新書推薦:
《
文化的演化:民众动机正在重塑世界
》
售價:HK$
88.5
《
布鲁克林有棵树(孩子喜欢的阅读经典读本 基于真实生活的全球经典成长小说 走出成长困境 追逐梦想 人生励志 自我塑造小说)
》
售價:HK$
76.2
《
构建未来教育图景:实践以学生为中心的育人模式
》
售價:HK$
87.4
《
技术统治(未来哲学系列)
》
售價:HK$
53.8
《
中考热点作家孙道荣2024年散文精选集三册
》
售價:HK$
127.7
《
全球城市案例研究2023:基于网络的合作与竞争国际经验借鉴
》
售價:HK$
199.4
《
引爆:炸药、硝酸盐和现代世界的形成
》
售價:HK$
85.1
《
人类星球:我们如何创造了人类世(企鹅·鹈鹕丛书013)
》
售價:HK$
91.8
|
編輯推薦: |
1. 清晰易懂:每章都以项目描述为起点,帮助读者充分理解技能点和任务。
2. 强调实践性:每个知识点均以任务的形式进行讲解,方便读者理解并动手操作。
3. 激发学习动力:每个任务末尾均提供了拓展提高内容,激发读者学习动力。
4. 提供习题答案:内容来源真实教学实践,可供高等院校教师选作教材。
5. 出自名家之手:本书出自网络安全一线大厂安全攻防经验,具备实战性。
|
內容簡介: |
本书是一本关于Web应用安全的实用教材,旨在帮助读者深入了解Web应用安全的核心概念和方法,以便有效地发现和防范Web应用漏洞和风险。
本书分为四篇,共22章,先介绍Web安全环境的搭建,再详细讲解各种Web安全工具,包括轻量级代码编辑器、浏览器代理插件、Burp Suite工具和木马连接工具,接着剖析多种Web应用安全漏洞及其常见的漏洞利用方式,最后基于两个真实的Web应用安全漏洞挖掘实战项目,帮助读者巩固对Web应用安全漏洞的理解,并拓展读者的Web应用安全测试的思路。本书以任务的形式呈现,易于理解和操作。通过阅读本书,读者能够全面了解Web应用安全,提升网络安全技能。
本书适合作为高等院校网络空间安全、信息安全和网络工程等相关专业的教材,也适合作为网络安全从业人员和研究人员的参考书。
|
關於作者: |
乔治锡,现任四川信息职业技术学院网通学院院长。具有10余年网络技术及网络安全技术工作经历,主持或参与多项精品在线课程建设。 冯军军,现任四川信息职业技术学院教师。曾参与省级精品课程和国家资源库建设。擅长渗透测试和Web安全,活跃于多个漏洞报告平台,报告过多个CNVD漏洞。持有CISP-PTE证书,曾获第二届全国工业和信息化技能技术大赛工业互联网安全赛项职工组三等奖。 黄章清,杭州安恒信息技术股份有限公司资深安全培训工程师。长期专注于追踪与研究新的网络安全威胁、攻击技术以及防御策略,曾在国家、省、市级别的网络安全演习和模拟攻击活动中担任裁判、红队选手及研判分析师。将个人的一线实战技能和经验提炼总结,制作Web应用安全、渗透测试技术、Python安全开发等课程。 蓝大朝,现任安恒信息网络安全培训工程师,擅长讲授网络攻防技术、应急响应、安全加固等方面的课程。曾参与过多个网络安全项目,具备扎实的理论基础和实践能力。 王泽儒,现任四川信息职业技术学院专任教师。长期从事信息安全方面的工作,积累了4年多的黑灰对抗经验。 尹?G,现任四川信息职业技术学院信息安全专业教师。长期从事信息安全产品研发和信息安全专业教学等工作,负责网络攻防对抗、异常事件监测预警等项目,主讲Web安全、计算机取证技术等多门课程。持有国家统一法律职业资格证书(A证)。
|
目錄:
|
第 一篇 Web安全环境搭建
第 1章 VMware的安装 3
1.1 工作任务 4
1.2 归纳总结 5
1.3 提高拓展 6
1.4 练习实训 6
第 2章 基础镜像的安装 7
2.1 工作任务 7
2.2 归纳总结 13
2.3 提高拓展 13
2.4 练习实训 14
第3章 测试环境的搭建 15
3.1 工作任务 15
3.2 归纳总结 19
3.3 提高拓展 19
3.4 练习实训 20
第二篇 Web安全工具使用
第4章 轻量级代码编辑器的使用 23
4.1 任务一:Sublime Text编辑器的使用 23
4.2 任务二:Visual Studio Code编辑器的使用 27
第5章 浏览器代理插件的使用 34
5.1 任务一:HackBar插件的使用 34
5.2 任务二:SwitchyOmega插件的使用 38
第6章 Burp Suite工具的使用 42
6.1 任务一:Proxy模块的使用 42
6.2 任务二:Intruder模块的使用 47
6.3 任务三:Repeater模块的使用 54
第7章 木马连接工具的使用 60
7.1 任务一:蚁剑工具的使用 60
7.2 任务二:Behinder工具的使用 66
第三篇 Web应用安全漏洞剖析
第8章 身份认证攻击漏洞 73
8.1 任务一:基础登录漏洞利用 73
8.2 任务二:登录重放漏洞利用 77
8.3 任务三:Basic认证漏洞利用 80
8.4 任务四:AES认证攻击利用 86
第9章 跨站脚本攻击漏洞 93
9.1 任务一:反射型XSS漏洞利用 93
9.2 任务二:DOM型XSS漏洞利用 105
9.3 任务三:存储型XSS漏洞利用 108
9.4 任务四:BlueLotus_XSS工具的使用 111
第 10章 跨站请求伪造漏洞 116
10.1 任务一:GET型CSRF漏洞利用 116
10.2 任务二:POST型CSRF漏洞利用 120
10.3 任务三:CSRF漏洞绕过 125
第 11章 文件上传漏洞 131
11.1 任务一:基础文件上传漏洞利用 131
11.2 任务二:文件上传前端JS检测绕过 135
11.3 任务三:文件上传MIME类型检测绕过 139
11.4 任务四:文件上传黑名单检测绕过 143
11.5 任务五:文件上传特殊文件绕过 146
11.6 任务六:文件上传大小写绕过 150
11.7 任务七:文件上传Windows特殊符号绕过 152
11.8 任务八:文件上传双写绕过 160
11.9 任务九:文件上传截断绕过 163
11.10 任务十:文件上传图片木马绕过 168
11.11 任务十一:文件上传二次渲染绕过 174
11.12 任务十二:文件上传条件竞争绕过 178
第 12章 文件包含漏洞 184
12.1 任务一:本地文件包含漏洞利用 184
12.2 任务二:远程文件包含漏洞利用 193
12.3 任务三:文件包含漏洞绕过 197
第 13章 文件下载漏洞 202
13.1 任务一:文件下载漏洞利用 202
13.2 任务二:文件下载漏洞绕过 205
第 14章 SQL注入漏洞 211
14.1 任务一:万能密码登录 211
14.2 任务二:联合查询注入利用 213
14.3 任务三:报错注入利用 219
14.4 任务四:布尔盲注利用 222
14.5 任务五:时间盲注利用 229
14.6 任务六:利用sqlmap工具获取数据库数据 231
14.7 任务七:SQL注入漏洞绕过 235
第 15章 代码执行漏洞 242
15.1 任务一:基础代码执行漏洞利用 242
15.2 任务二:create_function漏洞利用 246
15.3 任务三:代码执行漏洞绕过 248
第 16章 命令执行漏洞 252
16.1 任务一:基础命令执行漏洞利用 252
16.2 任务二:命令执行漏洞绕过 258
第 17章 PHP反序列化漏洞 261
17.1 任务一:PHP反序列化漏洞利用 261
17.2 任务二:Phar反序列化漏洞利用 271
17.3 任务三:Session反序列化漏洞利用 275
第 18章 服务器端请求伪造漏洞 279
18.1 任务一:SSRF漏洞利用 279
18.2 任务二:SSRF漏洞攻击内网Redis服务 292
第 19章 XML外部实体注入漏洞 296
19.1 任务一:基础XXE漏洞利用 296
19.2 任务二:无回显XXE漏洞利用 299
第 20章 逻辑漏洞 305
20.1 任务一:数据篡改漏洞挖掘 305
20.2 任务二:重放攻击漏洞挖掘 308
20.3 任务三:越权漏洞挖掘 311
第四篇 漏洞挖掘实战
第 21章 YXcms v1.4.7漏洞挖掘实战 319
21.1 工作任务 320
21.2 归纳总结 329
21.3 提高拓展 330
21.4 练习实训 332
第 22章 FeiFeiCms v3.3.1漏洞挖掘实战 333
22.1 工作任务 333
22.2 归纳总结 340
22.3 提高拓展 340
22.4 练习实训 342
|
|