Web应用安全与防护（微课版）-图书-人邮教育社区

内容摘要

教材践行“以学生为中心”的教学理念，融入“红客精神”课程思政元素与产教融合机制，贯彻“做中学、学中做”的职教理论，激发学生的学习兴趣和主动性，着重培养学生在Web应用安全领域的实战操作能力，同时注重提升学生的创新思维和问题解决能力。
教材基于开源Web漏洞渗透测试平台DVWA+Pikachu的渗透利用与防护实战，将内容优化为“Web应用安全实践环境搭建+常用安全防护工具使用+典型Web漏洞利用与防护+渗透测试综合实践及报告编写”4个教学情境、10个项目、23个实战任务，按照“项目描述-知识准备-安全课堂-项目实训-项目实施-项目练习”6个环节组织教学，实现学生“知识获取-技能训练-素质养成-价值塑造”4 维融合培养，从原理到实践，从攻到防，由浅入深，循序渐进介绍Web安全体系。
教材可作为高职高专和应用型本科院校信息安全技术应用、计算机网络技术、计算机科学与技术等相关专业的核心课程教材，也可以作为对网络安全感兴趣的渗透测试人员、Web开发人员等的自学参考书。

项目1 Web 应用安全基础............................ 1
1.1 项目描述................................................ 1
1.2 知识准备................................................ 1
1.2.1 网络安全威胁事件....................... 1
1.2.2 常见Web 安全威胁..................... 2
1.2.3 典型Web 应用架构..................... 4
1.2.4 HTTP 协议解析........................... 4
1.3 安全课堂................................................ 8
1.4 项目实训................................................ 9
1.5 项目实施................................................ 9
任务1.5.1 Telnet 模拟HTTP 请求....... 9
任务1.5.2 HTTP 协议分析................. 10
项目小结........................................................ 12
项目练习题................................................... 12
项目2 Web 安全实践环境部署................. 14
2.1 项目描述.............................................. 14
2.2 知识准备.......................................14
2.2.1 开源渗透测试平台：Pikachu.... 14
2.2.2 开源渗透测试平台：DVWA .... 15
2.3 安全课堂.............................................. 16
2.4 项目实训.............................................. 16
2.5 项目实施.............................................. 17
任务2.5.1 Linux 系统部署Pikachu
平台.................................... 17
任务2.5.2 Windows 系统部署DVWA
平台.................................... 19
项目小结........................................................ 22
项目练习题................................................... 22
项目3 常用Web 应用安全工具................ 23
3.1 项目描述.............................................. 23
3.2 知识准备.............................................. 24
3.2.1 端口扫描工具：Nmap............... 24
3.2.2 抓包工具：BurpSuite................. 25
3.2.3 数据包分析工具：Wireshark .... 27
3.2.4 Webshell 管理工具：中国菜刀... 31
3.3 安全课堂.............................................. 32
3.4 项目实训.............................................. 33
3.5 项目实施.............................................. 33
任务3.5.1 使用Nmap 工具收集目标
主机信息............................. 33
任务3.5.2 使用Burpsuite 工具暴力
破解网站密码..................... 35
任务3.5.3 使用Wireshark 工具进行
流量分析........................... 42
任务3.5.4 使用中国菜刀工具进行网站
管理..................................... 45
项目小结........................................................ 47
项目练习题.................................................... 47
项目4 RCE 漏洞利用与防护..................... 49
4.1 项目描述.............................................. 49
4.2 知识准备.............................................. 49
4.2.1 RCE 漏洞介绍............................ 49
4.2.2 系统命令执行漏洞..................... 50
4.2.3 代码执行漏洞............................. 53
4.2.4 RCE 漏洞防御............................ 55
4.3 安全课堂.............................................. 55
4.4 项目实训.............................................. 55
4.5 项目实施.............................................. 56
任务4.5.1 远程命令执行漏洞利用.... 56
任务4.5.2 远程代码执行漏洞利用.... 59
项目小结........................................................ 60
项目练习题................................................... 60
项目5 文件包含漏洞利用与防护............... 62
5.1 项目描述.............................................. 62
5.2 知识准备.............................................. 62
5.2.1 文件包含漏洞概述..................... 62
5.2.2 文件包含漏洞利用..................... 64
5.2.3 文件包含漏洞防御..................... 70
5.3 安全课堂.............................................. 70
5.4 项目实训.............................................. 70
5.5 项目实施.............................................. 71
任务5.5.1 本地文件包含漏洞获取
敏感信息............................ 71
任务5.5.2 远程文件包含漏洞获取
服务器控制权限............... 72
项目小结........................................................ 73
项目练习题................................................... 73
项目6 文件上传漏洞利用与防护............... 75
6.1 项目描述.............................................. 75
6.2 知识准备.............................................. 75
6.2.1 文件上传漏洞概述..................... 75
6.2.2 文件上传漏洞绕过..................... 76
6.2.3 文件上传漏洞防御..................... 80
6.3 安全课堂.............................................. 80
6.4 项目实训.............................................. 80
6.5 项目实施.............................................. 81
任务6.5.1 MIME 类型检测绕过........ 81
任务6.5.2 getimagesize 验证：图片
马绕过............................... 83
项目小结........................................................ 87
项目练习题................................................... 87
项目7 文件下载漏洞利用与防护............... 89
7.1 项目描述.............................................. 89
7.2 知识准备.............................................. 89
7.2.1 文件下载漏洞概述..................... 89
7.2.2 文件下载漏洞利用..................... 90
7.2.3 文件下载漏洞防御..................... 92
7.3 安全课堂.............................................. 92
7.4 项目实训.............................................. 92
7.5 项目实施.............................................. 92
任务7.5.1 文件下载漏洞获取敏感
信息................................... 92
项目小结........................................................ 95
项目练习题.................................................... 95
项目8 SQL 注入漏洞利用与防护............. 97
8.1 项目描述.............................................. 97
8.2 知识准备.............................................. 97
8.2.1 SQL 注入漏洞概述.................... 97
8.2.2 SQL 注入漏洞分类.................... 99
8.2.3 数据库基本操作......................... 99
8.2.3 SQLmap .................................... 103
8.2.4 基于函数报错注入................... 105
8.2.5 盲注.......................................... 105
8.2.6 SQLMap 注入检测工具........... 106
8.2.7 SQL 注入漏洞防御.................. 108
8.3 安全课堂............................................ 109
8.4 项目实训............................................ 109
8.5 项目实施............................................ 110
任务8.5.1 搜索型SQL 注入............ 110
任务8.5.2 元数据注入...................... 112
任务8.5.3 函数报错注入.................. 114
任务8.5.4 SQLMap 工具注入.......... 115
项目小结...................................................... 117
项目练习题.................................................. 118
项目9 XSS 注入漏洞利用与防护........... 120
9.1 项目描述............................................ 120
9.2 知识准备............................................ 120
9.2.1 XSS 漏洞概述.......................... 120
9.2.2 XSS 漏洞分类.......................... 122
9.2.3 XSS 漏洞攻击流程.................. 125
9.2.4 XSS 漏洞防御.......................... 126
9.3 安全课堂............................................ 127
9.4 项目实训............................................ 128
9.5 项目实施............................................ 128
任务9.5.1 XSS 漏洞初探................. 128
任务9.5.2 XSS 漏洞获取Cookie..... 132
项目小结...................................................... 133
项目练习题................................................. 133
项目10 渗透测试综合实践....................... 135
10.1 项目描述......................................... 135
10.2 知识准备.......................................... 135
10.2.1 渗透测试概述......................... 135
10.2.2 渗透测试流程......................... 136
10.2.3 渗透测试报告......................... 138
10.3 安全课堂.......................................... 142
10.4 项目实训.......................................... 142
10.5 项目实施.......................................... 143
任务10.5.1 企业网站管理系统渗透
测试............................... 143
任务10.5.2 文件上传管理系统渗透
测试............................... 147
项目小结...................................................... 152
项目练习题.................................................. 152

读者评论

赶紧抢沙发哦！

我要评论

出版信息

书　　名：Web应用安全与防护（微课版）
执行编辑：本书的内容有任何问题，请联系郭雯
书　　号：978-7-115-66607-9
作　　者： 金京犬，张玉荣，姬翔宇
定　　价：59.80 元
页　　数：250
印刷方式：黑白印刷
开　　本：16开
出版状态：正在审校

作者介绍

金京犬，教授，徽商职业学院，安徽省教学名师、高级双师，拥有网络安全方向CISP,NISI职业资格证书。主编国家十四五规划教材，安徽省十三五、十四五规划教材，主持省自然科学重点研究项目2项，省级质量工程项目3项。网络安全匠师工作室负责人，主要从事网络安全方向教学与培训工作，指导学生在省网络安全攻防赛技能大赛中多次获一、二等奖。