网站首页  软件下载  游戏下载  翻译软件  电子书下载  电影下载  电视剧下载  教程攻略

请输入您要查询的图书:

 

书名 Web应用安全与防护
分类 教育考试-大中专教材-大学教材
作者 朱添田
出版社 电子工业出版社
下载
简介
内容推荐
本书作为Web应用安全知识普及与技术推广教材,不仅能够为初学Web应用安全的学生提供全面、实用的技术和理论基础,而且能有效培养学生进行Web应用安全防护的能力。
本书着眼于基础知识和实操练习两大部分,从SQL注入攻击、跨站脚本攻击、跨站请求伪造攻击、文件上传漏洞、文件包含漏洞、命令执行漏洞六个方面讲述了Web应用的攻击与防护方法,并配备了完备的题库和攻防实战练习。
本书可作为高等职业院校计算机程序设计课程的教材,也可作为社会各类工程技术与科研人员的参考书。
目录
第1章SQL注入攻击(1)
1.1案例(1)
1.1.1案例1:利用SQL注入登录数据库(1)
1.1.2案例2:利用SQL注入获取数据库信息(3)
1.2SQL注入原理(6)
1.2.1SQL语言简介(6)
1.2.2Web数据库交互(7)
1.2.3SQL注入过程(7)
1.2.4数据库漏洞利用(8)
1.2.5数据库语句利用(12)
1.2.6数据库信息提取(13)
1.3SQL注入分类(14)
1.3.1基于报错注入(14)
1.3.2联合查询注入(15)
1.3.3盲注(17)
1.3.4堆叠注入(20)
1.3.5其他手段注入(21)
1.4SQL注入工具(22)
1.4.1SQLMap(22)
1.4.2Pangolin(24)
1.4.3Havij(27)
1.5防止SQL注入(29)
1.5.1数据类型判断(30)
1.5.2特殊字符转义(30)
1.5.3使用预编译语句(32)
1.5.4框架技术(33)
1.5.5存储过程(34)
1.6小结与习题(34)
1.6.1小结(34)
1.6.2习题(34)
1.7课外拓展(35)
1.8实训(36)
1.8.1【实训1】DVWA环境下进行SQL注入攻击(1)(36)
1.8.2【实训2】DVWA环境下进行SQL注入攻击(2)(37)
1.8.3【实训3】DVWA环境下进行SQL盲注(1)(38)
1.8.4【实训4】DVWA环境下进行SQL盲注(2)(39)
1.8.5【实训5】使用SQLMap进行SQL注入攻击(40)
第2章跨站脚本攻击(41)
2.1案例(41)
2.1.1案例1:HTMLALERT(1)(41)
2.1.2案例2:HTMLALERT(2)(42)
2.2XSS攻击原理(44)
2.3XSS攻击分类(46)
2.3.1反射型XSS漏洞(46)
2.3.2保存型XSS漏洞(47)
2.3.3基于DOM的XSS漏洞(48)
2.4利用XSS漏洞(50)
2.4.1Cookie窃取攻击(51)
2.4.2网络钓鱼(53)
2.4.3XSS蠕虫(54)
2.5防御XSS攻击(56)
2.5.1防止反射型与保存型XSS漏洞(56)
2.5.2防止基于DOM的XSS漏洞(59)
2.6小结与习题(60)
2.6.1小结(60)
2.6.2习题(60)
2.7课外拓展(60)
2.8实训(61)
2.8.1【实训6】DVWA环境下进行XSS攻击(61)
2.8.2【实训7】DVWA环境下进行反射型XSS攻击(62)
2.8.3【实训8】DVWA环境下进行保存型XSS攻击(64)
2.8.4【实训9】Elgg环境下使用脚本文件进行XSS攻击(67)
2.8.5【实训10】Elgg环境下进行XSS攻击获取Cookie(69)
第3章跨站请求伪造攻击(71)
3.1案例(71)
3.1.1案例1:银行转账(71)
3.1.2案例2:博客删除(73)
3.2CSRF攻击原理(74)
3.3CSRF攻击分类(76)
3.3.1GET(76)
3.3.2POST(77)
3.3.3GET和POST皆可的CSRF(77)
3.4CSRF漏洞利用方法(80)
3.5防御CSRF攻击的方法(82)
3.5.1验证HTTPReferer字段(82)
3.5.2HTTPReferer字段中添加及验证Token(83)
3.5.3验证HTTP自定义属性(83)
3.5.4验证HTTPOrigin字段(84)
3.5.5验证Session初始化(85)
3.6小结与习题(85)
3.6.1小结(85)
3.6.2习题(85)
3.7课外拓展(86)
3.8实训(90)
3.8.1【实训11】修改个人信息(90)
3.8.2【实训12】攻破DVWA靶机(93)
3.8.3【实训13】攻破有防御机制的DVWA靶机(95)
3.8.4【实训14】使用Burp的CSRFPoC生成器劫持用户(98)
3.8.5【实训15】攻击OWASP系列的Mutillidae靶机(102)
第4章文件上传漏洞(107)
4.1案例(107)
4.1.1案例1:upload-labsPass-01前端检测绕过(107)
4.1.2案例2:upload-labsPass-03后端文件黑名单检测绕过(109)
4.2文件上传漏洞原理(110)
4.3文件上传漏洞分类(113)
4.3.1文件类型检查漏洞(113)
4.3.2Web服务器解析漏洞(121)
4.4利用文件上传漏洞(123)
4.5预防文件上传漏洞(127)
4.6小结与习题(128)
4.6.1小结(128)
4.6.2习题(128)
4.7课外拓展(128)
4.8实训(129)
4.8.1【实训16】利用富文本编辑器进行文件上传获取Webshell(129)
4.8.2【实训17】经典文件上传漏洞实验平台upload-Labs通关(131)
4.8.3【实训18】利用WordPress漏洞上传文件获取Webshell(135)
4.8.4【实训19】利用文件上传漏洞上传c99.php后门(144)
4.8.5【实训20】WebLogic任意文件上传漏洞复现(151)
第5章文件包含漏洞(154)
5.1案例(154)
5.1.1案例1:Session文件包含漏洞(154)
5.1.2案例2:Dedecms远程文件包含漏洞(157)
5.2文件包含漏洞原理(159)
5.3文件包含漏洞分类(160)
5.3.1PHP文件包含(160)
5.3.2JSP文件包含(161)
5.3.3ASP文件包含(162)
5.4利用文件包含漏洞(162)
5.4.1读取配置文件(162)
5.4.2读取PHP源文件(163)
5.4.3包含用户上传文件(164)
5.4.4包含特殊的服务器文件(164)
5.4.5RFI漏洞(165)
5.5预防文件包含漏洞(165)
5.5.1参数审查(166)
5.5.2防止变量覆盖(166)
5.5.3定制安全的WebService环境(166)
5.6小结与习题(167)
5.6.1小结(167)
5.6.2习题(167)
5.7课外拓展(167)
5.8实训(169)
5.8.1【实训21】简单的LFI实验(169)
5.8.2【实训22】读取PHP源码(171)
5.8.3【实训23】Session文件包含漏洞(172)
5.8.4【实训24】远程文件包含(174)
5.8.5【实训25】有的远程文件包含(175)
第6章命令执行漏洞(178)
6.1案例(178)
6.1.1案例1:ECShop远程代码执行漏洞(178)
6.1.2案例2:ThinkPHP5.*远程代码执行漏洞(182)
6.2命令执行漏洞原理(186)
6.3命令执行漏洞分类(187)
6.3.1代码执行漏洞(187)
6.3.2函数调用漏洞(187)
6.4利用命令执行漏洞(188)
6.4.1命令注入(188)
6.4.2动态代码执行(191)
6.4.3动态函数调用(191)
6.4.4preg_replace(192)
6.4.5反序列化漏洞(193)
6.5预防命令执行漏洞(195)
6.5.1验证输入(195)
6.5.2合理使用转义函数(196)
6.5.3避免危险操作(196)
6.5.4行为(196)
6.5.5定期更新(196)
6.6小结与习题(196)
6.6.1小结(196)
6.6.2习题(197)
6.7课外拓展(197)
6.8实训(198)
6.8.1【实训26】简单的命令注入(198)
6.8.2【实训27】System命令注入(199)
6.8.3【实训28】DVWA命令注入(1)(200)
6.8.4【实训29】DVWA命令注入(2)(202)
6.8.5【实训30】DVWA命令注入(3)(205)
随便看

 

霍普软件下载网电子书栏目提供海量电子书在线免费阅读及下载。

 

Copyright © 2002-2024 101bt.net All Rights Reserved
更新时间:2025/3/29 13:42:48