WEB安全基礎(chǔ)教程

定　價(jià)：￥29.80

作　者：	佟暉著
出版社：	北京師范大學(xué)出版社
叢編項(xiàng)：	新世紀(jì)高等學(xué)校規(guī)劃教材·信息安全系列
標(biāo)　簽：	暫缺

購(gòu)買(mǎi)這本書(shū)可以去

京東 (￥24.20)

ISBN：	9787303223770	出版時(shí)間：	2020-01-01	包裝：	平裝
開(kāi)本：	16開(kāi)	頁(yè)數(shù)：	196	字?jǐn)?shù)：

內(nèi)容簡(jiǎn)介

　　本書(shū)共分5個(gè)正篇17個(gè)章節(jié)和1個(gè)附錄，正篇包括：Web安全基礎(chǔ)介紹、Web安全測(cè)試方法、Web常見(jiàn)漏洞介紹、Web安全實(shí)戰(zhàn)演練、日常安全意識(shí)。附錄部分為相關(guān)課程設(shè)計(jì)了大綱框架圖。

作者簡(jiǎn)介

　　佟暉，女，碩士，教授，碩士研究生導(dǎo)師。北京警察學(xué)院公安科技系副主任，北京警察學(xué)院學(xué)術(shù)委員會(huì)委員，北京市高等教育學(xué)會(huì)計(jì)算機(jī)教育研究會(huì)常務(wù)理事。先后承擔(dān)國(guó)家以及省部級(jí)項(xiàng)目10余項(xiàng)，主編教材4部，發(fā)表論文30余篇。公安部高等教育教學(xué)名師、全國(guó)優(yōu)秀人民警察。張作峰，男，本科學(xué)歷，十余年網(wǎng)絡(luò)安全行業(yè)從業(yè)經(jīng)驗(yàn)，主要研究方向web安全。具備行業(yè)內(nèi)多項(xiàng)安全資質(zhì)，目前為恒安嘉新（北京）科技有限公司安全攻防團(tuán)隊(duì)負(fù)責(zé)人，曾圓滿(mǎn)的完成了北京奧運(yùn)會(huì)、廣州亞運(yùn)會(huì)、上海世博會(huì)、十八大、二十國(guó)集團(tuán)峰會(huì)、世界互聯(lián)網(wǎng)大會(huì)等國(guó)家重要活動(dòng)的網(wǎng)絡(luò)安全技術(shù)保障任務(wù)。

圖書(shū)目錄

目錄
第1篇 Web安全基礎(chǔ)介紹 1
第1章 Web安全簡(jiǎn)介 1
1.1 最新安全事件（視頻介紹） 1
1.2 黑客、白客、灰客 2
1.3 網(wǎng)站入侵的途徑 2
1.4 實(shí)戰(zhàn)演練（網(wǎng)站入侵） 4
1.5 如何學(xué)好Web安全 9
第2章 Web安全基礎(chǔ)知識(shí)介紹 11
2.1 Web架構(gòu)介紹 11
2.1.1 ASP 11
2.1.2 PHP 12
2.1.3 JSP 14
2.2 HTTP協(xié)議介紹 15
2.2.1 GET請(qǐng)求 17
2.2.2 POST請(qǐng)求 17
2.2.3 其他HTTP請(qǐng)求 18
2.3 實(shí)戰(zhàn)操作 19
第2篇 Web安全測(cè)試方法 23
第3章信息探測(cè) 23
3.1 Google Hacking 23
3.1.1 搜集子域名 23
3.1.2 搜集Web信息 24
3.2 Nmap Scanning 28
3.2.1 安裝Nmap 28
3.2.2 探測(cè)主機(jī)信息 33
3.3 實(shí)戰(zhàn)操作 36
第4章 Web漏洞檢測(cè)工具簡(jiǎn)介 37
4.1 AWVS 介紹 37
4.1.1 WVS向?qū)呙?37
4.1.2 Web掃描服務(wù) 40
4.2 AppScan介紹 43
4.2.1 使用AppScan掃描 43
4.2.2 處理結(jié)果 48
第3篇 Web常見(jiàn)漏洞介紹 50
第5章 SQL注入漏洞 50
5.1 SQL注入原理 50
5.2 注入漏洞分類(lèi) 52
5.2.1 數(shù)字型注入 52
5.2.2 字符型注入 54
5.3 注入工具 54
5.3.1 Sqlmap 54
5.3.2 Pangolin 57
5.4 實(shí)戰(zhàn)操作 63
第6章上傳漏洞 64
6.1 直接上傳漏洞 64
6.2 中間件解析漏洞 66
6.2.1 IIS解析漏洞 66
6.2.2 Apache解析漏洞 68
6.2.3 Nginx解析漏洞 69
6.3 繞過(guò)上傳漏洞 70
6.3.1 客戶(hù)端檢測(cè) 70
6.3.2 服務(wù)器端檢測(cè) 71
6.4 實(shí)戰(zhàn)操作 74
第7章 XSS跨站腳本漏洞 75
7.1 XSS原理解析 75
7.2 XSS類(lèi)型 76
7.2.1 反射型XSS 76
7.2.2 存儲(chǔ)型XSS 77
7.3 實(shí)戰(zhàn)操作 79
第8章命令執(zhí)行漏洞 82
8.1 命令執(zhí)行漏洞示例 82
8.2 命令執(zhí)行模型 89
8.3 框架執(zhí)行漏洞 94
8.3.1 Struts2代碼執(zhí)行漏洞 96
8.3.2 java反序列化代碼執(zhí)行漏洞 101
8.4 實(shí)戰(zhàn)操作 103
第9章文件包含漏洞 110
9.1 包含漏洞原理解析 110
9.1.1 本地文件包含 111
9.1.2 遠(yuǎn)程文件包含 112
9.2 實(shí)戰(zhàn)操作 117
第10章其他漏洞（簡(jiǎn)單介紹） 120
10.1 CSRF 介紹 120
10.2 邏輯錯(cuò)誤漏洞介紹 122
10.2.1 挖掘邏輯漏洞 122
10.2.2 繞過(guò)授權(quán)驗(yàn)證 123
10.2.3 密碼找回邏輯漏洞 124
10.2.4 支付邏輯漏洞 127
10.2.5 指定賬戶(hù)惡意攻擊 128
10.3 URL跳轉(zhuǎn)與釣魚(yú) 128
10.4 實(shí)戰(zhàn)操作 131
第11章暴力破解 133
11.1 暴力破解介紹 133
11.2 Burp Suite 介紹 133
11.2.1 Proxy 133
11.2.2 Intruder 136
11.3 暴力破解案例 138
11.4 實(shí)戰(zhàn)操作 145
第12章旁注攻擊 150
12.1 IP逆向查詢(xún) 150
12.2 目錄越權(quán) 151
12.3 實(shí)戰(zhàn)操作 152
第13章提權(quán) 153
13.1 獲取系統(tǒng)權(quán)限 155
13.2 實(shí)戰(zhàn)操作 168
第4篇 Web安全實(shí)戰(zhàn)演練 169
第14章攻擊全過(guò)程 169
14.1 信息搜集 169
14.2 漏洞掃描 172
14.3 手工測(cè)試 173
14.4 漏洞利用及getshell 181
14.5 提權(quán) 182
第5篇日常安全意識(shí) 187
第15章社會(huì)工程學(xué) 187
15.1 信息搜集 187
15.2 實(shí)戰(zhàn)操作 191
第16章電信詐騙手段還原 197
16.1 釣魚(yú)技術(shù) 197
16.2 改號(hào)軟件 203
16.3 貓池技術(shù) 205
第17章 IP溯源技術(shù)及標(biāo)準(zhǔn)化 213
17.1 網(wǎng)絡(luò)攻擊模型 213
17.2 追蹤溯源技術(shù) 214
17.3 實(shí)戰(zhàn)操作 219