滿額折
WEB滲透與防禦(簡體書)
商品資訊
系列名:高等職業教育計算機系列"十三五"規劃教材
ISBN13:9787121344169
出版社:電子工業出版社
作者:陳雲志
出版日:2019/11/01
裝訂/頁數:平裝/288頁
規格:26cm*19cm (高/寬)
版次:一版
商品簡介
作者簡介
目次
商品簡介
本書以常見的Web安全漏洞為對象,詳細介紹了這些Web安全漏洞的漏洞成因、檢測方法以及防範技術,這些漏洞都是OWASP TOP 10中所列舉的主要風險,為學習和研究Web安全漏洞檢測及防範技術提供了有價值的參考。全書共有6章,分別介紹Web系統安全概論、Web協議分析、Web漏洞檢測工具、Web漏洞實驗平臺、Web常見漏洞分析、Web應用安全防護與部署等內容,所涉及的漏洞基本涵蓋了OWASP TOP 10中所列舉的主要風險。
作者簡介
宣樂飛,男,碩士研究生,浙江杭州人。杭州職業技術學院信息工程學院信息安全與管理專業負責人,主要講授計算機網絡技術、信息安全方向課程。承擔浙江省十三五優勢專業―信息安全與管理專業建設,《路由與交換》***精品課程主講教師、國家十二五規劃教材《路由與交換》副主編,承擔廳級課題3項,發表論文6篇,其中EI收錄1篇。
目次
目 錄
項目一 Web安全概述1
1.1 Web安全現狀與發展趨勢1
1.1.1 Web安全現狀1
1.1.2 Web安全發展趨勢4
1.2 Web系統介紹5
1.2.1 Web的發展歷程5
1.2.2 Web系統的構成6
1.2.3 Web系統的應用架構7
1.2.4 Web的訪問方法8
1.2.5 Web編程語言8
1.2.6 Web數據庫訪問技術10
1.2.7 Web服務器11
實例 十大安全漏洞比較分析13
項目二 Web協議與分析14
2.1 HTTP14
2.1.1 HTTP通信過程14
2.1.2 統一資源定位符(URL)15
2.1.3 HTTP的連接方式和無狀態性15
2.1.4 HTTP請求報文16
2.1.5 HTTP響應報文19
2.1.6 HTTP報文結構匯總21
2.1.7 HTTP會話管理22
2.2 HTTPS23
2.2.1 HTTPS和 HTTP的主要區別24
2.2.2 HTTPS與Web服務器通信過程24
2.2.3 HTTPS的優點25
2.2.4 HTTPS的缺點25
2.3 網絡嗅探工具25
2.3.1 Wireshark簡介25
2.3.2 Wireshark 工具的界面26
實例1 Wireshark應用實例35
實例1.1 捕捉數據包35
實例1.2 處理捕捉後的數據包39
項目三 Web漏洞檢測工具44
3.1 Web漏洞檢測工具AppScan44
3.1.1 AppScan簡介44
3.1.2 AppScan的安裝45
3.1.3 AppScan的基本工作流程48
3.1.4 AppScan界面介紹51
3.2 HTTP分析工具WebScarab54
3.3 網絡漏洞檢測工具Nmap56
3.3.1 Nmap簡介56
3.3.2 Nmap的安裝57
3.4 集成化的漏洞掃描工具Nessus59
3.4.1 Nessus簡介59
3.4.2 Nessus的安裝60
實例1 掃描實例63
實例2 WebScarab的運行75
實例3 Nmap應用實例82
實例3.1 利用Nmap圖形界面進行掃描探測82
實例3.2 利用Nmap命令行界面進行掃描探測95
實例4 利用Nessus掃描Web應用程序103
項目四 Web漏洞實驗平臺108
4.1 DVWA的安裝與配置108
4.2 WebGoat簡介109
實例1 DVWA v1.9的平臺搭建109
實例2 WebGoat的安裝與配置117
項目五 Web常見漏洞分析122
5.1 SQL注入漏洞分析122
5.2 XSS漏洞分析126
5.3 CSRF漏洞分析130
5.4 任意文件下載漏洞132
5.5 文件包含漏洞分析133
5.6 邏輯漏洞137
5.6.1 用戶相關的邏輯漏洞137
5.6.2 交易相關的邏輯漏洞140
5.6.3 惡意攻擊相關的邏輯漏洞141
5.7 任意文件上傳漏洞142
5.8 暴力破解142
5.9 命令注入142
5.10 不安全的驗證碼機制143
實例1 SQL注入漏洞實例145
實例1.1 手工SQL注入145
實例1.2 使用工具進行SQL注入149
實例1.3 手工注入(1)151
實例1.4 手工注入(2)154
實例1.5 布爾盲注157
實例1.6 時間盲注160
實例2 XSS漏洞攻擊實例165
實例2.1 反射型XSS漏洞挖掘與利用(1)165
實例2.2 反射型XSS漏洞挖掘與利用(2)167
實例2.3 反射型XSS漏洞挖掘與利用(3)168
實例2.4 存儲型XSS漏洞挖掘與利用(1)169
實例2.5 存儲型XSS漏洞挖掘與利用(2)170
實例2.6 存儲型XSS漏洞挖掘與利用(3)172
實例2.7 DOM型XSS漏洞挖掘與利用(1)174
實例2.8 DOM型XSS漏洞挖掘與利用(2)175
實例2.9 DOM型XSS漏洞挖掘與利用(3)176
實例3 CSRF漏洞攻擊實例177
實例3.1 CSRF漏洞挖掘與利用(1)177
實例3.2 CSRF漏洞挖掘與利用(2)179
實例3.3 CSRF漏洞挖掘與利用(3)180
實例4 CMS任意文件下載實例183
實例5 文件包含漏洞攻擊實例185
實例5.1 文件包含漏洞挖掘與利用(1)185
實例5.2 文件包含漏洞挖掘與利用(2)187
實例5.3 文件包含漏洞挖掘與利用(3)188
實例6 邏輯漏洞攻擊實例190
實例6.1 某網站任意密碼修改漏洞190
實例6.2 某電商平臺權限跨越漏洞192
實例6.3 某交易支付相關漏洞195
實例6.4 某電商平臺郵件炸彈攻擊漏洞196
實例7 文件上傳漏洞利用實例197
實例7.1 文件上傳漏洞利用(1)197
實例7.2 文件上傳漏洞利用(2)199
實例7.3 文件上傳漏洞利用(3)203
實例7.4 文件上傳漏洞防護205
實例8 Web口令暴力破解實例207
實例8.1 Web口令暴力破解(1)207
實例8.2 Web口令暴力破解(2)211
實例8.3 Web口令暴力破解(3)213
實例8.4 Web口令暴力破解防護217
實例9 命令注入漏洞利用實例219
實例9.1 命令注入漏洞利用(1)219
實例9.2 命令注入漏洞利用(2)223
實例9.3 命令注入漏洞利用(3)226
實例9.4 命令注入漏洞防護230
實例10 驗證碼繞過攻擊實例232
實例10.1 驗證碼繞過攻擊(1)232
實例10.2 驗證碼繞過攻擊(2)235
實例10.3 驗證碼繞過攻擊(3)237
實例10.4 驗證碼繞過漏洞防護239
項目六 Web應用安全防護與部署241
6.1 服務器系統與網絡服務241
6.1.1 服務器系統主要技術241
6.1.2 網絡操作系統常用的網絡服務242
6.2 Apache技術介紹245
6.2.1 Apache工作原理245
6.2.2 配置Apache服務器246
6.3 Web應用防護系統(WAF)248
6.3.1 WAF的主要功能248
6.3.2 常見的WAF產品249
實例1 Linux安全部署250
實例2 Windows安全部署255
實例3 IIS加固設置265
實例4 Apache加固設置266
實例5 Tomcat加固設置269
實例6 WAF配置與應用272
項目一 Web安全概述1
1.1 Web安全現狀與發展趨勢1
1.1.1 Web安全現狀1
1.1.2 Web安全發展趨勢4
1.2 Web系統介紹5
1.2.1 Web的發展歷程5
1.2.2 Web系統的構成6
1.2.3 Web系統的應用架構7
1.2.4 Web的訪問方法8
1.2.5 Web編程語言8
1.2.6 Web數據庫訪問技術10
1.2.7 Web服務器11
實例 十大安全漏洞比較分析13
項目二 Web協議與分析14
2.1 HTTP14
2.1.1 HTTP通信過程14
2.1.2 統一資源定位符(URL)15
2.1.3 HTTP的連接方式和無狀態性15
2.1.4 HTTP請求報文16
2.1.5 HTTP響應報文19
2.1.6 HTTP報文結構匯總21
2.1.7 HTTP會話管理22
2.2 HTTPS23
2.2.1 HTTPS和 HTTP的主要區別24
2.2.2 HTTPS與Web服務器通信過程24
2.2.3 HTTPS的優點25
2.2.4 HTTPS的缺點25
2.3 網絡嗅探工具25
2.3.1 Wireshark簡介25
2.3.2 Wireshark 工具的界面26
實例1 Wireshark應用實例35
實例1.1 捕捉數據包35
實例1.2 處理捕捉後的數據包39
項目三 Web漏洞檢測工具44
3.1 Web漏洞檢測工具AppScan44
3.1.1 AppScan簡介44
3.1.2 AppScan的安裝45
3.1.3 AppScan的基本工作流程48
3.1.4 AppScan界面介紹51
3.2 HTTP分析工具WebScarab54
3.3 網絡漏洞檢測工具Nmap56
3.3.1 Nmap簡介56
3.3.2 Nmap的安裝57
3.4 集成化的漏洞掃描工具Nessus59
3.4.1 Nessus簡介59
3.4.2 Nessus的安裝60
實例1 掃描實例63
實例2 WebScarab的運行75
實例3 Nmap應用實例82
實例3.1 利用Nmap圖形界面進行掃描探測82
實例3.2 利用Nmap命令行界面進行掃描探測95
實例4 利用Nessus掃描Web應用程序103
項目四 Web漏洞實驗平臺108
4.1 DVWA的安裝與配置108
4.2 WebGoat簡介109
實例1 DVWA v1.9的平臺搭建109
實例2 WebGoat的安裝與配置117
項目五 Web常見漏洞分析122
5.1 SQL注入漏洞分析122
5.2 XSS漏洞分析126
5.3 CSRF漏洞分析130
5.4 任意文件下載漏洞132
5.5 文件包含漏洞分析133
5.6 邏輯漏洞137
5.6.1 用戶相關的邏輯漏洞137
5.6.2 交易相關的邏輯漏洞140
5.6.3 惡意攻擊相關的邏輯漏洞141
5.7 任意文件上傳漏洞142
5.8 暴力破解142
5.9 命令注入142
5.10 不安全的驗證碼機制143
實例1 SQL注入漏洞實例145
實例1.1 手工SQL注入145
實例1.2 使用工具進行SQL注入149
實例1.3 手工注入(1)151
實例1.4 手工注入(2)154
實例1.5 布爾盲注157
實例1.6 時間盲注160
實例2 XSS漏洞攻擊實例165
實例2.1 反射型XSS漏洞挖掘與利用(1)165
實例2.2 反射型XSS漏洞挖掘與利用(2)167
實例2.3 反射型XSS漏洞挖掘與利用(3)168
實例2.4 存儲型XSS漏洞挖掘與利用(1)169
實例2.5 存儲型XSS漏洞挖掘與利用(2)170
實例2.6 存儲型XSS漏洞挖掘與利用(3)172
實例2.7 DOM型XSS漏洞挖掘與利用(1)174
實例2.8 DOM型XSS漏洞挖掘與利用(2)175
實例2.9 DOM型XSS漏洞挖掘與利用(3)176
實例3 CSRF漏洞攻擊實例177
實例3.1 CSRF漏洞挖掘與利用(1)177
實例3.2 CSRF漏洞挖掘與利用(2)179
實例3.3 CSRF漏洞挖掘與利用(3)180
實例4 CMS任意文件下載實例183
實例5 文件包含漏洞攻擊實例185
實例5.1 文件包含漏洞挖掘與利用(1)185
實例5.2 文件包含漏洞挖掘與利用(2)187
實例5.3 文件包含漏洞挖掘與利用(3)188
實例6 邏輯漏洞攻擊實例190
實例6.1 某網站任意密碼修改漏洞190
實例6.2 某電商平臺權限跨越漏洞192
實例6.3 某交易支付相關漏洞195
實例6.4 某電商平臺郵件炸彈攻擊漏洞196
實例7 文件上傳漏洞利用實例197
實例7.1 文件上傳漏洞利用(1)197
實例7.2 文件上傳漏洞利用(2)199
實例7.3 文件上傳漏洞利用(3)203
實例7.4 文件上傳漏洞防護205
實例8 Web口令暴力破解實例207
實例8.1 Web口令暴力破解(1)207
實例8.2 Web口令暴力破解(2)211
實例8.3 Web口令暴力破解(3)213
實例8.4 Web口令暴力破解防護217
實例9 命令注入漏洞利用實例219
實例9.1 命令注入漏洞利用(1)219
實例9.2 命令注入漏洞利用(2)223
實例9.3 命令注入漏洞利用(3)226
實例9.4 命令注入漏洞防護230
實例10 驗證碼繞過攻擊實例232
實例10.1 驗證碼繞過攻擊(1)232
實例10.2 驗證碼繞過攻擊(2)235
實例10.3 驗證碼繞過攻擊(3)237
實例10.4 驗證碼繞過漏洞防護239
項目六 Web應用安全防護與部署241
6.1 服務器系統與網絡服務241
6.1.1 服務器系統主要技術241
6.1.2 網絡操作系統常用的網絡服務242
6.2 Apache技術介紹245
6.2.1 Apache工作原理245
6.2.2 配置Apache服務器246
6.3 Web應用防護系統(WAF)248
6.3.1 WAF的主要功能248
6.3.2 常見的WAF產品249
實例1 Linux安全部署250
實例2 Windows安全部署255
實例3 IIS加固設置265
實例4 Apache加固設置266
實例5 Tomcat加固設置269
實例6 WAF配置與應用272
購物須知
大陸出版品因裝訂品質及貨運條件與台灣出版品落差甚大,除封面破損、內頁脫落等較嚴重的狀態,其餘商品將正常出貨。
特別提醒:部分書籍附贈之內容(如音頻mp3或影片dvd等)已無實體光碟提供,需以QR CODE 連結至當地網站註冊“並通過驗證程序”,方可下載使用。
無現貨庫存之簡體書,將向海外調貨:
海外有庫存之書籍,等候約45個工作天;
海外無庫存之書籍,平均作業時間約60個工作天,然不保證確定可調到貨,尚請見諒。
為了保護您的權益,「三民網路書店」提供會員七日商品鑑賞期(收到商品為起始日)。
若要辦理退貨,請在商品鑑賞期內寄回,且商品必須是全新狀態與完整包裝(商品、附件、發票、隨貨贈品等)否則恕不接受退貨。