本書作為Web安全知識(shí)普及與技術(shù)推廣教材,不僅能夠?yàn)槌鯇W(xué)Web安全的學(xué)生提供全面、實(shí)用的理論和技術(shù)基礎(chǔ),而且可以有效培養(yǎng)學(xué)生進(jìn)行Web安全防御的能力。本書以O(shè)WASP Top 10為基礎(chǔ),重點(diǎn)介紹了SQL注入漏洞、XSS漏洞、CSRF漏洞、SSRF漏洞、文件下載漏洞、文件包含漏洞、文件上傳漏洞、暴力破解漏洞、命令執(zhí)行漏洞、不安全的驗(yàn)證碼漏洞、反序列化漏洞與XXE漏洞12種常見的Web漏洞。全書共有7個(gè)項(xiàng)目,包括Web安全初探、Web協(xié)議與分析、Web漏洞檢測(cè)工具、Web漏洞實(shí)驗(yàn)平臺(tái)、Web常見漏洞分析(一)、Web常見漏洞分析(二)、Web常見漏洞分析(三),通過漏洞實(shí)驗(yàn)平臺(tái),分析Web漏洞原理,輔以漏洞利用方法的相關(guān)實(shí)驗(yàn),讓學(xué)生了解如何發(fā)現(xiàn)常見的Web漏洞,并進(jìn)行相應(yīng)的防御。本書可以作為高等職業(yè)院校與高等專科學(xué)校計(jì)算機(jī)、信息安全及其他相關(guān)專業(yè)學(xué)生的教材,也可以作為網(wǎng)絡(luò)安全管理員、網(wǎng)絡(luò)工程技術(shù)人員的參考用書。
陳云志,男,碩士研究生,浙江杭州人。杭州職業(yè)技術(shù)學(xué)院信息工程學(xué)院院長(zhǎng),主要講授計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、信息安全方向課程。承擔(dān)浙江省十三五優(yōu)勢(shì)專業(yè)—信息安全與管理專業(yè)建設(shè),《路由與交換》國(guó)家級(jí)精品課程主講教師、“十二五”國(guó)家規(guī)劃教材《路由與交換》副主編,承擔(dān)廳級(jí)課題3項(xiàng),發(fā)表論文6篇,其中EI收錄1篇。
項(xiàng)目一 Web安全初探 1
1.1 Web安全現(xiàn)狀與發(fā)展趨勢(shì) 1
1.1.1 Web安全現(xiàn)狀 1
1.1.2 Web安全發(fā)展趨勢(shì) 6
1.2 Web系統(tǒng)介紹 7
1.2.1 Web的發(fā)展歷程 7
1.2.2 Web系統(tǒng)的構(gòu)成 8
1.2.3 Web系統(tǒng)的應(yīng)用架構(gòu) 9
1.2.4 Web的訪問方法 10
1.2.5 Web編程語(yǔ)言 11
1.2.6 Web數(shù)據(jù)庫(kù)訪問技術(shù) 12
1.2.7 Web服務(wù)器 13
實(shí)例1 十大Web安全漏洞比較分析 15
項(xiàng)目二 Web協(xié)議與分析 16
2.1 HTTP 16
2.1.1 HTTP的通信過程 17
2.1.2 統(tǒng)一資源定位符 17
2.1.3 HTTP的連接方式和無狀態(tài)性 18
2.1.4 HTTP的請(qǐng)求報(bào)文 18
2.1.5 HTTP的響應(yīng)報(bào)文 22
2.1.6 HTTP的報(bào)文報(bào)頭類型匯總 24
2.1.7 HTTP的會(huì)話管理 24
2.2 HTTPS 26
2.2.1 HTTPS和HTTP的主要區(qū)別 26
2.2.2 HTTPS與Web服務(wù)器的通信過程 27
2.2.3 HTTPS的優(yōu)點(diǎn) 27
2.2.4 HTTPS的缺點(diǎn) 28
2.3 網(wǎng)絡(luò)嗅探工具 28
2.3.1 Wireshark簡(jiǎn)介 28
2.3.2 Wireshark的界面 29
實(shí)例1 Wireshark的應(yīng)用實(shí)例 38
實(shí)例1.1 捕捉數(shù)據(jù)包 38
實(shí)例1.2 處理捕捉后的數(shù)據(jù)包 42
項(xiàng)目三 Web漏洞檢測(cè)工具 48
3.1 Web漏洞檢測(cè)工具AppScan 48
3.1.1 AppScan簡(jiǎn)介 48
3.1.2 AppScan的安裝 49
3.1.3 AppScan的基本工作流程 53
3.1.4 AppScan的界面 56
3.2 HTTP分析工具WebScarab 59
3.3 網(wǎng)絡(luò)漏洞檢測(cè)工具Nmap 62
3.3.1 Nmap簡(jiǎn)介 62
3.3.2 Nmap的安裝 63
3.4 集成化的漏洞掃描工具Nessus 66
3.4.1 Nessus簡(jiǎn)介 66
3.4.2 Nessus的安裝 66
實(shí)例1 AppScan掃描實(shí)例 69
實(shí)例2 WebScarab的運(yùn)行 83
實(shí)例3 Nmap應(yīng)用實(shí)例 90
實(shí)例3.1 利用Nmap的圖形界面進(jìn)行掃描 90
實(shí)例3.2 利用Nmap命令行界面進(jìn)行掃描探測(cè) 103
實(shí)例4 利用Nessus掃描Web應(yīng)用 111
項(xiàng)目四 Web漏洞實(shí)驗(yàn)平臺(tái) 117
4.1 DVWA簡(jiǎn)介 117
4.2 WebGoat簡(jiǎn)介 118
4.3 Pikachu簡(jiǎn)介 119
實(shí)例1 DVWA的安裝與配置 119
實(shí)例2 WebGoat的安裝與配置 128
實(shí)例3 Pikachu的安裝與配置 133
項(xiàng)目五 Web常見漏洞分析(一) 136
5.1 SQL注入漏洞 136
5.2 XSS漏洞 141
實(shí)例1 SQL注入漏洞實(shí)例 145
實(shí)例1.1 手動(dòng)注入(初級(jí)) 145
實(shí)例1.2 使用工具注入 149
實(shí)例1.3 手動(dòng)注入(中級(jí)) 151
實(shí)例1.4 手動(dòng)注入(高級(jí)) 155
實(shí)例1.5 SQL注入漏洞的防御 157
實(shí)例1.6 布爾盲注 157
實(shí)例1.7 時(shí)間盲注 161
實(shí)例1.8 SQL盲注漏洞的防御 163
實(shí)例2 XSS漏洞實(shí)例 165
實(shí)例2.1 反射型XSS漏洞(1) 165
實(shí)例2.2 反射型XSS漏洞(2) 167
實(shí)例2.3 反射型XSS漏洞(3) 168
實(shí)例2.4 反射型XSS漏洞的防御 168
實(shí)例2.5 存儲(chǔ)型XSS漏洞(1) 169
實(shí)例2.6 存儲(chǔ)型XSS漏洞(2) 170
實(shí)例2.7 存儲(chǔ)型XSS漏洞(3) 172
實(shí)例2.8 存儲(chǔ)型XSS漏洞的防御 173
實(shí)例2.9 DOM型XSS漏洞(1) 174
實(shí)例2.10 DOM型XSS漏洞(2) 175
實(shí)例2.11 DOM型XSS漏洞(3) 176
實(shí)例2.12 DOM型XSS漏洞的防御 177
項(xiàng)目六 Web常見漏洞分析(二) 178
6.1 CSRF漏洞 178
6.2 SSRF漏洞 180
6.3 文件下載漏洞 182
6.4 文件包含漏洞 183
6.5 文件上傳漏洞 187
實(shí)例1 CSRF漏洞實(shí)例 187
實(shí)例1.1 CSRF漏洞(1) 187
實(shí)例1.2 CSRF漏洞(2) 189
實(shí)例1.3 CSRF漏洞(3) 190
實(shí)例1.4 CSRF漏洞的防御 192
實(shí)例2 SSRF漏洞實(shí)例 193
實(shí)例2.1 SSRF漏洞(1) 193
實(shí)例2.2 SSRF漏洞(2) 196
實(shí)例3 文件下載漏洞實(shí)例 198
實(shí)例4 文件包含漏洞實(shí)例 199
實(shí)例4.1 文件包含漏洞(1) 199
實(shí)例4.2 文件包含漏洞(2) 202
實(shí)例4.3 文件包含漏洞(3) 203
實(shí)例4.4 文件包含漏洞的防御 204
實(shí)例5 文件上傳漏洞實(shí)例 204
實(shí)例5.1 文件上傳漏洞(1) 204
實(shí)例5.2 文件上傳漏洞(2) 206
實(shí)例5.3 文件上傳漏洞(3) 210
實(shí)例5.4 文件上傳漏洞的防御 213
項(xiàng)目七 Web常見漏洞分析(三) 215
7.1 暴力破解漏洞 215
7.2 命令執(zhí)行漏洞 216
7.3 不安全的驗(yàn)證碼漏洞 217
7.4 反序列化漏洞 219
7.5 XXE漏洞 221
實(shí)例1 暴力破解漏洞實(shí)例 222
實(shí)例1.1 暴力破解漏洞(1) 222
實(shí)例1.2 暴力破解漏洞(2) 227
實(shí)例1.3 暴力破解漏洞(3) 228
實(shí)例1.4 暴力破解漏洞的防御 234
實(shí)例2 命令執(zhí)行漏洞實(shí)例 236
實(shí)例2.1 命令執(zhí)行漏洞(1) 236
實(shí)例2.2 命令執(zhí)行漏洞(2) 241
實(shí)例2.3 命令執(zhí)行漏洞(3) 244
實(shí)例2.4 命令執(zhí)行漏洞的防御 249
實(shí)例3 不安全的驗(yàn)證碼漏洞實(shí)例 251
實(shí)例3.1 不安全的驗(yàn)證碼漏洞(1) 251
實(shí)例3.2 不安全的驗(yàn)證碼漏洞(2) 254
實(shí)例3.3 不安全的驗(yàn)證碼漏洞(3) 256
實(shí)例3.4 不安全的驗(yàn)證碼漏洞的防御 258
實(shí)例4 反序列化漏洞實(shí)例 259
實(shí)例5 XXE漏洞實(shí)例 262