施暴力破解 159
7.5 實(shí)訓(xùn)任務(wù) 161
第8章 文件包含攻擊與防御 162
8.1 項(xiàng)目描述 162
8.2 項(xiàng)目分析 162
8.3 項(xiàng)目小結(jié) 166
8.4 項(xiàng)目訓(xùn)練 166
8.4.1 實(shí)驗(yàn)環(huán)境 166
8.4.2 文件包含漏洞原理 166
8.4.3 文件包含漏洞攻擊方法 171
8.4.4 繞過防御方法 173
8.4.5 文件包含漏洞的幾種應(yīng)用方法 176
8.4.6 文件包含漏洞的防御方法 177
8.5 實(shí)訓(xùn)任務(wù) 178
第9章 XSS攻擊與防御 179
9.1 項(xiàng)目描述 179
9.2 項(xiàng)目分析 179
9.3 項(xiàng)目小結(jié) 185
9.4 項(xiàng)目訓(xùn)練 186
9.4.1 實(shí)驗(yàn)環(huán)境 186
9.4.2 XSS攻擊原理 186
9.4.3 反射型XSS攻擊方法 189
9.4.4 存儲(chǔ)型XSS攻擊方法 190
9.4.5 利用Cookie完成Session劫持 190
9.4.6 XSS釣魚攻擊 192
9.4.7 防范XSS攻擊 195
9.5 實(shí)訓(xùn)任務(wù) 198
第10章 CSRF攻擊與防御 199
10.1 項(xiàng)目描述 199
10.2 項(xiàng)目分析 199
10.3 項(xiàng)目小結(jié) 204
10.4 項(xiàng)目訓(xùn)練 205
10.4.1 實(shí)驗(yàn)環(huán)境 205
10.4.2 CSRF攻擊原理 205
10.4.3 顯性與隱性攻擊方式 208
10.4.4 模擬銀行轉(zhuǎn)賬攻擊 211
10.4.5 防范CSRF攻擊 215
10.5 實(shí)訓(xùn)任務(wù) 219
第11章 代碼審計(jì) 220
11.1 代碼審計(jì)概述 220
11.2 常見代碼審計(jì)方法 221
11.3 代碼審計(jì)具體案例 222
參考文獻(xiàn) 223