图书详情

配套资源图书内容样章/电子教材图书评价

配套资源
本书资源
会员上传本书资源
为本书上传资源

图书内容

内容简介

本书是针对高职学生信息安全专业学生，在学习信息安全方面中web安全方面的基础知识。本书采用目前流行的web渗透开源平台DVWA为实验平台，详细讲解分析流行的web渗透与防护方法。本书为项目式教学，在项目教学中将涉及web渗透的基础知识，并结合具体实验详细讲解。实验系统基于当下流行的web渗透开源平台DVWA，并分析当前流行的web渗透与防范方法。

图书详情

ISBN：9787121354281

开本：16开

页数：232

字数：371.2

本书目录

第1章　Web信息安全基础	1
1.1　当前Web信息安全形势	1
1.2　Web安全防护技术	4
第2章　信息安全法律法规	8
2.1　信息安全法律法规	8
2.2　案例分析	10
第3章　命令注入攻击与防御	13
3.1　项目描述	13
3.2　项目分析	13
3.3　项目小结	19
3.4　项目训练	20
3.4.1　实验环境	20
3.4.2　命令注入攻击原理分析	20
3.4.3　利用命令注入获取信息	24
3.4.4  命令注入漏洞攻击方法	27
3.4.5  防御命令注入攻击	31
3.5　实训任务	34
第4章　文件上传攻击与防御	35
4.1　项目描述	35
4.2　项目分析	35
4.3  项目小结	41
4.4  项目训练	42
4.4.1  实验环境	42
4.4.2  文件上传漏洞原理分析	42
4.4.3  上传木马获取控制权	48
4.4.4  文件上传漏洞攻击方法	52
4.4.5  文件上传漏洞防御方法	54
4.5  实训任务	56
第5章　SQL注入攻击与防御	57
5.1  项目描述	57
5.2  项目分析	57
5.3  项目小结	71
5.4  项目训练	72
5.4.1  实验环境	72
5.4.2  SQL注入攻击原理分析	72
5.4.3  文本框输入的SQL注入方法	77
5.4.4  非文本框输入的SQL注入方法	82
5.4.5  固定提示信息的渗透方法	89
5.4.6  利用SQL注入漏洞对文件进行读写	92
5.4.7  利用sqlmap完成SQL注入	94
5.4.8  防范SQL注入	98
5.5  实训任务	102
第6章　SQL盲注攻击与防御	103
6.1  项目描述	103
6.2  项目分析	103
6.3  项目小结	107
6.4  项目训练	107
6.4.1  实验环境	107
6.4.2  基于布尔值的字符注入原理	107
6.4.3  基于布尔值的字节注入原理	113
6.4.4  基于时间的注入原理	115
6.4.5  非文本框输入的SQL盲注方法	120
6.4.6  固定提示信息的SQL盲注方法	128
6.4.7  利用Burp Suite暴力破解SQL盲注	130
6.4.8  SQL盲注防御方法	138
6.5  实训任务	140
第7章　暴力破解攻击与防御	141
7.1　项目描述	141
7.2　项目分析	141
7.3　项目小结	145
7.4　项目训练	145
7.4.1　实验环境	145
7.4.2　利用万能密码进行暴力破解	145
7.4.3　利用Burp Suite进行暴力破解	150
7.4.4　在中、高等安全级别下实施暴力破解	153
7.4.5　利用Bruter实施暴力破解	156
7.4.6　利用Hydra实施暴力破解	159
7.5　实训任务	161
第8章　文件包含攻击与防御	162
8.1　项目描述	162
8.2　项目分析	162
8.3　项目小结	166
8.4　项目训练	166
8.4.1　实验环境	166
8.4.2　文件包含漏洞原理	166
8.4.3　文件包含漏洞攻击方法	171
8.4.4　绕过防御方法	173
8.4.5　文件包含漏洞的几种应用方法	176
8.4.6　文件包含漏洞的防御方法	177
8.5　实训任务	178
第9章　XSS攻击与防御	179
9.1　项目描述	179
9.2　项目分析	179
9.3　项目小结	185
9.4　项目训练	186
9.4.1　实验环境	186
9.4.2　XSS攻击原理	186
9.4.3　反射型XSS攻击方法	189
9.4.4　存储型XSS攻击方法	190
9.4.5　利用Cookie完成Session劫持	190
9.4.6　XSS钓鱼攻击	192
9.4.7　防范XSS攻击	195
9.5　实训任务	198
第10章　CSRF攻击与防御	199
10.1　项目描述	199
10.2　项目分析	199
10.3　项目小结	204
10.4　项目训练	205
10.4.1　实验环境	205
10.4.2　CSRF攻击原理	205
10.4.3　显性与隐性攻击方式	208
10.4.4　模拟银行转账攻击	211
10.4.5　防范CSRF攻击	215
10.5　实训任务	219
第11章　代码审计	220
11.1　代码审计概述	220
11.2　常见代码审计方法	221
11.3　代码审计具体案例	222
参考文献	223

展开

前言

前    言
       Web信息安全是网络安全，或者说是习近平同志提出的网络空间安全的一个重要组成部分，也是与用户直观交互最多的一个组成部分。为了提高民众的网络安全意识，需要开展网络安全知识教育。网络安全是一个大环境，包含通信设备、安全设备、服务器设备、各种应用软件等方方面面的知识与技术。Web信息安全对普通大众来说，是在网络应用层次上的，与自身关系密切。
      在网络空间安全提出之前，从事网络安全工作的人员，都是专业的技术人员，大多从高级程序员、设备驱动程序开发人员转换而来，具有丰富、扎实的软件开发、网络编程等技术知识。因此，目前涉及网络安全基础知识的书籍较少，学生学习网络安全基础知识的入门教材更是难寻。为了方便计算机专业的学生学习Web信息安全的基础知识，以及信息安全爱好人员学习网络安全知识，主编团队特编写了本书。
本书以任务驱动的项目式教学作为编写思路，注重Web信息安全的理论知识和实际项目相结合，具有很强的可操作性，每个项目分为项目描述、项目分析、项目小结、项目训练和实训任务几个模块，既给出了完成项目所需要学习的目标和主要任务，也给出了完成项目所需要的理论知识。本书主要讲解了在Web信息安全中常见的漏洞攻击方法的基本原理与针对性的防御方法。本书针对OWASP每年公布利用率与危害性的TOP10中的Web渗透方法，主要分析了命令注入、文件上传、SQL注入与盲注、暴力破解、文件保护、XSS跨站、CSRF等的方法，结合主流的hacker实验平台DVWA，分析原理、利用方法、加固措施等。Web信息安全是一把双刃剑，在理解攻击原理后，可以针对性地设计加固与防御方案，同时也可以根据原理设计新的攻击方式，因此信息安全从业人员需要守住自己的底线。为了加强安全意识，本书利用一章的篇幅讲解信息安全方面的规章制度与法律法规。为了加强防御方法，本书最后分析了代码审计对软件的必要性。
      编者根据多年从事网络安全专业教学的经验，以及多年参与高职院校技能大赛信息安全与评估赛项的技术积累，根据一线信息安全专家的建议，完成了本书的编写工作。在编写过程中得到了江苏天创科技有限公司的大力支持，该公司主要从事网络安全方面的工作，与苏州市政府具有广泛的合作。编者以该公司丰富的实战案例作为依据，对本书的内容方面进行了编写。
      本书由苏州市职业大学的王德鹏、谭方勇任主编，苏州市职业大学刘刚、江苏天创科技有限公司张洪璇任副主编，苏州市职业大学高小惠、姒茂新等教师任参编。
由于时间仓促，书中难免存在疏漏和不妥之处，敬请读者批评指正。

编　者
2019年4月

展开

作者简介

本书暂无作者简介

样章试读

查看样章电子教材
图书评价我要评论

本书资源

会员上传本书资源

内容简介

图书详情

本书目录

前 言

作者简介

前言