书籍详情
WEB安全基础教程
作者:佟晖 著
出版社:北京师范大学出版社
出版时间:2020-01-01
ISBN:9787303223770
定价:¥29.80
购买这本书可以去
内容简介
本书共分5个正篇17个章节和1个附录,正篇包括:Web安全基础介绍、Web安全测试方法、Web常见漏洞介绍、Web安全实战演练、日常安全意识。附录部分为相关课程设计了大纲框架图。
作者简介
佟晖, 女,硕士,教授,硕士研究生导师。北京警察学院公安科技系副主任,北京警察学院学术委员会委员,北京市高等教育学会计算机教育研究会常务理事。先后承担国家以及省部级项目10余项,主编教材4部,发表论文30余篇。公安部高等教育教学名师、全国优秀人民警察。张作峰,男,本科学历,十余年网络安全行业从业经验,主要研究方向web安全。具备行业内多项安全资质,目前为恒安嘉新(北京)科技有限公司安全攻防团队负责人,曾圆满的完成了北京奥运会、广州亚运会、上海世博会、十八大、二十国集团峰会、世界互联网大会等国家重要活动的网络安全技术保障任务。
目录
目 录
第1篇 Web安全基础介绍 1
第1章 Web安全简介 1
1.1 最新安全事件(视频介绍) 1
1.2 黑客、白客、灰客 2
1.3 网站入侵的途径 2
1.4 实战演练(网站入侵) 4
1.5 如何学好Web安全 9
第2章 Web安全基础知识介绍 11
2.1 Web架构介绍 11
2.1.1 ASP 11
2.1.2 PHP 12
2.1.3 JSP 14
2.2 HTTP协议介绍 15
2.2.1 GET请求 17
2.2.2 POST请求 17
2.2.3 其他HTTP请求 18
2.3 实战操作 19
第2篇 Web安全测试方法 23
第3章 信息探测 23
3.1 Google Hacking 23
3.1.1 搜集子域名 23
3.1.2 搜集Web信息 24
3.2 Nmap Scanning 28
3.2.1 安装Nmap 28
3.2.2 探测主机信息 33
3.3 实战操作 36
第4章 Web漏洞检测工具简介 37
4.1 AWVS 介绍 37
4.1.1 WVS向导扫描 37
4.1.2 Web扫描服务 40
4.2 AppScan介绍 43
4.2.1 使用AppScan扫描 43
4.2.2 处理结果 48
第3篇 Web常见漏洞介绍 50
第5章 SQL注入漏洞 50
5.1 SQL注入原理 50
5.2 注入漏洞分类 52
5.2.1 数字型注入 52
5.2.2 字符型注入 54
5.3 注入工具 54
5.3.1 Sqlmap 54
5.3.2 Pangolin 57
5.4 实战操作 63
第6章 上传漏洞 64
6.1 直接上传漏洞 64
6.2 中间件解析漏洞 66
6.2.1 IIS解析漏洞 66
6.2.2 Apache解析漏洞 68
6.2.3 Nginx解析漏洞 69
6.3 绕过上传漏洞 70
6.3.1 客户端检测 70
6.3.2 服务器端检测 71
6.4 实战操作 74
第7章 XSS跨站脚本漏洞 75
7.1 XSS原理解析 75
7.2 XSS类型 76
7.2.1 反射型XSS 76
7.2.2 存储型XSS 77
7.3 实战操作 79
第8章 命令执行漏洞 82
8.1 命令执行漏洞示例 82
8.2 命令执行模型 89
8.3 框架执行漏洞 94
8.3.1 Struts2代码执行漏洞 96
8.3.2 java反序列化代码执行漏洞 101
8.4 实战操作 103
第9章 文件包含漏洞 110
9.1 包含漏洞原理解析 110
9.1.1 本地文件包含 111
9.1.2 远程文件包含 112
9.2 实战操作 117
第10章 其他漏洞(简单介绍) 120
10.1 CSRF 介绍 120
10.2 逻辑错误漏洞介绍 122
10.2.1 挖掘逻辑漏洞 122
10.2.2 绕过授权验证 123
10.2.3 密码找回逻辑漏洞 124
10.2.4 支付逻辑漏洞 127
10.2.5 指定账户恶意攻击 128
10.3 URL跳转与钓鱼 128
10.4 实战操作 131
第11章 暴力破解 133
11.1 暴力破解介绍 133
11.2 Burp Suite 介绍 133
11.2.1 Proxy 133
11.2.2 Intruder 136
11.3 暴力破解案例 138
11.4 实战操作 145
第12章 旁注攻击 150
12.1 IP逆向查询 150
12.2 目录越权 151
12.3 实战操作 152
第13章 提权 153
13.1 获取系统权限 155
13.2 实战操作 168
第4篇 Web安全实战演练 169
第14章 攻击全过程 169
14.1 信息搜集 169
14.2 漏洞扫描 172
14.3 手工测试 173
14.4 漏洞利用及getshell 181
14.5 提权 182
第5篇 日常安全意识 187
第15章 社会工程学 187
15.1 信息搜集 187
15.2 实战操作 191
第16章 电信诈骗手段还原 197
16.1 钓鱼技术 197
16.2 改号软件 203
16.3 猫池技术 205
第17章 IP溯源技术及标准化 213
17.1 网络攻击模型 213
17.2 追踪溯源技术 214
17.3 实战操作 219
第1篇 Web安全基础介绍 1
第1章 Web安全简介 1
1.1 最新安全事件(视频介绍) 1
1.2 黑客、白客、灰客 2
1.3 网站入侵的途径 2
1.4 实战演练(网站入侵) 4
1.5 如何学好Web安全 9
第2章 Web安全基础知识介绍 11
2.1 Web架构介绍 11
2.1.1 ASP 11
2.1.2 PHP 12
2.1.3 JSP 14
2.2 HTTP协议介绍 15
2.2.1 GET请求 17
2.2.2 POST请求 17
2.2.3 其他HTTP请求 18
2.3 实战操作 19
第2篇 Web安全测试方法 23
第3章 信息探测 23
3.1 Google Hacking 23
3.1.1 搜集子域名 23
3.1.2 搜集Web信息 24
3.2 Nmap Scanning 28
3.2.1 安装Nmap 28
3.2.2 探测主机信息 33
3.3 实战操作 36
第4章 Web漏洞检测工具简介 37
4.1 AWVS 介绍 37
4.1.1 WVS向导扫描 37
4.1.2 Web扫描服务 40
4.2 AppScan介绍 43
4.2.1 使用AppScan扫描 43
4.2.2 处理结果 48
第3篇 Web常见漏洞介绍 50
第5章 SQL注入漏洞 50
5.1 SQL注入原理 50
5.2 注入漏洞分类 52
5.2.1 数字型注入 52
5.2.2 字符型注入 54
5.3 注入工具 54
5.3.1 Sqlmap 54
5.3.2 Pangolin 57
5.4 实战操作 63
第6章 上传漏洞 64
6.1 直接上传漏洞 64
6.2 中间件解析漏洞 66
6.2.1 IIS解析漏洞 66
6.2.2 Apache解析漏洞 68
6.2.3 Nginx解析漏洞 69
6.3 绕过上传漏洞 70
6.3.1 客户端检测 70
6.3.2 服务器端检测 71
6.4 实战操作 74
第7章 XSS跨站脚本漏洞 75
7.1 XSS原理解析 75
7.2 XSS类型 76
7.2.1 反射型XSS 76
7.2.2 存储型XSS 77
7.3 实战操作 79
第8章 命令执行漏洞 82
8.1 命令执行漏洞示例 82
8.2 命令执行模型 89
8.3 框架执行漏洞 94
8.3.1 Struts2代码执行漏洞 96
8.3.2 java反序列化代码执行漏洞 101
8.4 实战操作 103
第9章 文件包含漏洞 110
9.1 包含漏洞原理解析 110
9.1.1 本地文件包含 111
9.1.2 远程文件包含 112
9.2 实战操作 117
第10章 其他漏洞(简单介绍) 120
10.1 CSRF 介绍 120
10.2 逻辑错误漏洞介绍 122
10.2.1 挖掘逻辑漏洞 122
10.2.2 绕过授权验证 123
10.2.3 密码找回逻辑漏洞 124
10.2.4 支付逻辑漏洞 127
10.2.5 指定账户恶意攻击 128
10.3 URL跳转与钓鱼 128
10.4 实战操作 131
第11章 暴力破解 133
11.1 暴力破解介绍 133
11.2 Burp Suite 介绍 133
11.2.1 Proxy 133
11.2.2 Intruder 136
11.3 暴力破解案例 138
11.4 实战操作 145
第12章 旁注攻击 150
12.1 IP逆向查询 150
12.2 目录越权 151
12.3 实战操作 152
第13章 提权 153
13.1 获取系统权限 155
13.2 实战操作 168
第4篇 Web安全实战演练 169
第14章 攻击全过程 169
14.1 信息搜集 169
14.2 漏洞扫描 172
14.3 手工测试 173
14.4 漏洞利用及getshell 181
14.5 提权 182
第5篇 日常安全意识 187
第15章 社会工程学 187
15.1 信息搜集 187
15.2 实战操作 191
第16章 电信诈骗手段还原 197
16.1 钓鱼技术 197
16.2 改号软件 203
16.3 猫池技术 205
第17章 IP溯源技术及标准化 213
17.1 网络攻击模型 213
17.2 追踪溯源技术 214
17.3 实战操作 219
猜您喜欢
