Web應用安全
喬治錫 馮軍軍 黃章清
相關主題
商品描述
本書是一本關於Web應用安全的實用教材,旨在幫助讀者深入瞭解Web應用安全的核心概念和方法,以便有效地發現和防範Web應用漏洞和風險。
本書分為四篇,共22章,先介紹Web安全環境的搭建,再詳細講解各種Web安全工具,包括輕量級代碼編輯器、瀏覽器代理插件、Burp Suite工具和木馬連接工具,接著剖析多種Web應用安全漏洞及其常見的漏洞利用方式,最後基於兩個真實的Web應用安全漏洞挖掘實戰項目,幫助讀者鞏固對Web應用安全漏洞的理解,並拓展讀者的Web應用安全測試的思路。本書以任務的形式呈現,易於理解和操作。通過閱讀本書,讀者能夠全面瞭解Web應用安全,提升網絡安全技能。
本書適合作為高等院校網絡空間安全、信息安全和網絡工程等相關專業的教材,也適合作為網絡安全從業人員和研究人員的參考書。
作者簡介
乔治锡,现任四川信息职业技术学院网通学院院长。具有10余年网络技术及网络安全技术工作经历,主持或参与多项精品在线课程建设。
冯军军,现任四川信息职业技术学院教师。曾参与省级精品课程和国家资源库建设。擅长渗透测试和Web安全,活跃于多个漏洞报告平台,报告过多个CNVD漏洞。持有CISP-PTE证书,曾获第二届全国工业和信息化技能技术大赛工业互联网安全赛项职工组三等奖。
黄章清,杭州安恒信息技术股份有限公司资深安全培训工程师。长期专注于追踪与研究新的网络安全威胁、攻击技术以及防御策略,曾在国家、省、市级别的网络安全演习和模拟攻击活动中担任裁判、红队选手及研判分析师。将个人的一线实战技能和经验提炼总结,制作Web应用安全、渗透测试技术、Python安全开发等课程。
蓝大朝,现任安恒信息网络安全培训工程师,擅长讲授网络攻防技术、应急响应、安全加固等方面的课程。曾参与过多个网络安全项目,具备扎实的理论基础和实践能力。
王泽儒,现任四川信息职业技术学院专任教师。长期从事信息安全方面的工作,积累了4年多的黑灰对抗经验。
尹禛,现任四川信息职业技术学院信息安全专业教师。长期从事信息安全产品研发和信息安全专业教学等工作,负责网络攻防对抗、异常事件监测预警等项目,主讲Web安全、计算机取证技术等多门课程。持有国家统一法律职业资格证书(A证)。
目錄大綱
第 一篇 Web安全環境搭建
第 1章 VMware的安裝 3
1.1 工作任務 4
1.2 歸納總結 5
1.3 提高拓展 6
1.4 練習實訓 6
第 2章 基礎鏡像的安裝 7
2.1 工作任務 7
2.2 歸納總結 13
2.3 提高拓展 13
2.4 練習實訓 14
第3章 測試環境的搭建 15
3.1 工作任務 15
3.2 歸納總結 19
3.3 提高拓展 19
3.4 練習實訓 20
第二篇 Web安全工具使用
第4章 輕量級代碼編輯器的使用 23
4.1 任務一:Sublime Text編輯器的使用 23
4.2 任務二:Visual Studio Code編輯器的使用 27
第5章 瀏覽器代理插件的使用 34
5.1 任務一:HackBar插件的使用 34
5.2 任務二:SwitchyOmega插件的使用 38
第6章 Burp Suite工具的使用 42
6.1 任務一:Proxy模塊的使用 42
6.2 任務二:Intruder模塊的使用 47
6.3 任務三:Repeater模塊的使用 54
第7章 木馬連接工具的使用 60
7.1 任務一:蟻劍工具的使用 60
7.2 任務二:Behinder工具的使用 66
第三篇 Web應用安全漏洞剖析
第8章 身份認證攻擊漏洞 73
8.1 任務一:基礎登錄漏洞利用 73
8.2 任務二:登錄重放漏洞利用 77
8.3 任務三:Basic認證漏洞利用 80
8.4 任務四:AES認證攻擊利用 86
第9章 跨站腳本攻擊漏洞 93
9.1 任務一:反射型XSS漏洞利用 93
9.2 任務二:DOM型XSS漏洞利用 105
9.3 任務三:存儲型XSS漏洞利用 108
9.4 任務四:BlueLotus_XSS工具的使用 111
第 10章 跨站請求偽造漏洞 116
10.1 任務一:GET型CSRF漏洞利用 116
10.2 任務二:POST型CSRF漏洞利用 120
10.3 任務三:CSRF漏洞繞過 125
第 11章 文件上傳漏洞 131
11.1 任務一:基礎文件上傳漏洞利用 131
11.2 任務二:文件上傳前端JS檢測繞過 135
11.3 任務三:文件上傳MIME類型檢測繞過 139
11.4 任務四:文件上傳黑名單檢測繞過 143
11.5 任務五:文件上傳特殊文件繞過 146
11.6 任務六:文件上傳大小寫繞過 150
11.7 任務七:文件上傳Windows特殊符號繞過 152
11.8 任務八:文件上傳雙寫繞過 160
11.9 任務九:文件上傳截斷繞過 163
11.10 任務十:文件上傳圖片木馬繞過 168
11.11 任務十一:文件上傳二次渲染繞過 174
11.12 任務十二:文件上傳條件競爭繞過 178
第 12章 文件包含漏洞 184
12.1 任務一:本地文件包含漏洞利用 184
12.2 任務二:遠程文件包含漏洞利用 193
12.3 任務三:文件包含漏洞繞過 197
第 13章 文件下載漏洞 202
13.1 任務一:文件下載漏洞利用 202
13.2 任務二:文件下載漏洞繞過 205
第 14章 SQL註入漏洞 211
14.1 任務一:萬能密碼登錄 211
14.2 任務二:聯合查詢註入利用 213
14.3 任務三:報錯註入利用 219
14.4 任務四:布爾盲註利用 222
14.5 任務五:時間盲註利用 229
14.6 任務六:利用sqlmap工具獲取數據庫數據 231
14.7 任務七:SQL註入漏洞繞過 235
第 15章 代碼執行漏洞 242
15.1 任務一:基礎代碼執行漏洞利用 242
15.2 任務二:create_function漏洞利用 246
15.3 任務三:代碼執行漏洞繞過 248
第 16章 命令執行漏洞 252
16.1 任務一:基礎命令執行漏洞利用 252
16.2 任務二:命令執行漏洞繞過 258
第 17章 PHP反序列化漏洞 261
17.1 任務一:PHP反序列化漏洞利用 261
17.2 任務二:Phar反序列化漏洞利用 271
17.3 任務三:Session反序列化漏洞利用 275
第 18章 服務器端請求偽造漏洞 279
18.1 任務一:SSRF漏洞利用 279
18.2 任務二:SSRF漏洞攻擊內網Redis服務 292
第 19章 XML外部實體註入漏洞 296
19.1 任務一:基礎XXE漏洞利用 296
19.2 任務二:無回顯XXE漏洞利用 299
第 20章 邏輯漏洞 305
20.1 任務一:數據篡改漏洞挖掘 305
20.2 任務二:重放攻擊漏洞挖掘 308
20.3 任務三:越權漏洞挖掘 311
第四篇 漏洞挖掘實戰
第 21章 YXcms v1.4.7漏洞挖掘實戰 319
21.1 工作任務 320
21.2 歸納總結 329
21.3 提高拓展 330
21.4 練習實訓 332
第 22章 FeiFeiCms v3.3.1漏洞挖掘實戰 333
22.1 工作任務 333
22.2 歸納總結 340
22.3 提高拓展 340
22.4 練習實訓 342
