项目一 Web安全概述
1.1 Web安全现状与发展趋势
1.1.1 Web安全现状
1.1.2 Web安全发展趋势
1.2 Web系统介绍
1.2.1 Web的发展历程
1.2.2 Web系统的构成
1.2.3 Web系统的应用架构
1.2.4 Web的访问方法
1.2.5 Web编程语言
1.2.6 Web数据库访问技术
1.2.7 Web服务器
实例 十大安全漏洞比较分析
项目二 Web协议与分析
2.1 HTTP
2.1.1 HTTP通信过程
2.1.2 统一资源定位符（URL）
2.1.3 HTTP的连接方式和无状态性
2.1.4 HTTP请求报文
2.1.5 HTTP响应报文
2.1.6 HTTP报文结构汇总
2.1.7 HTTP会话管理
2.2 HTTPS
2.2.1 HTTPS和HTTP的主要区别
2.2.2 HTTPS与Web服务器通信过程
2.2.3 HTTPS的优点
2.2.4 HTTPS的缺点
2.3 网络嗅探工具
2.3.1 Wireshark简介
2.3.2 Wireshark工具的界面
实例1 Wireshark应用实例
实例1.1 捕捉数据包
实例1.2 处理捕捉后的数据包
项目三 Web漏洞检测工具
3.1 Web漏洞检测工具AppScan
3.1.1 AppScan简介
3.1.2 AppScan的安装
3.1.3 AppScan的基本工作流程
3.1.4 AppScan界面介绍
3.2 HTTP分析工具WebScarab
3.3 网络漏洞检测工具Nmap
3.3.1 Nmap简介
3.3.2 Nmap的安装
3.4 集成化的漏洞扫描工具Nessus
3.4.1 Nessus简介
3.4.2 Nessus的安装
实例1 扫描实例
实例2 WebScarab的运行
实例3 Nmap应用实例
实例3.1 利用Nmap图形界面进行扫描探测
实例3.2 利用Nmap命令行界面进行扫描探测
实例4 利用Nessus扫描Web应用程序
项目四 Web漏洞实验平台
4.1 DVWA的安装与配置
4.2 WebGoat简介
实例1 DVWA v1.9的平台搭建
实例2 WebGoat的安装与配置
项目五 Web常见漏洞分析
5.1 SQL注入漏洞分析
5.2 XSS漏洞分析
5.3 CSRF漏洞分析
5.4 任意文件下载漏洞
5.5 文件包含漏洞分析
5.6 逻辑漏洞
5.6.1 用户相关的逻辑漏洞
5.6.2 交易相关的逻辑漏洞
5.6.3 恶意攻击相关的逻辑漏洞
5.7 任意文件上传漏洞
5.8 暴力破解
5.9 命令注入
5.10 不安全的验证码机制
实例1 SQL注入漏洞实例
实例1.1 手工SQL注入
实例1.2 使用工具进行SQL注入
实例1.3 手工注入（1）
实例1.4 手工注入（2）
实例1.5 布尔盲注
实例1.6 时间盲注
实例2 XSS漏洞攻击实例
实例2.1 反射型XSS漏洞挖掘与利用（1）
实例2.2 反射型XSS漏洞挖掘与利用（2）
实例2.3 反射型XSS漏洞挖掘与利用（3）
实例2.4 存储型XSS漏洞挖掘与利用（1）
实例2.5 存储型XSS漏洞挖掘与利用（2）
实例2.6 存储型XSS漏洞挖掘与利用（3）
实例2.7 DOM型XSS漏洞挖掘与利用（1）
实例2.8 DOM型XSS漏洞挖掘与利用（2）
实例2.9 DOM型XSS漏洞挖掘与利用（3）
实例3 CSRF漏洞攻击实例
实例3.1 CSRF漏洞挖掘与利用（1）
实例3.2 CSRF漏洞挖掘与利用（2）
实例3.3 CSRF漏洞挖掘与利用（3）
实例4 CMS任意文件下载实例
实例5 文件包含漏洞攻击实例
实例5.1 文件包含漏洞挖掘与利用（1）
实例5.2 文件包含漏洞挖掘与利用（2）
实例5.3 文件包含漏洞挖掘与利用（3）
实例6 逻辑漏洞攻击实例
实例6.1 某网站任意密码修改漏洞
实例6.2 某电商平台权限跨越漏洞
实例6.3 某交易支付相关漏洞
实例6.4 某电商平台邮件炸弹攻击漏洞
实例7 文件上传漏洞利用实例
实例7.1 文件上传漏洞利用（1）
实例7.2 文件上传漏洞利用（2）
实例7.3 文件上传漏洞利用（3）
实例7.4 文件上传漏洞防护
实例8 Web口令暴力破解实例
实例8.1 Web口令暴力破解（1）
实例8.2 Web口令暴力破解（2）
实例8.3 Web口令暴力破解（3）
实例8.4 Web口令暴力破解防护
实例9 命令注入漏洞利用实例
实例9.1 命令注入漏洞利用（1）
实例9.2 命令注入漏洞利用（2）
实例9.3 命令注入漏洞利用（3）
实例9.4 命令注入漏洞防护
实例10 验证码绕过攻击实例
实例10.1 验证码绕过攻击（1）
实例10.2 验证码绕过攻击（2）
实例10.3 验证码绕过攻击（3）
实例10.4 验证码绕过漏洞防护
项目六 Web应用安全防护与部署
6.1 服务器系统与网络服务
6.1.1 服务器系统主要技术
6.1.2 网络操作系统常用的网络服务
6.2 Apache技术介绍
6.2.1 Apache工作原理
6.2.2 配置Apache服务器
6.3 Web应用防护系统（WAF）
6.3.1 WAF的主要功能
6.3.2 常见的WAF产品
实例1 Linux安全部署
实例2 Window

陈云志、宣乐飞、郝阜平主编的《Web渗透与防御(高等职业教育计算机系列十三五规划教材)》作为Web应用安全知识普及与技术推广教材，不仅能够为初学Web系统安全的学生提供全面、实用的技术和理论基础，而且能有效培养学生进行Web系统安全防护的能力。
本书以OWASP top 10为基础，重点介绍了SQL注入、XSS、CSRF、文件包含、命令注入、暴力破解等常见的Web漏洞。全书共有6个项目：Web安全概述、Web协议与分析、Web漏洞检测工具、Web漏洞实验平台、Web常见漏洞分析和Web应用安全防护与部署，通过DVWA漏洞分析平台，分析Web漏洞原理，辅以漏洞利用方法的相关实验，让学生了解如何发现常见的Web漏洞，并进行相应的防御。
本书可以作为高职高专计算机、信息类专业的教材，也可以作为企事业单位网络信息系统管理人员的技术参考用书。