本書介紹了 Web 中高危漏洞的形成原理���、利用方法、加固和防御方法��。全書共 11 個(gè)項(xiàng)目����,項(xiàng)目一和項(xiàng)目二為 Web 信息安全基礎(chǔ)知識與法律法規(guī),主要論述了當(dāng)前的信息安全狀況�����、存在的問題��。項(xiàng)目三~項(xiàng)目十主要介紹了命令注入��、文件上傳���、SQL 注入�����、SQL 盲注�����、暴力破解�����、文件包含��、XSS����、CSRF 攻擊與防御等漏洞原理����、利用方法與針對性加固方法。項(xiàng)目十一為代碼審計(jì)��,主要分析了代碼審計(jì)的必要性�、代碼審計(jì)的方法,以及代碼審計(jì)的案例�����。本書既可以作為高等職業(yè)院校計(jì)算機(jī)網(wǎng)絡(luò)與信息安全等相關(guān)專業(yè)的教材,也可以作為信息安全從業(yè)人員的學(xué)習(xí)指導(dǎo)用書�����。
王德鵬����,2018年獲得注冊信息安全工程師(cisp-cise),2008年8月至今就職于蘇州市職業(yè)大學(xué)�����,先后擔(dān)任計(jì)算機(jī)語言c�、計(jì)算機(jī)語言C#、計(jì)算機(jī)語言java���、計(jì)算機(jī)語言python���、計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)、網(wǎng)絡(luò)安全��、網(wǎng)絡(luò)安全實(shí)戰(zhàn)運(yùn)維����、web安全滲透技術(shù)及應(yīng)用等的專業(yè)核心課程授課任務(wù)�����。從2015年至今每年都被評為教學(xué)質(zhì)量優(yōu)秀��。2017年參編《網(wǎng)路安全技術(shù)實(shí)用教程(第三版)》����、2019年主編《web安全基礎(chǔ)滲透與防護(hù)》��、2024年參編《物聯(lián)網(wǎng)應(yīng)用技術(shù)概論第2版》等教材��。參與 BP神經(jīng)網(wǎng)絡(luò)在高職高專學(xué)生職業(yè)生涯專家系統(tǒng)中國的應(yīng)用研究���、績效考核業(yè)績分配管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)、E-learning在工學(xué)交替中的應(yīng)用研究��;主持信息安全課程教學(xué)系統(tǒng)研究等項(xiàng)目����。從2014年開始指導(dǎo)學(xué)生參加信息安全方面比賽,在江蘇省職業(yè)院校技能大賽信息安全管理與評估賽項(xiàng)中獲得一等獎(jiǎng)一次�、二等獎(jiǎng)三次、其余年份為三等獎(jiǎng)�。在“領(lǐng)航杯”中獲得二等獎(jiǎng)一次�����,三等獎(jiǎng)多次��,在“金磚”����、“一帶一路”�����、“羊城杯”���、“網(wǎng)鼎杯”���、“強(qiáng)網(wǎng)杯”的信息安全賽項(xiàng)中都有所成績。在江蘇省職業(yè)院校技能大賽司法技術(shù)賽項(xiàng)中獲得一等獎(jiǎng)一次��、二等獎(jiǎng)一次�����。2025為江蘇省技能大賽網(wǎng)絡(luò)建設(shè)與運(yùn)維賽項(xiàng)裁判員����。2022�����、2023�����、2024��、2025四年被“中共蘇州市委網(wǎng)絡(luò)安全和信息化委員會辦公室”特聘為蘇州市網(wǎng)絡(luò)安全志愿講師��。2025年成為國家安全教育講師團(tuán)成員。2024年深信服攻防對抗����、深育杯中被評為優(yōu)秀指導(dǎo)教師。
項(xiàng)目一 認(rèn)識Web安全基礎(chǔ) 1
1.1 當(dāng)前 Web 安全形勢 1
1.2 Web 安全防御技術(shù) 5
1.3 Web 安全發(fā)展趨勢 8
項(xiàng)目二 熟悉信息安全法律法規(guī) 11
2.1 信息安全相關(guān)法律法規(guī) 11
2.2 案例分析 16
項(xiàng)目三 命令注入攻擊與防御 20
學(xué)習(xí)目標(biāo) 20
項(xiàng)目描述 21
項(xiàng)目分析 21
項(xiàng)目相關(guān)知識點(diǎn) 22
項(xiàng)目實(shí)施 26
3.1 實(shí)驗(yàn)環(huán)境 26
3.2 命令注入攻擊原理分析 27
3.3 利用命令注入漏洞獲取信息 30
3.4 命令注入攻擊方法分析 34
3.5 防御命令注入攻擊 38
項(xiàng)目小結(jié) 42
同步練習(xí) 43
實(shí)訓(xùn)任務(wù) 44
項(xiàng)目四 文件上傳攻擊與防御 46
學(xué)習(xí)目標(biāo) 46
項(xiàng)目描述 47
項(xiàng)目分析 47
項(xiàng)目相關(guān)知識點(diǎn) 48
項(xiàng)目實(shí)施 55
4.1 實(shí)驗(yàn)環(huán)境 55
4.2 文件上傳攻擊原理分析 55
4.3 上傳木馬獲取控制權(quán) 62
4.4 文件上傳攻擊方法 67
4.5 文件上傳攻擊防御方法 69
項(xiàng)目小結(jié) 72
同步練習(xí) 73
實(shí)訓(xùn)任務(wù) 74
項(xiàng)目五 SQL注入攻擊與防御 75
學(xué)習(xí)目標(biāo) 75
項(xiàng)目描述 76
項(xiàng)目分析 76
項(xiàng)目相關(guān)知識點(diǎn) 77
項(xiàng)目實(shí)施 93
5.1 實(shí)驗(yàn)環(huán)境 93
5.2 SQL 注入攻擊原理分析 93
5.3 文本框輸入的 SQL 注入方法 99
5.4 非文本框輸入的 SQL 注入方法 105
5.5 固定提示信息的滲透方法 113
5.6 利用 SQL 注入漏洞對文件進(jìn)行讀/寫 115
5.7 利用 sqlmap 完成 SQL 注入 118
5.8 防御 SQL 注入攻擊 122
項(xiàng)目小結(jié) 127
同步練習(xí) 128
實(shí)訓(xùn)任務(wù) 129
項(xiàng)目六 SQL盲注攻擊與防御 130
學(xué)習(xí)目標(biāo) 130
項(xiàng)目描述 131
項(xiàng)目分析 131
項(xiàng)目相關(guān)知識點(diǎn) 132
項(xiàng)目實(shí)施 135
6.1 實(shí)驗(yàn)環(huán)境 135
6.2 基于布爾值的字符注入 136
6.3 基于布爾值的字節(jié)注入 142
6.4 基于時(shí)間的注入 144
6.5 非文本框輸入的 SQL 盲注 150
6.6 固定提示信息的 SQL 盲注 160
6.7 利用 Burp Suite 暴力破解 SQL 盲注 162
6.8 SQL 盲注攻擊的防御 171
項(xiàng)目小結(jié) 174
同步練習(xí) 175
實(shí)訓(xùn)任務(wù) 177
項(xiàng)目七 暴力破解攻擊與防御 178
學(xué)習(xí)目標(biāo) 178
項(xiàng)目描述 179
項(xiàng)目分析 179
項(xiàng)目相關(guān)知識點(diǎn) 180
項(xiàng)目實(shí)施 184
7.1 實(shí)驗(yàn)環(huán)境 184
7.2 利用萬能密碼進(jìn)行暴力破解攻擊 184
7.3 利用 Burp Suite 進(jìn)行暴力破解攻擊 189
7.4 在中等���、高等安全級別下實(shí)施暴力破解攻擊 192
7.5 利用 Bruter 實(shí)施暴力破解攻擊 199
7.6 利用 Hydra 實(shí)施暴力破解攻擊 201
項(xiàng)目小結(jié) 204
同步練習(xí) 204
實(shí)訓(xùn)任務(wù) 206
項(xiàng)目八 文件包含攻擊與防御 207
學(xué)習(xí)目標(biāo) 207
項(xiàng)目描述 208
項(xiàng)目分析 208
項(xiàng)目相關(guān)知識點(diǎn) 209
項(xiàng)目實(shí)施 213
8.1 實(shí)驗(yàn)環(huán)境 213
8.2 文件包含漏洞原理分析 213
8.3 文件包含攻擊 219
8.4 文件包含漏洞的繞過 221
8.5 文件包含漏洞的應(yīng)用 224
8.6 文件包含攻擊的防御 225
項(xiàng)目小結(jié) 227
同步練習(xí) 228
實(shí)訓(xùn)任務(wù) 229
項(xiàng)目九 XSS攻擊與防御 230
學(xué)習(xí)目標(biāo) 230
項(xiàng)目描述 231
項(xiàng)目分析 231
項(xiàng)目相關(guān)知識點(diǎn) 232
項(xiàng)目實(shí)施 239
9.1 實(shí)驗(yàn)環(huán)境 239
9.2 XSS 攻擊原理分析 239
9.3 反射型 XSS 攻擊 243
9.4 存儲型 XSS 攻擊 243
9.5 利用 Cookie 完成 Session 劫持 244
9.6 XSS 釣魚攻擊 246
9.7 防御 XSS 攻擊 249
項(xiàng)目小結(jié) 252
同步練習(xí) 253
實(shí)訓(xùn)任務(wù) 254
項(xiàng)目十 CSRF攻擊與防御 255
學(xué)習(xí)目標(biāo) 255
項(xiàng)目描述 256
項(xiàng)目分析 256
項(xiàng)目相關(guān)知識點(diǎn) 257
項(xiàng)目實(shí)施 263
10.1 實(shí)驗(yàn)環(huán)境 263
10.2 CSRF 攻擊原理分析 263
10.3 顯性與隱性攻擊 267
10.4 模擬銀行轉(zhuǎn)賬攻擊 269
10.5 防御 CSRF 攻擊 274
項(xiàng)目小結(jié) 278
同步練習(xí) 279
實(shí)訓(xùn)任務(wù) 280
項(xiàng)目十一 代碼審計(jì) 281
11.1 代碼審計(jì)概述 281
11.2 常見代碼審計(jì)方法 282
11.3 代碼審計(jì)具體案例 283
