Web系统是目前最为流行的架构，由于它是黑客攻击的重要目标，因此迫切需要大量掌握Web安全攻防技术的人才提高其安全性。本书结合渗透测试项目实施过程，分为Web系统安全技术基础、信息收集与漏洞扫描、利用漏洞进行渗透测试与防范、项目验收4个部分，共10个单元，详细介绍了Web系统安全技术与利用漏洞进行渗透测试的方法。每个单元理论知识与实训任务相结合，较好地体现了理实一体化的教学理念。为便于学习，本书主要针对基于PHP+MySQL开发的Web系统安全攻防技术，实训内容图文并茂，易于实训任务的开展。为了使学生对Web安全技术融会贯通，本书讲解力求深入至Web系统程序代码层面。
本书体系完整，内容翔实，配套资源丰富，可供高职院校开设Web安全技术课程的学生使用，也可作为本科院校学生学习Web安全技术的入门教程，同时也可作为技术人员自学Web安全技术的参考书。

单元1 Web系统安全技术基础
1.1 Web系统安全形势与威胁
1.1.1 Web系统安全形势
1.1.2 Web系统威胁分析
1.1.3 OWASP十大Web系统安全漏洞
1.1.4 Web系统渗透测试常用工具
1.2 Web系统架构与技术
1.2.1 Web系统架构
1.2.2 服务器端技术
1.2.3 客户端技术
1.2.4 实训：安装DVWA系统
1.3 HTTP
1.3.1 HTTP工作原理
1.3.2 HTTP请求
1.3.3 HTTP响应
1.3.4 HTTPS
1.3.5 实训：抓取并分析HTTP数据包
1.4 Web系统控制会话技术
1.4.1 Cookie
1.4.2 Session
1.4.3 Cookie与Session的比较
1.4.4 实训：利用Cookie冒充他人登录系统
练习题
单元2 信息收集与漏洞扫描
2.1 信息收集
2.1.1 利用公开网站收集目标系统信息
2.1.2 利用Nmap进行信息收集
2.1.3 实训：利用Nmap识别DVWA的服务及操作系统
2.2 漏洞扫描
2.2.1 漏洞扫描的概念
2.2.2 网络漏洞扫描系统的工作原理
2.2.3 实训：使用Nmap进行漏洞扫描
2.2.4 实训：使用AWVS进行漏洞扫描
2.3 Burp Suite的深度利用
2.3.1 Burp Suite常用功能模块
2.3.2 实训：使用Burp Suite进行暴力破解
练习题
单元3 SQL注入漏洞渗透测试与防范
3.1 SQL注入漏洞概述
3.1.1 SQL注入的概念与危害
3.1.2 SQL注入漏洞的原理
3.1.3 SQL注入漏洞的探测
3.1.4 实训：手动SQL注入
3.2 SQL注入漏洞利用的基础知识
3.2.1 MySQL的注释
3.2.2 MySQL的元数据
3.2.3 union查询
3.2.4 常用的MySQL函数
3.2.5 实训：SQL注入的高级利用
3.3 SQL盲注的探测与利用
3.3.1 SQL盲注概述
3.3.2 实训：手动盲注
3.3.3 实训：利用SQLMap对DVWA系统进行注入
3.4 SQL注入的防范与绕过
3.4.1 常见过滤技术与绕过
3.4.2 SQL注入技术的综合防范技术
3.4.3 实训：SQL注入过滤的绕过与防范
练习题
单元4 跨站脚本漏洞渗透测试与防范
4.1 反射型XSS漏洞检测与利用
4.1.1 问题引入
4.1.2 反射型XSS漏洞原理
4.1.3 反射型XSS漏洞检测
4.1.4 实训：反射型XSS漏洞检测与利用
4.2 存储型XSS漏洞检测与利用
4.2.1 存储型XSS漏洞的原理
4.2.2 存储型XSS漏洞的检测
4.2.3 存储型XSS漏洞的利用
4.2.4 实训：存储型XSS漏洞检测与利用
4.3 基于DOM的XSS漏洞检测与利用
4.3.1 基于DOM的XSS漏洞原理
4.3.2 基于DOM的XSS漏洞检测
4.3.3 基于DOM的XSS漏洞利用
4.3.4 实训：基于DOM的XSS漏洞检测与利用
4.4 XSS漏洞的深度利用
4.4.1 XSS漏洞出现的场景与利用
4.4.2 利用XSS漏洞的攻击范围
4.4.3 XSS漏洞利用的绕过技巧
4.4.4 实训：绕过XSS漏洞防范措施
4.5 XSS漏洞的防范
4.5.1 输入校验
4.5.2 输出编码
4.5.3 HttpOnly
4.5.4 实训：XSS漏洞的防范
练习题
单元5 文件上传漏洞渗透测试与防范
5.1 文件上传漏洞概述
5.1.1 文件上传漏洞与WebShell
5.1.2 中国菜刀与一句话木马
5.1.3 Web容器解析漏洞
5.1.4 实训：利用中国菜刀连接WebShell
5.2 文件上传漏洞的防范与绕过
5.2.1 设计安全的文件上传控制机制
5.2.2 实训：客户端检测机制绕过
5.2.3 实训：黑名单及白名单过滤扩展名机制与绕过
5.2.4 实训：MIME验证与绕过
5.2.5 实训：%00截断上传攻击
5.2.6 实训：.htaccess文件攻击
练习题
单元6 命令执行漏洞渗透测试与防范
6.1 命令执行漏洞的防范与绕过
6.1.1 命令执行漏洞的概念与危害
6.1.2 命令执行漏洞的原理与防范
6.1.3 实训：命令执行漏洞渗透测试与绕过
6.2 命令执行漏洞与代码执行漏洞的区别
练习题
单元7 文件包含漏洞渗透测试与防范
7.1 文件包含漏洞的概念与分类
7.2 文件包含漏洞的深度利用
7.3 文件包含漏洞的防范
7.4 实训：文件包含漏洞的利用与防范
练习题
单元8 跨站请求伪造漏洞渗透测试与防范
8.1 跨站请求伪造的概念
8.2 跨站请求伪造的原理
8.3 跨站请求伪造漏洞的检测
8.4 跨站请求伪造漏洞的防范
8.5 实训：跨站请求伪造漏洞的利用与防范
练习题
单元9 反序列化漏洞渗透测试与防范
9.1 反序列化的概念
9.2 反序列化漏洞产生的原因与危害
9.3 反序列化漏洞的检测与防范
9.4 实训：Typecho1.0反序列化漏洞利用与分析
练习题
单元10 渗透测试报告撰写与沟通汇报
10.1 漏洞验证与文档记录
10.1.1 漏洞验证
10.1.2 文档记录建议
10.2 渗透测试报告的撰写
10.2.1 渗透测试报告需求分析
10.2.2 渗透测试报告样例