-
内容大纲
代码审计是企业安全从业人员必需的基本技能。在企业安全操作、渗透测试、漏洞研究等各项工作中,都需要进行代码审计。本书围绕代码审计前的准备工作、PHP代码审计中的流程和常见漏洞审计、漏洞的审计方法等环节精心组织内容,通过应用案例,让读者深刻体会代码审计的重要作用。
本书内容分为3部分。第1部分介绍代码审计前的准备工作,包括第1章“环境配置”和第2章“工具使用”;第2部分介绍PHP代码审计中的流程和常见漏洞审计,包括第3章“审计流程”;第3部分介绍漏洞的审计方法,包括第4章“SQL注入漏洞审计”、第5章“跨站脚本攻击漏洞审计”、第6章“跨站请求伪造漏洞审计”、第7章“服务端请求伪造漏洞审计”、第8章“XML外部实体注入漏洞审计”、第9章“代码执行漏洞审计”、第10章“命令执行漏洞审计”、第11章“反序列化漏洞审计”、第12章“任意文件上传漏洞审计”、第13章“文件包含漏洞审计”、第14章“文件操作类漏洞审计”、第15章“其他类型漏洞审计”和第16章“框架漏洞审计”。
本书配有微课视频、源代码、电子课件、教案等教学资源,读者可以登录华信教育资源网(www.hxedu.com.cn)注册后免费进行下载。本书既可以作为高等院校、高等职业院校“网络与信息安全”课程的教材,也可以作为相关从业人员的参考书。 -
作者介绍
-
目录
第1部分
第1章 环境配置
1.1 知识准备
1.1.1 代码编辑工具
1.1.2 WAMP/WNMP环境搭建
1.1.3 LAMP环境搭建
1.1.4 PHP核心配置
1.2 实战演练——Windows环境部署
1.2.1 安装运行
1.2.2 目录结构
1.2.3 主界面
1.2.4 切换版本
1.2.5 站点配置
1.2.6 修改hosts域名解析文件
1.2.7 PHP扩展设置
1.2.8 MySQL管理
1.2.9 phpMyAdmin
1.3 强化训练——Linux环境部署
1.3.1 一键安装脚本
1.3.2 安装部署
1.3.3 相关操作
1.3.4 访问面板
1.3.5 软件管理
1.3.6 数据库
1.3.7 部署服务
1.4 课后实训
第2章 工具使用
2.1 知识准备
2.1.1 代码编辑工具
2.1.2 代码审计工具
2.1.3 辅助验证工具
2.2 实战演练——Seay源代码审计系统审计DVWA
2.2.1 DVWA简介
2.2.2 环境搭建
2.2.3 使用工具审计
2.3 强化训练——RIPS审计DVWA
2.3.1 RIPS环境的本地搭建
2.3.2 使用工具审计
2.4 课后实训
第2部分
第3章 审计流程
3.1 知识准备
3.1.1 寻找漏洞签名
3.1.2 功能点定向审计
3.1.3 通读全文
3.2 实战演练
3.2.1 寻找漏洞签名
3.2.2 功能点定向审计
3.2.3 通读全文
3.3 强化训练
3.3.1 暴力破解
3.3.2 命令注入
3.3.3 跨站请求伪造
3.3.4 文件包含
3.3.5 文件上传
3.3.6 SQL注入
3.3.7 SQL盲注
3.3.8 脆弱会话
3.3.9 反射型XSS
3.3.10 存储型XSS
3.3.11 不安全的验证流程
3.4 课后实训
第3部分
第4章 SQL注入漏洞审计
4.1 知识准备
4.1.1 漏洞介绍
4.1.2 漏洞危害
4.1.3 审计思路
4.2 实战演练——SQL注入漏洞
4.2.1 普通注入
4.2.2 宽字节注入
4.2.3 二次注入
4.3 强化训练——审计实战
4.3.1 环境搭建
4.3.2 漏洞分析
4.3.3 漏洞利用
4.4 课后实训
第5章 跨站脚本攻击漏洞审计
5.1 知识准备
5.1.1 漏洞介绍
5.1.2 漏洞危害
5.1.3 审计思路
5.2 实战演练——跨站脚本攻击漏洞
5.2.1 反射型XSS
5.2.2 存储型XSS
5.2.3 DOM型XSS
5.3 强化训练——审计实战
5.3.1 环境搭建
5.3.2 漏洞分析
5.3.3 漏洞利用
5.4 课后实训
第6章 跨站请求伪造漏洞审计
6.1 知识准备
6.1.1 漏洞介绍
6.1.2 漏洞危害
6.1.3 审计思路
6.2 实战演练——跨站请求伪造漏洞
6.3 强化训练——审计实战
6.3.1 环境搭建
6.3.2 漏洞分析
6.3.3 漏洞利用
6.4 课后实训
第7章 服务端请求伪造漏洞审计
7.1 知识准备
7.1.1 漏洞介绍
7.1.2 漏洞危害
7.1.3 审计思路
7.2 实战演练——服务端请求伪造漏洞
7.2.1 file_get_contents()
7.2.2 fopen()
7.2.3 cURL
7.3 强化训练——审计实战
7.3.1 环境搭建
7.3.2 漏洞分析
7.3.3 漏洞利用
7.4 课后实训
第8章 XML外部实体注入漏洞审计
8.1 知识准备
8.1.1 漏洞介绍
8.1.2 基础知识
8.1.3 审计思路
8.2 实战演练——XML外部实体注入漏洞
8.2.1 simplexml_load_string()
8.2.2 DOM解析器函数
8.2.3 SimpleXMLElement()
8.3 强化训练——审计实战
8.3.1 环境搭建
8.3.2 漏洞分析
8.3.3 漏洞利用
8.4 课后实训
第9章 代码执行漏洞审计
9.1 知识准备
9.1.1 漏洞介绍
9.1.2 漏洞危害
9.1.3 审计思路
9.2 实战演练——代码执行漏洞
9.2.1 eval()和assert()
9.2.2 回调函数
9.2.3 动态执行函数
9.2.4 preg_replace()
9.3 强化训练——审计实战
9.3.1 环境搭建
9.3.2 漏洞分析
9.3.3 漏洞利用
9.4 课后实训
第10章 命令执行漏洞审计
10.1 知识准备
10.1.1 漏洞介绍
10.1.2 漏洞危害
10.1.3 审计思路
10.2 实战演练——命令执行漏洞
10.2.1 system()
10.2.2 exec()
10.2.3 反引号`和shell_exec()
10.2.4 popen()和proc_open()
10.3 强化训练——审计实战
10.3.1 环境搭建
10.3.2 漏洞分析
10.3.3 漏洞利用
10.4 课后实训
第11章 反序列化漏洞审计
11.1 知识准备
11.1.1 漏洞介绍
11.1.2 基础知识
11.1.3 审计思路
11.2 实战演练——反序列化漏洞
11.2.1 serialize()
11.2.2 unserialize()
11.3 强化训练——审计实战
11.3.1 环境搭建
11.3.2 漏洞分析
11.3.3 构造PoC
11.3.4 漏洞利用
11.4 课后实训
第12章 任意文件上传漏洞审计
12.1 知识准备
12.1.1 漏洞介绍
12.1.2 漏洞危害
12.1.3 审计思路
12.2 实战演练——任意文件上传漏洞
12.3 强化训练——审计实战
12.3.1 环境搭建
12.3.2 漏洞分析
12.3.3 漏洞利用
12.4 课后实训
第13章 文件包含漏洞审计
13.1 知识准备
13.1.1 漏洞介绍
13.1.2 漏洞危害
13.1.3 审计思路
13.1.4 漏洞利用
13.2 实战演练——文件包含漏洞
13.2.1 本地文件包含
13.2.2 远程文件包含
13.3 强化训练——审计实战
13.3.1 环境搭建
13.3.2 漏洞分析
13.3.3 漏洞利用
13.4 课后实训
第14章 文件操作类漏洞审计
14.1 知识准备
14.1.1 漏洞介绍
14.1.2 目录穿越漏洞介绍
14.1.3 审计思路
14.2 实战演练——任意文件读取/修改漏洞
14.2.1 漏洞分析
14.2.2 漏洞利用
14.3 强化训练——任意文件删除漏洞
14.3.1 漏洞分析
14.3.2 漏洞利用
14.4 课后实训
第15章 其他类型漏洞审计
15.1 知识准备
15.1.1 系统重装漏洞
15.1.2 越权漏洞
15.2 实战演练——系统重装漏洞
15.2.1 环境搭建
15.2.2 漏洞分析
15.2.3 漏洞利用
15.3 强化训练——越权漏洞
15.3.1 环境搭建
15.3.2 漏洞分析
15.3.3 漏洞利用
15.4 课后实训
第16章 框架漏洞审计
16.1 知识准备
16.1.1 框架理解
16.1.2 MVC架构模式
16.1.3 常见框架介绍
16.2 实战演练——框架使用
16.3 强化训练——ThinkPHP远程代码执行漏洞
16.3.1 漏洞影响
16.3.2 漏洞分析
16.3.3 漏洞利用
16.4 课后实训
同类热销排行榜
- C语言与程序设计教程(高等学校计算机类十二五规划教材)16
- 电机与拖动基础(教育部高等学校自动化专业教学指导分委员会规划工程应用型自动化专业系列教材)13.48
- 传感器与检测技术(第2版高职高专电子信息类系列教材)13.6
- ASP.NET项目开发实战(高职高专计算机项目任务驱动模式教材)15.2
- Access数据库实用教程(第2版十二五职业教育国家规划教材)14.72
- 信号与系统(第3版下普通高等教育九五国家级重点教材)15.08
- 电气控制与PLC(普通高等教育十二五电气信息类规划教材)17.2
- 数字电子技术基础(第2版)17.36
- VB程序设计及应用(第3版十二五职业教育国家规划教材)14.32
- Java Web从入门到精通(附光盘)/软件开发视频大讲堂27.92
推荐书目
-
孩子你慢慢来/人生三书 华人世界率性犀利的一枝笔,龙应台独家授权《孩子你慢慢来》20周年经典新版。她的《...
-
时间简史(插图版) 相对论、黑洞、弯曲空间……这些词给我们的感觉是艰深、晦涩、难以理解而且与我们的...
-
本质(精) 改革开放40年,恰如一部四部曲的年代大戏。技术突变、产品迭代、产业升级、资本对接...