定 價:38 元
叢書名:高等學(xué)校網(wǎng)絡(luò)空間安全專業(yè)系列教材
- 作者:沈晉慧
- 出版時間:2023/11/1
- ISBN:9787560670621
- 出 版 社:西安電子科技大學(xué)出版社
- 中圖法分類:TP393.08
- 頁碼:208
- 紙張:
- 版次:1
- 開本:16開
本書聚焦Web安全相關(guān)技術(shù),按照客戶端�����、網(wǎng)絡(luò)協(xié)議��、服務(wù)端和數(shù)據(jù)庫的邏輯線對安全問題進(jìn)行了分類和分析�����。本書從基本的漏洞入手��,對XSS跨站腳本攻擊、文件上傳漏洞�����、文件包含漏洞�����、命令執(zhí)行漏洞和SQL注入漏洞等進(jìn)行了討論�,詳細(xì)講解了它們的產(chǎn)生原理����、利用方法及防御的演進(jìn)過程。同時�����,本書提供了配套的本地和云上實驗靶場�,可幫助讀者更好地理解漏洞原理和利用方法,提高學(xué)習(xí)效果����。
本書既可作為高等學(xué)校信息安全、網(wǎng)絡(luò)空間安全���、計算機(jī)科學(xué)與技術(shù)及相關(guān)專業(yè)本科生學(xué)習(xí)“Web安全技術(shù)”課程的教材����,也可供從事Web安全相關(guān)工作的工程技術(shù)人員學(xué)習(xí)和參考���。
隨著企業(yè)數(shù)字化轉(zhuǎn)型的加速���,網(wǎng)絡(luò)安全問題變得日益嚴(yán)峻��。近十年來�,針對我國網(wǎng)絡(luò)安全和信息化發(fā)展中遇到的新形勢���、新挑戰(zhàn)和新問題,國家以全球視野和發(fā)展的眼光��,立足發(fā)展實際,對網(wǎng)絡(luò)安全領(lǐng)域的發(fā)展進(jìn)行了精心謀劃和科學(xué)布局,不僅建立完善了網(wǎng)絡(luò)安全的頂層設(shè)計和規(guī)劃,同時確立了網(wǎng)絡(luò)安全發(fā)展的戰(zhàn)略布局和方向指引�����,保障了新時代的國家現(xiàn)代化發(fā)展進(jìn)程���。為了配合國家安全戰(zhàn)略�����,加快高校網(wǎng)絡(luò)空間安全高層次人才培養(yǎng),2015年國務(wù)院學(xué)位委員會和教育部決定在“工學(xué)”門類下增設(shè)“網(wǎng)絡(luò)空間安全”一級學(xué)科。2016年����,中央網(wǎng)信辦����、發(fā)改委、教育部等六部門聯(lián)合印發(fā)了《關(guān)于加強(qiáng)網(wǎng)絡(luò)安全學(xué)科建設(shè)和人才培養(yǎng)的意見》���,網(wǎng)絡(luò)和信息安全類的課程體系逐步成型,“Web安全技術(shù)”課程成為網(wǎng)絡(luò)和信息安全相關(guān)專業(yè)的核心專業(yè)課。
本書緊跟時代步伐��,參照開放性Web應(yīng)用程序安全項目(OWASP)的十大漏洞進(jìn)行分類和分析�����,將全書分為五章。第1章簡述了Web技術(shù)以及Web涉及的安全問題���。第2章講解了HTML + CSS + JavaScript的架構(gòu),并從攻擊和防守兩個角度分析了XSS這個目前主流的前端漏洞��。第3章重點介紹了HTTP缺陷以及攻擊者對HTTP的惡意利用所產(chǎn)生的中間人攻擊和重放攻擊等安全問題����。第4章先簡述了動態(tài)腳本開發(fā)語言PHP的基礎(chǔ)語法和語法漏洞���,然后在此基礎(chǔ)上介紹了后端漏洞—文件上傳漏洞�、文件包含漏洞、序列化和反序列化漏洞���、命令執(zhí)行漏洞的利用方法和防御方法。第5章主要介紹了數(shù)據(jù)庫的SQL注入漏洞(包括最簡單的顯錯注入、相對復(fù)雜的時間布爾盲注�,以及更深入的二次注入、寬字節(jié)等變形注入)��、繞過WAF的SQL注入和SQL注入漏洞的防御等內(nèi)容�����。本書在介紹各個漏洞利用時都提供了與之配套的本地和云上實驗靶場,通過實際動手實踐��,讀者可以加深對漏洞原理的理解�,提高學(xué)習(xí)效果。
本書第1章由李曉峰編寫�,第2章至第5章由沈晉慧編寫,附錄部分由李月琴整理���。本書的出版得到了北京聯(lián)合大學(xué)相關(guān)部門和老師們的大力支持,在此對所有為本書出版提供幫助和支持的同仁和朋友表示衷心的感謝�!
由于編者水平有限,書中難免存在不妥或疏漏之處����,敬請讀者批評指正。
編 者
2023年3月
第1章 Web技術(shù)和安全問題 1
1.1 Web技術(shù)概述 1
1.1.1 Web技術(shù)的發(fā)展 1
1.1.2 Web全棧技術(shù) 3
1.1.3 Web應(yīng)用體系框架 3
1.1.4 本書使用的Web集成環(huán)境 5
1.2 Web涉及的安全問題 6
1.2.1 Web安全問題的產(chǎn)生原因和相關(guān)案例 6
1.2.2 開放性Web應(yīng)用程序安全項目(OWASP) 8
1.3 Web安全技術(shù)的學(xué)習(xí)方法 10
練習(xí)題 13
第2章 客戶端安全 14
2.1 客戶端開發(fā) 14
2.1.1 客戶端開發(fā)基礎(chǔ) 14
2.1.2 HTML 15
2.1.3 CSS 20
2.1.4 JavaScript 24
2.2 XSS跨站腳本攻擊 28
2.2.1 XSS基礎(chǔ) 28
2.2.2 反射型XSS 29
2.2.3 存儲型XSS 35
2.2.4 XSS攻擊平臺 37
練習(xí)題 39
第3章 網(wǎng)絡(luò)協(xié)議安全 40
3.1 HTTP簡介 40
3.1.1 HTTP的工作流程 40
3.1.2 HTTP請求 42
3.1.3 瀏覽器中的HTTP數(shù)據(jù)包 45
3.2 HTTP安全 47
3.2.1 HTTP的缺陷 47
3.2.2 劫持工具 49
3.2.3 HTTP的惡意利用 51
練習(xí)題 61
第4章 服務(wù)端安全 62
4.1 PHP基礎(chǔ) 62
4.1.1 基礎(chǔ)語法 62
4.1.2 表單驗證 65
4.2 PHP語法漏洞 70
4.2.1 變量的弱類型漏洞 70
4.2.2 PHP函數(shù)類漏洞 74
4.3 文件上傳漏洞 80
4.3.1 特洛伊木馬和菜刀類工具 80
4.3.2 漏洞原理 85
4.3.3 客戶端驗證和文件類型繞過 86
4.3.4 服務(wù)器操作系統(tǒng)關(guān)聯(lián)型漏洞 92
4.3.5 編碼格式漏洞 95
4.3.6 Web服務(wù)器配置型漏洞 99
4.3.7 條件競爭 103
4.3.8 文件上傳漏洞的防御 107
4.4 文件包含漏洞 108
4.4.1 漏洞原理 108
4.4.2 漏洞利用 110
4.4.3 偽協(xié)議包含 114
4.4.4 文件包含漏洞的防御 123
4.5 序列化和反序列化漏洞 123
4.5.1 序列化基礎(chǔ) 123
4.5.2 魔術(shù)方法 129
4.5.3 漏洞原理 130
4.5.4 漏洞利用 133
4.5.5 序列化和反序列化漏洞的防御 136
4.6 命令執(zhí)行漏洞 137
4.6.1 漏洞原理 137
4.6.2 漏洞利用 139
4.6.3 繞過方法 145
4.6.4 命令執(zhí)行漏洞的防御 146
練習(xí)題 146
第5章 數(shù)據(jù)庫安全 148
5.1 數(shù)據(jù)庫基礎(chǔ) 148
5.1.1 數(shù)據(jù)庫和安全問題 148
5.1.2 PhpStudy中的MySQL 149
5.1.3 MySQL基本指令 150
5.1.4 MySQL與PHP的連接 157
5.2 SQL注入漏洞 158
5.2.1 漏洞原理 158
5.2.2 萬能密碼 159
5.2.3 跨表檢索 162
5.2.4 注入點類型 170
5.2.5 基本SQL注入 173
5.2.6 高階SQL注入 177
5.3 繞過WAF的SQL注入 190
5.3.1 WAF基礎(chǔ) 190
5.3.2 繞過方法 191
5.4 SQL注入漏洞的防御 195
練習(xí)題 195
附錄 與安全相關(guān)的法律法規(guī) 197
參考文獻(xiàn) 200
書單推薦
