本书作为Web应用安全知识普及与技术推广教材,不仅能够为初学Web应用安全的学生提供全面、实用的技术和理论基础,而且能有效培养学生进行Web应用安全防护的能力。
本书着眼于基础知识和实操练习两大部分,从SQL注入攻击、跨站脚本攻击、跨站请求伪造攻击、文件上传漏洞、文件包含漏洞、命令执行漏洞六个方面讲述了Web应用的攻击与防护方法,并配备了完备的题库和攻防实战练习。
本书可作为高等职业院校计算机程序设计课程的教材,也可作为社会各类工程技术与科研人员的参考书。
网站首页 软件下载 游戏下载 翻译软件 电子书下载 电影下载 电视剧下载 教程攻略
书名 | Web应用安全与防护 |
分类 | 教育考试-大中专教材-大学教材 |
作者 | 朱添田 |
出版社 | 电子工业出版社 |
下载 | ![]() |
简介 | 内容推荐 本书作为Web应用安全知识普及与技术推广教材,不仅能够为初学Web应用安全的学生提供全面、实用的技术和理论基础,而且能有效培养学生进行Web应用安全防护的能力。 本书着眼于基础知识和实操练习两大部分,从SQL注入攻击、跨站脚本攻击、跨站请求伪造攻击、文件上传漏洞、文件包含漏洞、命令执行漏洞六个方面讲述了Web应用的攻击与防护方法,并配备了完备的题库和攻防实战练习。 本书可作为高等职业院校计算机程序设计课程的教材,也可作为社会各类工程技术与科研人员的参考书。 目录 第1章SQL注入攻击(1) 1.1案例(1) 1.1.1案例1:利用SQL注入登录数据库(1) 1.1.2案例2:利用SQL注入获取数据库信息(3) 1.2SQL注入原理(6) 1.2.1SQL语言简介(6) 1.2.2Web数据库交互(7) 1.2.3SQL注入过程(7) 1.2.4数据库漏洞利用(8) 1.2.5数据库语句利用(12) 1.2.6数据库信息提取(13) 1.3SQL注入分类(14) 1.3.1基于报错注入(14) 1.3.2联合查询注入(15) 1.3.3盲注(17) 1.3.4堆叠注入(20) 1.3.5其他手段注入(21) 1.4SQL注入工具(22) 1.4.1SQLMap(22) 1.4.2Pangolin(24) 1.4.3Havij(27) 1.5防止SQL注入(29) 1.5.1数据类型判断(30) 1.5.2特殊字符转义(30) 1.5.3使用预编译语句(32) 1.5.4框架技术(33) 1.5.5存储过程(34) 1.6小结与习题(34) 1.6.1小结(34) 1.6.2习题(34) 1.7课外拓展(35) 1.8实训(36) 1.8.1【实训1】DVWA环境下进行SQL注入攻击(1)(36) 1.8.2【实训2】DVWA环境下进行SQL注入攻击(2)(37) 1.8.3【实训3】DVWA环境下进行SQL盲注(1)(38) 1.8.4【实训4】DVWA环境下进行SQL盲注(2)(39) 1.8.5【实训5】使用SQLMap进行SQL注入攻击(40) 第2章跨站脚本攻击(41) 2.1案例(41) 2.1.1案例1:HTMLALERT(1)(41) 2.1.2案例2:HTMLALERT(2)(42) 2.2XSS攻击原理(44) 2.3XSS攻击分类(46) 2.3.1反射型XSS漏洞(46) 2.3.2保存型XSS漏洞(47) 2.3.3基于DOM的XSS漏洞(48) 2.4利用XSS漏洞(50) 2.4.1Cookie窃取攻击(51) 2.4.2网络钓鱼(53) 2.4.3XSS蠕虫(54) 2.5防御XSS攻击(56) 2.5.1防止反射型与保存型XSS漏洞(56) 2.5.2防止基于DOM的XSS漏洞(59) 2.6小结与习题(60) 2.6.1小结(60) 2.6.2习题(60) 2.7课外拓展(60) 2.8实训(61) 2.8.1【实训6】DVWA环境下进行XSS攻击(61) 2.8.2【实训7】DVWA环境下进行反射型XSS攻击(62) 2.8.3【实训8】DVWA环境下进行保存型XSS攻击(64) 2.8.4【实训9】Elgg环境下使用脚本文件进行XSS攻击(67) 2.8.5【实训10】Elgg环境下进行XSS攻击获取Cookie(69) 第3章跨站请求伪造攻击(71) 3.1案例(71) 3.1.1案例1:银行转账(71) 3.1.2案例2:博客删除(73) 3.2CSRF攻击原理(74) 3.3CSRF攻击分类(76) 3.3.1GET(76) 3.3.2POST(77) 3.3.3GET和POST皆可的CSRF(77) 3.4CSRF漏洞利用方法(80) 3.5防御CSRF攻击的方法(82) 3.5.1验证HTTPReferer字段(82) 3.5.2HTTPReferer字段中添加及验证Token(83) 3.5.3验证HTTP自定义属性(83) 3.5.4验证HTTPOrigin字段(84) 3.5.5验证Session初始化(85) 3.6小结与习题(85) 3.6.1小结(85) 3.6.2习题(85) 3.7课外拓展(86) 3.8实训(90) 3.8.1【实训11】修改个人信息(90) 3.8.2【实训12】攻破DVWA靶机(93) 3.8.3【实训13】攻破有防御机制的DVWA靶机(95) 3.8.4【实训14】使用Burp的CSRFPoC生成器劫持用户(98) 3.8.5【实训15】攻击OWASP系列的Mutillidae靶机(102) 第4章文件上传漏洞(107) 4.1案例(107) 4.1.1案例1:upload-labsPass-01前端检测绕过(107) 4.1.2案例2:upload-labsPass-03后端文件黑名单检测绕过(109) 4.2文件上传漏洞原理(110) 4.3文件上传漏洞分类(113) 4.3.1文件类型检查漏洞(113) 4.3.2Web服务器解析漏洞(121) 4.4利用文件上传漏洞(123) 4.5预防文件上传漏洞(127) 4.6小结与习题(128) 4.6.1小结(128) 4.6.2习题(128) 4.7课外拓展(128) 4.8实训(129) 4.8.1【实训16】利用富文本编辑器进行文件上传获取Webshell(129) 4.8.2【实训17】经典文件上传漏洞实验平台upload-Labs通关(131) 4.8.3【实训18】利用WordPress漏洞上传文件获取Webshell(135) 4.8.4【实训19】利用文件上传漏洞上传c99.php后门(144) 4.8.5【实训20】WebLogic任意文件上传漏洞复现(151) 第5章文件包含漏洞(154) 5.1案例(154) 5.1.1案例1:Session文件包含漏洞(154) 5.1.2案例2:Dedecms远程文件包含漏洞(157) 5.2文件包含漏洞原理(159) 5.3文件包含漏洞分类(160) 5.3.1PHP文件包含(160) 5.3.2JSP文件包含(161) 5.3.3ASP文件包含(162) 5.4利用文件包含漏洞(162) 5.4.1读取配置文件(162) 5.4.2读取PHP源文件(163) 5.4.3包含用户上传文件(164) 5.4.4包含特殊的服务器文件(164) 5.4.5RFI漏洞(165) 5.5预防文件包含漏洞(165) 5.5.1参数审查(166) 5.5.2防止变量覆盖(166) 5.5.3定制安全的WebService环境(166) 5.6小结与习题(167) 5.6.1小结(167) 5.6.2习题(167) 5.7课外拓展(167) 5.8实训(169) 5.8.1【实训21】简单的LFI实验(169) 5.8.2【实训22】读取PHP源码(171) 5.8.3【实训23】Session文件包含漏洞(172) 5.8.4【实训24】远程文件包含(174) 5.8.5【实训25】有的远程文件包含(175) 第6章命令执行漏洞(178) 6.1案例(178) 6.1.1案例1:ECShop远程代码执行漏洞(178) 6.1.2案例2:ThinkPHP5.*远程代码执行漏洞(182) 6.2命令执行漏洞原理(186) 6.3命令执行漏洞分类(187) 6.3.1代码执行漏洞(187) 6.3.2函数调用漏洞(187) 6.4利用命令执行漏洞(188) 6.4.1命令注入(188) 6.4.2动态代码执行(191) 6.4.3动态函数调用(191) 6.4.4preg_replace(192) 6.4.5反序列化漏洞(193) 6.5预防命令执行漏洞(195) 6.5.1验证输入(195) 6.5.2合理使用转义函数(196) 6.5.3避免危险操作(196) 6.5.4行为(196) 6.5.5定期更新(196) 6.6小结与习题(196) 6.6.1小结(196) 6.6.2习题(197) 6.7课外拓展(197) 6.8实训(198) 6.8.1【实训26】简单的命令注入(198) 6.8.2【实训27】System命令注入(199) 6.8.3【实训28】DVWA命令注入(1)(200) 6.8.4【实训29】DVWA命令注入(2)(202) 6.8.5【实训30】DVWA命令注入(3)(205) |
随便看 |
|
霍普软件下载网电子书栏目提供海量电子书在线免费阅读及下载。