本書介紹了 Web 中高危漏洞的形成原理、利用方法�、加固和防御方法。全書共 11 個項目�,項目一和項目二為 Web 信息安全基礎(chǔ)知識與法律法規(guī),主要論述了當前的信息安全狀況�����、存在的問題�����。項目三~項目十主要介紹了命令注入�����、文件上傳�、SQL 注入、SQL 盲注�、暴力破解、文件包含�����、XSS、CSRF 攻擊與防御等漏洞原理�����、利用方法與針對性加固方法�����。項目十一為代碼審計�,主要分析了代碼審計的必要性�、代碼審計的方法,以及代碼審計的案例�����。本書既可以作為高等職業(yè)院校計算機網(wǎng)絡(luò)與信息安全等相關(guān)專業(yè)的教材�,也可以作為信息安全從業(yè)人員的學習指導用書。
王德鵬�,2018年獲得注冊信息安全工程師(cisp-cise),2008年8月至今就職于蘇州市職業(yè)大學�����,先后擔任計算機語言c�、計算機語言C#�����、計算機語言java�、計算機語言python�、計算機網(wǎng)絡(luò)基礎(chǔ)、網(wǎng)絡(luò)安全�、網(wǎng)絡(luò)安全實戰(zhàn)運維、web安全滲透技術(shù)及應(yīng)用等的專業(yè)核心課程授課任務(wù)�����。從2015年至今每年都被評為教學質(zhì)量優(yōu)秀�����。2017年參編《網(wǎng)路安全技術(shù)實用教程(第三版)》�����、2019年主編《web安全基礎(chǔ)滲透與防護》�、2024年參編《物聯(lián)網(wǎng)應(yīng)用技術(shù)概論第2版》等教材。參與 BP神經(jīng)網(wǎng)絡(luò)在高職高專學生職業(yè)生涯專家系統(tǒng)中國的應(yīng)用研究�、績效考核業(yè)績分配管理系統(tǒng)的設(shè)計與實現(xiàn)、E-learning在工學交替中的應(yīng)用研究�;主持信息安全課程教學系統(tǒng)研究等項目�。從2014年開始指導學生參加信息安全方面比賽�����,在江蘇省職業(yè)院校技能大賽信息安全管理與評估賽項中獲得一等獎一次�����、二等獎三次�、其余年份為三等獎。在“領(lǐng)航杯”中獲得二等獎一次�,三等獎多次,在“金磚”�、“一帶一路”�、“羊城杯”、“網(wǎng)鼎杯”�、“強網(wǎng)杯”的信息安全賽項中都有所成績。在江蘇省職業(yè)院校技能大賽司法技術(shù)賽項中獲得一等獎一次�、二等獎一次。2025為江蘇省技能大賽網(wǎng)絡(luò)建設(shè)與運維賽項裁判員�����。2022�、2023�����、2024�����、2025四年被“中共蘇州市委網(wǎng)絡(luò)安全和信息化委員會辦公室”特聘為蘇州市網(wǎng)絡(luò)安全志愿講師�����。2025年成為國家安全教育講師團成員�����。2024年深信服攻防對抗�、深育杯中被評為優(yōu)秀指導教師�����。
項目一 認識Web安全基礎(chǔ) 1
1.1 當前 Web 安全形勢 1
1.2 Web 安全防御技術(shù) 5
1.3 Web 安全發(fā)展趨勢 8
項目二 熟悉信息安全法律法規(guī) 11
2.1 信息安全相關(guān)法律法規(guī) 11
2.2 案例分析 16
項目三 命令注入攻擊與防御 20
學習目標 20
項目描述 21
項目分析 21
項目相關(guān)知識點 22
項目實施 26
3.1 實驗環(huán)境 26
3.2 命令注入攻擊原理分析 27
3.3 利用命令注入漏洞獲取信息 30
3.4 命令注入攻擊方法分析 34
3.5 防御命令注入攻擊 38
項目小結(jié) 42
同步練習 43
實訓任務(wù) 44
項目四 文件上傳攻擊與防御 46
學習目標 46
項目描述 47
項目分析 47
項目相關(guān)知識點 48
項目實施 55
4.1 實驗環(huán)境 55
4.2 文件上傳攻擊原理分析 55
4.3 上傳木馬獲取控制權(quán) 62
4.4 文件上傳攻擊方法 67
4.5 文件上傳攻擊防御方法 69
項目小結(jié) 72
同步練習 73
實訓任務(wù) 74
項目五 SQL注入攻擊與防御 75
學習目標 75
項目描述 76
項目分析 76
項目相關(guān)知識點 77
項目實施 93
5.1 實驗環(huán)境 93
5.2 SQL 注入攻擊原理分析 93
5.3 文本框輸入的 SQL 注入方法 99
5.4 非文本框輸入的 SQL 注入方法 105
5.5 固定提示信息的滲透方法 113
5.6 利用 SQL 注入漏洞對文件進行讀/寫 115
5.7 利用 sqlmap 完成 SQL 注入 118
5.8 防御 SQL 注入攻擊 122
項目小結(jié) 127
同步練習 128
實訓任務(wù) 129
項目六 SQL盲注攻擊與防御 130
學習目標 130
項目描述 131
項目分析 131
項目相關(guān)知識點 132
項目實施 135
6.1 實驗環(huán)境 135
6.2 基于布爾值的字符注入 136
6.3 基于布爾值的字節(jié)注入 142
6.4 基于時間的注入 144
6.5 非文本框輸入的 SQL 盲注 150
6.6 固定提示信息的 SQL 盲注 160
6.7 利用 Burp Suite 暴力破解 SQL 盲注 162
6.8 SQL 盲注攻擊的防御 171
項目小結(jié) 174
同步練習 175
實訓任務(wù) 177
項目七 暴力破解攻擊與防御 178
學習目標 178
項目描述 179
項目分析 179
項目相關(guān)知識點 180
項目實施 184
7.1 實驗環(huán)境 184
7.2 利用萬能密碼進行暴力破解攻擊 184
7.3 利用 Burp Suite 進行暴力破解攻擊 189
7.4 在中等�����、高等安全級別下實施暴力破解攻擊 192
7.5 利用 Bruter 實施暴力破解攻擊 199
7.6 利用 Hydra 實施暴力破解攻擊 201
項目小結(jié) 204
同步練習 204
實訓任務(wù) 206
項目八 文件包含攻擊與防御 207
學習目標 207
項目描述 208
項目分析 208
項目相關(guān)知識點 209
項目實施 213
8.1 實驗環(huán)境 213
8.2 文件包含漏洞原理分析 213
8.3 文件包含攻擊 219
8.4 文件包含漏洞的繞過 221
8.5 文件包含漏洞的應(yīng)用 224
8.6 文件包含攻擊的防御 225
項目小結(jié) 227
同步練習 228
實訓任務(wù) 229
項目九 XSS攻擊與防御 230
學習目標 230
項目描述 231
項目分析 231
項目相關(guān)知識點 232
項目實施 239
9.1 實驗環(huán)境 239
9.2 XSS 攻擊原理分析 239
9.3 反射型 XSS 攻擊 243
9.4 存儲型 XSS 攻擊 243
9.5 利用 Cookie 完成 Session 劫持 244
9.6 XSS 釣魚攻擊 246
9.7 防御 XSS 攻擊 249
項目小結(jié) 252
同步練習 253
實訓任務(wù) 254
項目十 CSRF攻擊與防御 255
學習目標 255
項目描述 256
項目分析 256
項目相關(guān)知識點 257
項目實施 263
10.1 實驗環(huán)境 263
10.2 CSRF 攻擊原理分析 263
10.3 顯性與隱性攻擊 267
10.4 模擬銀行轉(zhuǎn)賬攻擊 269
10.5 防御 CSRF 攻擊 274
項目小結(jié) 278
同步練習 279
實訓任務(wù) 280
項目十一 代碼審計 281
11.1 代碼審計概述 281
11.2 常見代碼審計方法 282
11.3 代碼審計具體案例 283
