中圖網小程序
一鍵登錄
更方便
本類五星書更多>
-
>
全國計算機等級考試最新真考題庫模擬考場及詳解·二級MSOffice高級應用
-
>
決戰行測5000題(言語理解與表達)
-
>
軟件性能測試.分析與調優實踐之路
-
>
第一行代碼Android
-
>
JAVA持續交付
-
>
EXCEL最強教科書(完全版)(全彩印刷)
-
>
深度學習
Web應用安全與防護 版權信息
- ISBN:9787121432316
- 條形碼:9787121432316 ; 978-7-121-43231-6
- 裝幀:暫無
- 冊數:暫無
- 重量:暫無
- 所屬分類:>
Web應用安全與防護 內容簡介
本書作為Web應用安全知識普及與技術推廣教材,不僅能夠為初學Web應用安全的學生提供全面、實用的技術和理論基礎,而且能有效培養學生進行Web應用安全防護的能力。 本書著眼于基礎知識和實操練習兩大部分,從SQL注入攻擊、跨站腳本攻擊、跨站請求偽造攻擊、文件上傳漏洞、文件包含漏洞、命令執行漏洞六個方面講述了Web應用的攻擊與防護方法,并配備了完備的題庫和攻防實戰練習。 本書可作為高等職業院校計算機程序設計課程的教材,也可作為社會各類工程技術與科研人員的參考書。
Web應用安全與防護 目錄
第1章 SQL注入攻擊 (1)
1.1 案例 (1)
1.1.1 案例1:利用SQL注入登錄數據庫 (1)
1.1.2 案例2:利用SQL注入獲取數據庫信息 (3)
1.2 SQL注入原理 (6)
1.2.1 SQL語言簡介 (6)
1.2.2 Web數據庫交互 (7)
1.2.3 SQL注入過程 (7)
1.2.4 數據庫漏洞利用 (8)
1.2.5 數據庫語句利用 (12)
1.2.6 數據庫信息提取 (13)
1.3 SQL注入分類 (14)
1.3.1 基于報錯注入 (14)
1.3.2 聯合查詢注入 (15)
1.3.3 盲注 (17)
1.3.4 堆疊注入 (20)
1.3.5 其他手段注入 (21)
1.4 SQL注入工具 (22)
1.4.1 SQLMap (22)
1.4.2 Pangolin (24)
1.4.3 Havij (27)
1.5 防止SQL注入 (29)
1.5.1 數據類型判斷 (30)
1.5.2 特殊字符轉義 (30)
1.5.3 使用預編譯語句 (32)
1.5.4 框架技術 (33)
1.5.5 存儲過程 (34)
1.6 小結與習題 (34)
1.6.1 小結 (34)
1.6.2 習題 (34)
1.7 課外拓展 (35)
1.8 實訓 (36)
1.8.1 【實訓1】DVWA環境下進行SQL注入攻擊(1) (36)
1.8.2 【實訓2】DVWA環境下進行SQL注入攻擊(2) (37)
1.8.3 【實訓3】DVWA環境下進行SQL盲注(1) (38)
1.8.4 【實訓4】DVWA環境下進行SQL盲注(2) (39)
1.8.5 【實訓5】使用SQLMap進行SQL注入攻擊 (40)
第2章 跨站腳本攻擊 (41)
2.1 案例 (41)
2.1.1 案例1:HTML ALERT(1) (41)
2.1.2 案例2:HTML ALERT(2) (42)
2.2 XSS攻擊原理 (44)
2.3 XSS攻擊分類 (46)
2.3.1 反射型XSS漏洞 (46)
2.3.2 保存型XSS漏洞 (47)
2.3.3 基于DOM的XSS漏洞 (48)
2.4 利用XSS漏洞 (50)
2.4.1 Cookie竊取攻擊 (51)
2.4.2 網絡釣魚 (53)
2.4.3 XSS蠕蟲 (54)
2.5 防御XSS攻擊 (56)
2.5.1 防止反射型與保存型XSS漏洞 (56)
2.5.2 防止基于DOM的XSS漏洞 (59)
2.6 小結與習題 (60)
2.6.1 小結 (60)
2.6.2 習題 (60)
2.7 課外拓展 (60)
2.8 實訓 (61)
2.8.1 【實訓6】DVWA環境下進行XSS攻擊 (61)
2.8.2 【實訓7】DVWA環境下進行反射型XSS攻擊 (62)
2.8.3 【實訓8】DVWA環境下進行保存型XSS攻擊 (64)
2.8.4 【實訓9】Elgg環境下使用腳本文件進行XSS攻擊 (67)
2.8.5 【實訓10】Elgg環境下進行XSS攻擊獲取Cookie (69)
第3章 跨站請求偽造攻擊 (71)
3.1 案例 (71)
3.1.1 案例1:銀行轉賬 (71)
3.1.2 案例2:博客刪除 (73)
3.2 CSRF攻擊原理 (74)
3.3 CSRF攻擊分類 (76)
3.3.1 GET (76)
3.3.2 POST (77)
3.3.3 GET和POST皆可的CSRF (77)
3.4 CSRF漏洞利用方法 (80)
3.5 防御CSRF攻擊的方法 (82)
3.5.1 驗證HTTP Referer字段 (82)
3.5.2 HTTP Referer字段中添加及驗證Token (83)
3.5.3 驗證HTTP自定義屬性 (83)
3.5.4 驗證HTTP Origin字段 (84)
3.5.5 驗證Session初始化 (85)
3.6 小結與習題 (85)
3.6.1 小結 (85)
3.6.2 習題 (85)
3.7 課外拓展 (86)
3.8 實訓 (90)
3.8.1 【實訓11】修改個人信息 (90)
3.8.2 【實訓12】攻破DVWA靶機 (93)
3.8.3 【實訓13】攻破有防御機制的DVWA靶機 (95)
3.8.4 【實訓14】使用Burp的CSRF PoC生成器劫持用戶 (98)
3.8.5 【實訓15】攻擊OWASP系列的Mutillidae靶機 (102)
第4章 文件上傳漏洞 (107)
4.1 案例 (107)
4.1.1 案例1:upload-labs Pass-01前端檢測繞過 (107)
4.1.2 案例2:upload-labs Pass-03后端文件黑名單檢測繞過 (109)
4.2 文件上傳漏洞原理 (110)
4.3 文件上傳漏洞分類 (113)
4.3.1 文件類型檢查漏洞 (113)
4.3.2 Web服務器解析漏洞 (121)
4.4 利用文件上傳漏洞 (123)
4.5 預防文件上傳漏洞 (127)
4.6 小結與習題 (128)
4.6.1 小結 (128)
4.6.2 習題 (128)
4.7 課外拓展 (128)
4.8 實訓 (129)
4.8.1 【實訓16】利用富文本編輯器進行文件上傳獲取Webshell (129)
4.8.2 【實訓17】經典文件上傳漏洞實驗平臺upload-Labs通關 (131)
4.8.3 【實訓18】利用WordPress漏洞上傳文件獲取Webshell (135)
4.8.4 【實訓19】利用文件上傳漏洞上傳c99.php后門 (144)
4.8.5 【實訓20】WebLogic任意文件上傳漏洞復現 (151)
第5章 文件包含漏洞 (154)
5.1 案例 (154)
5.1.1 案例1:Session文件包含漏洞 (154)
5.1.2 案例2:Dedecms遠程文件包含漏洞 (157)
5.2 文件包含漏洞原理 (159)
5.3 文件包含漏洞分類 (160)
5.3.1 PHP文件包含 (160)
5.3.2 JSP文件包含 (161)
5.3.3 ASP文件包含 (162)
5.4 利用文件包含漏洞 (162)
5.4.1 讀取配置文件 (162)
5.4.2 讀取PHP源文件 (163)
5.4.3 包含用戶上傳文件 (164)
5.4.4 包含特殊的服務器文件 (164)
5.4.5 RFI漏洞 (165)
5.5 預防文件包含漏洞 (165)
5.5.1 參數審查 (166)
5.5.2 防止變量覆蓋 (166)
5.5.3 定制安全的Web Service環境 (166)
5.6 小結與習題 (167)
5.6.1 小結 (167)
5.6.2 習題 (167)
5.7 課外拓展 (167)
5.8 實訓 (169)
5.8.1 【實訓21】簡單的LFI實驗 (169)
5.8.2 【實訓22】讀取PHP源碼 (171)
5.8.3 【實訓23】Session文件包含漏洞 (172)
5.8.4 【實訓24】遠程文件包含 (174)
5.8.5 【實訓25】有限制的遠程文件包含 (175)
第6章 命令執行漏洞 (178)
6.1 案例 (178)
6.1.1 案例1:ECShop遠程代碼執行漏洞 (178)
6.1.2 案例2:ThinkPHP 5.* 遠程代碼執行漏洞 (182)
6.2 命令執行漏洞原理 (186)
6.3 命令執行漏洞分類 (187)
6.3.1 代碼執行漏洞 (187)
6.3.2 函數調用漏洞 (187)
6.4 利用命令執行漏洞 (188)
6.4.1 命令注入 (188)
6.4.2 動態代碼執行 (191)
6.4.3 動態函數調用 (191)
6.4.4 preg_replace (192)
6.4.5 反序列化漏洞 (193)
6.5 預防命令執行漏洞 (195)
6.5.1 驗證輸入 (195)
6.5.2 合理使用轉義函數 (196)
6.5.3 避免危險操作 (196)
6.5.4 行為限制 (196)
6.5.5 定期更新 (196)
6.6 小結與習題 (196)
6.6.1 小結 (196)
6.6.2 習題 (197)
6.7 課外拓展 (197)
6.8 實訓 (198)
6.8.1 【實訓26】簡單的命令注入 (198)
6.8.2 【實訓27】System命令注入 (199)
6.8.3 【實訓28】DVWA命令注入(1) (200)
6.8.4 【實訓29】DVWA命令注入(2) (202)
6.8.5 【實訓30】DVWA命令注入(3) (205)
1.1 案例 (1)
1.1.1 案例1:利用SQL注入登錄數據庫 (1)
1.1.2 案例2:利用SQL注入獲取數據庫信息 (3)
1.2 SQL注入原理 (6)
1.2.1 SQL語言簡介 (6)
1.2.2 Web數據庫交互 (7)
1.2.3 SQL注入過程 (7)
1.2.4 數據庫漏洞利用 (8)
1.2.5 數據庫語句利用 (12)
1.2.6 數據庫信息提取 (13)
1.3 SQL注入分類 (14)
1.3.1 基于報錯注入 (14)
1.3.2 聯合查詢注入 (15)
1.3.3 盲注 (17)
1.3.4 堆疊注入 (20)
1.3.5 其他手段注入 (21)
1.4 SQL注入工具 (22)
1.4.1 SQLMap (22)
1.4.2 Pangolin (24)
1.4.3 Havij (27)
1.5 防止SQL注入 (29)
1.5.1 數據類型判斷 (30)
1.5.2 特殊字符轉義 (30)
1.5.3 使用預編譯語句 (32)
1.5.4 框架技術 (33)
1.5.5 存儲過程 (34)
1.6 小結與習題 (34)
1.6.1 小結 (34)
1.6.2 習題 (34)
1.7 課外拓展 (35)
1.8 實訓 (36)
1.8.1 【實訓1】DVWA環境下進行SQL注入攻擊(1) (36)
1.8.2 【實訓2】DVWA環境下進行SQL注入攻擊(2) (37)
1.8.3 【實訓3】DVWA環境下進行SQL盲注(1) (38)
1.8.4 【實訓4】DVWA環境下進行SQL盲注(2) (39)
1.8.5 【實訓5】使用SQLMap進行SQL注入攻擊 (40)
第2章 跨站腳本攻擊 (41)
2.1 案例 (41)
2.1.1 案例1:HTML ALERT(1) (41)
2.1.2 案例2:HTML ALERT(2) (42)
2.2 XSS攻擊原理 (44)
2.3 XSS攻擊分類 (46)
2.3.1 反射型XSS漏洞 (46)
2.3.2 保存型XSS漏洞 (47)
2.3.3 基于DOM的XSS漏洞 (48)
2.4 利用XSS漏洞 (50)
2.4.1 Cookie竊取攻擊 (51)
2.4.2 網絡釣魚 (53)
2.4.3 XSS蠕蟲 (54)
2.5 防御XSS攻擊 (56)
2.5.1 防止反射型與保存型XSS漏洞 (56)
2.5.2 防止基于DOM的XSS漏洞 (59)
2.6 小結與習題 (60)
2.6.1 小結 (60)
2.6.2 習題 (60)
2.7 課外拓展 (60)
2.8 實訓 (61)
2.8.1 【實訓6】DVWA環境下進行XSS攻擊 (61)
2.8.2 【實訓7】DVWA環境下進行反射型XSS攻擊 (62)
2.8.3 【實訓8】DVWA環境下進行保存型XSS攻擊 (64)
2.8.4 【實訓9】Elgg環境下使用腳本文件進行XSS攻擊 (67)
2.8.5 【實訓10】Elgg環境下進行XSS攻擊獲取Cookie (69)
第3章 跨站請求偽造攻擊 (71)
3.1 案例 (71)
3.1.1 案例1:銀行轉賬 (71)
3.1.2 案例2:博客刪除 (73)
3.2 CSRF攻擊原理 (74)
3.3 CSRF攻擊分類 (76)
3.3.1 GET (76)
3.3.2 POST (77)
3.3.3 GET和POST皆可的CSRF (77)
3.4 CSRF漏洞利用方法 (80)
3.5 防御CSRF攻擊的方法 (82)
3.5.1 驗證HTTP Referer字段 (82)
3.5.2 HTTP Referer字段中添加及驗證Token (83)
3.5.3 驗證HTTP自定義屬性 (83)
3.5.4 驗證HTTP Origin字段 (84)
3.5.5 驗證Session初始化 (85)
3.6 小結與習題 (85)
3.6.1 小結 (85)
3.6.2 習題 (85)
3.7 課外拓展 (86)
3.8 實訓 (90)
3.8.1 【實訓11】修改個人信息 (90)
3.8.2 【實訓12】攻破DVWA靶機 (93)
3.8.3 【實訓13】攻破有防御機制的DVWA靶機 (95)
3.8.4 【實訓14】使用Burp的CSRF PoC生成器劫持用戶 (98)
3.8.5 【實訓15】攻擊OWASP系列的Mutillidae靶機 (102)
第4章 文件上傳漏洞 (107)
4.1 案例 (107)
4.1.1 案例1:upload-labs Pass-01前端檢測繞過 (107)
4.1.2 案例2:upload-labs Pass-03后端文件黑名單檢測繞過 (109)
4.2 文件上傳漏洞原理 (110)
4.3 文件上傳漏洞分類 (113)
4.3.1 文件類型檢查漏洞 (113)
4.3.2 Web服務器解析漏洞 (121)
4.4 利用文件上傳漏洞 (123)
4.5 預防文件上傳漏洞 (127)
4.6 小結與習題 (128)
4.6.1 小結 (128)
4.6.2 習題 (128)
4.7 課外拓展 (128)
4.8 實訓 (129)
4.8.1 【實訓16】利用富文本編輯器進行文件上傳獲取Webshell (129)
4.8.2 【實訓17】經典文件上傳漏洞實驗平臺upload-Labs通關 (131)
4.8.3 【實訓18】利用WordPress漏洞上傳文件獲取Webshell (135)
4.8.4 【實訓19】利用文件上傳漏洞上傳c99.php后門 (144)
4.8.5 【實訓20】WebLogic任意文件上傳漏洞復現 (151)
第5章 文件包含漏洞 (154)
5.1 案例 (154)
5.1.1 案例1:Session文件包含漏洞 (154)
5.1.2 案例2:Dedecms遠程文件包含漏洞 (157)
5.2 文件包含漏洞原理 (159)
5.3 文件包含漏洞分類 (160)
5.3.1 PHP文件包含 (160)
5.3.2 JSP文件包含 (161)
5.3.3 ASP文件包含 (162)
5.4 利用文件包含漏洞 (162)
5.4.1 讀取配置文件 (162)
5.4.2 讀取PHP源文件 (163)
5.4.3 包含用戶上傳文件 (164)
5.4.4 包含特殊的服務器文件 (164)
5.4.5 RFI漏洞 (165)
5.5 預防文件包含漏洞 (165)
5.5.1 參數審查 (166)
5.5.2 防止變量覆蓋 (166)
5.5.3 定制安全的Web Service環境 (166)
5.6 小結與習題 (167)
5.6.1 小結 (167)
5.6.2 習題 (167)
5.7 課外拓展 (167)
5.8 實訓 (169)
5.8.1 【實訓21】簡單的LFI實驗 (169)
5.8.2 【實訓22】讀取PHP源碼 (171)
5.8.3 【實訓23】Session文件包含漏洞 (172)
5.8.4 【實訓24】遠程文件包含 (174)
5.8.5 【實訓25】有限制的遠程文件包含 (175)
第6章 命令執行漏洞 (178)
6.1 案例 (178)
6.1.1 案例1:ECShop遠程代碼執行漏洞 (178)
6.1.2 案例2:ThinkPHP 5.* 遠程代碼執行漏洞 (182)
6.2 命令執行漏洞原理 (186)
6.3 命令執行漏洞分類 (187)
6.3.1 代碼執行漏洞 (187)
6.3.2 函數調用漏洞 (187)
6.4 利用命令執行漏洞 (188)
6.4.1 命令注入 (188)
6.4.2 動態代碼執行 (191)
6.4.3 動態函數調用 (191)
6.4.4 preg_replace (192)
6.4.5 反序列化漏洞 (193)
6.5 預防命令執行漏洞 (195)
6.5.1 驗證輸入 (195)
6.5.2 合理使用轉義函數 (196)
6.5.3 避免危險操作 (196)
6.5.4 行為限制 (196)
6.5.5 定期更新 (196)
6.6 小結與習題 (196)
6.6.1 小結 (196)
6.6.2 習題 (197)
6.7 課外拓展 (197)
6.8 實訓 (198)
6.8.1 【實訓26】簡單的命令注入 (198)
6.8.2 【實訓27】System命令注入 (199)
6.8.3 【實訓28】DVWA命令注入(1) (200)
6.8.4 【實訓29】DVWA命令注入(2) (202)
6.8.5 【實訓30】DVWA命令注入(3) (205)
展開全部
Web應用安全與防護 作者簡介
朱添田(1992―),男,于2019年獲浙江大學博士學位。現任浙江工業大學講師,朱添田致力于數據驅動安全、隱私保護、大數據分析、異常檢測等領域的研究,累積了扎實的理論與實踐經驗。曾發表CCF A類國際頂級論文4篇。參與并結題國家自然科學基金面上項目2項,在研國家自然科學基金重點支持項目1項。
書友推薦
- >
羅庸西南聯大授課錄
- >
新文學天穹兩巨星--魯迅與胡適/紅燭學術叢書(紅燭學術叢書)
- >
回憶愛瑪儂
- >
人文閱讀與收藏·良友文學叢書:一天的工作
- >
有舍有得是人生
- >
李白與唐代文化
- >
我與地壇
- >
莉莉和章魚
本類暢銷
