 |
-- 會員 / 註冊 --
|
 |
|
|
|
Web基礎滲透與防護 ( 簡體 字) |
| 作者:王德鵬,譚方勇 | 類別:1. -> 安全 -> 網路安全 -> 駭客攻擊與入侵 |
| 譯者: |
| 出版社:電子工業出版社 |  3dWoo書號: 51572
詢問書籍請說出此書號!【缺書】
NT售價: 235 元 |
| 出版日:7/1/2019 |
| 頁數:220 |
| 光碟數:0 |
|
站長推薦:   |
| 印刷:黑白印刷 | 語系: ( 簡體 版 ) |
| |
加入購物車  │加到我的最愛
(請先登入會員) |
| ISBN:9787121354281 |
| 作者序 | 譯者序 | 前言 | 內容簡介 | 目錄 | 序 |
| (簡體書上所述之下載連結耗時費功, 恕不適用在台灣, 若讀者需要請自行嘗試, 恕不保證) |
| 作者序: |
| 譯者序: |
前言: Web信息安全是網絡安全,或者說是習近平同志提出的網絡空間安全的一個重要組成部分,也是與用戶直觀交互最多的一個組成部分。為了提高民眾的網絡安全意識,需要開展網絡安全知識教育。網絡安全是一個大環境,包含通信設備、安全設備、服務器設備、各種應用軟件等方方面面的知識與技術。Web信息安全對普通大眾來說,是在網絡應用層次上的,與自身關系密切。
在網絡空間安全提出之前,從事網絡安全工作的人員,都是專業的技術人員,大多從高級程序員、設備驅動程序開發人員轉換而來,具有豐富、扎實的軟件開發、網絡編程等技術知識。因此,目前涉及網絡安全基礎知識的書籍較少,學生學習網絡安全基礎知識的入門教材更是難尋。為了方便計算機專業的學生學習Web信息安全的基礎知識,以及信息安全愛好人員學習網絡安全知識,主編團隊特編寫了本書。
本書以任務驅動的項目式教學作為編寫思路,注重Web信息安全的理論知識和實際項目相結合,具有很強的可操作性,每個項目分為項目描述、項目分析、項目小結、項目訓練和實訓任務幾個模塊,既給出了完成項目所需要學習的目標和主要任務,也給出了完成項目所需要的理論知識。本書主要講解了在Web信息安全中常見的漏洞攻擊方法的基本原理與針對性的防御方法。本書針對OWASP每年公布利用率與危害性的TOP10中的Web滲透方法,主要分析了命令注入、文件上傳、SQL注入與盲注、暴力破解、文件保護、XSS跨站、CSRF等的方法,結合主流的hacker實驗平臺DVWA,分析原理、利用方法、加固措施等。Web信息安全是一把雙刃劍,在理解攻擊原理后,可以針對性地設計加固與防御方案,同時也可以根據原理設計新的攻擊方式,因此信息安全從業人員需要守住自己的底線。為了加強安全意識,本書利用一章的篇幅講解信息安全方面的規章制度與法律法規。為了加強防御方法,本書最后分析了代碼審計對軟件的必要性。
編者根據多年從事網絡安全專業教學的經驗,以及多年參與高職院校技能大賽信息安全與評估賽項的技術積累,根據一線信息安全專家的建議,完成了本書的編寫工作。在編寫過程中得到了江蘇天創科技有限公司的大力支持,該公司主要從事網絡安全方面的工作,與蘇州市政府具有廣泛的合作。編者以該公司豐富的實戰案例作為依據,對本書的內容方面進行了編寫。
本書由蘇州市職業大學的王德鵬、譚方勇任主編,蘇州市職業大學劉剛、江蘇天創科技有限公司張洪璇任副主編,蘇州市職業大學高小惠、姒茂新等教師任參編。
由于時間倉促,書中難免存在疏漏和不妥之處,敬請讀者批評指正。
編 者
2019年4月 |
內容簡介:本書是針對高職學生信息安全專業學生,在學習信息安全方面中web安全方面的基礎知識。本書采用目前流行的web滲透開源平臺DVWA為實驗平臺,詳細講解分析流行的web滲透與防護方法。 |
目錄:第1章 Web信息安全基礎 1
1.1 當前Web信息安全形勢 1
1.2 Web安全防護技術 4
第2章 信息安全法律法規 8
2.1 信息安全法律法規 8
2.2 案例分析 10
第3章 命令注入攻擊與防御 13
3.1 項目描述 13
3.2 項目分析 13
3.3 項目小結 19
3.4 項目訓練 20
3.4.1 實驗環境 20
3.4.2 命令注入攻擊原理分析 20
3.4.3 利用命令注入獲取信息 24
3.4.4 命令注入漏洞攻擊方法 27
3.4.5 防御命令注入攻擊 31
3.5 實訓任務 34
第4章 文件上傳攻擊與防御 35
4.1 項目描述 35
4.2 項目分析 35
4.3 項目小結 41
4.4 項目訓練 42
4.4.1 實驗環境 42
4.4.2 文件上傳漏洞原理分析 42
4.4.3 上傳木馬獲取控制權 48
4.4.4 文件上傳漏洞攻擊方法 52
4.4.5 文件上傳漏洞防御方法 54
4.5 實訓任務 56
第5章 SQL注入攻擊與防御 57
5.1 項目描述 57
5.2 項目分析 57
5.3 項目小結 71
5.4 項目訓練 72
5.4.1 實驗環境 72
5.4.2 SQL注入攻擊原理分析 72
5.4.3 文本框輸入的SQL注入方法 77
5.4.4 非文本框輸入的SQL注入方法 82
5.4.5 固定提示信息的滲透方法 89
5.4.6 利用SQL注入漏洞對文件進行讀寫 92
5.4.7 利用sqlmap完成SQL注入 94
5.4.8 防范SQL注入 98
5.5 實訓任務 102
第6章 SQL盲注攻擊與防御 103
6.1 項目描述 103
6.2 項目分析 103
6.3 項目小結 107
6.4 項目訓練 107
6.4.1 實驗環境 107
6.4.2 基于布爾值的字符注入原理 107
6.4.3 基于布爾值的字節注入原理 113
6.4.4 基于時間的注入原理 115
6.4.5 非文本框輸入的SQL盲注方法 120
6.4.6 固定提示信息的SQL盲注方法 128
6.4.7 利用Burp Suite暴力破解SQL盲注 130
6.4.8 SQL盲注防御方法 138
6.5 實訓任務 140
第7章 暴力破解攻擊與防御 141
7.1 項目描述 141
7.2 項目分析 141
7.3 項目小結 145
7.4 項目訓練 145
7.4.1 實驗環境 145
7.4.2 利用萬能密碼進行暴力破解 145
7.4.3 利用Burp Suite進行暴力破解 150
7.4.4 在中、高等安全級別下實施暴力破解 153
7.4.5 利用Bruter實施暴力破解 156
7.4.6 利用Hydra實施暴力破解 159
7.5 實訓任務 161
第8章 文件包含攻擊與防御 162
8.1 項目描述 162
8.2 項目分析 162
8.3 項目小結 166
8.4 項目訓練 166
8.4.1 實驗環境 166
8.4.2 文件包含漏洞原理 166
8.4.3 文件包含漏洞攻擊方法 171
8.4.4 繞過防御方法 173
8.4.5 文件包含漏洞的幾種應用方法 176
8.4.6 文件包含漏洞的防御方法 177
8.5 實訓任務 178
第9章 XSS攻擊與防御 179
9.1 項目描述 179
9.2 項目分析 179
9.3 項目小結 185
9.4 項目訓練 186
9.4.1 實驗環境 186
9.4.2 XSS攻擊原理 186
9.4.3 反射型XSS攻擊方法 189
9.4.4 存儲型XSS攻擊方法 190
9.4.5 利用Cookie完成Session劫持 190
9.4.6 XSS釣魚攻擊 192
9.4.7 防范XSS攻擊 195
9.5 實訓任務 198
第10章 CSRF攻擊與防御 199
10.1 項目描述 199
10.2 項目分析 199
10.3 項目小結 204
10.4 項目訓練 205
10.4.1 實驗環境 205
10.4.2 CSRF攻擊原理 205
10.4.3 顯性與隱性攻擊方式 208
10.4.4 模擬銀行轉賬攻擊 211
10.4.5 防范CSRF攻擊 215
10.5 實訓任務 219
第11章 代碼審計 220
11.1 代碼審計概述 220
11.2 常見代碼審計方法 221
11.3 代碼審計具體案例 222
參考文獻 223 |
| 序: |
|
