-
内容大纲
本书在《Web开发与安全防范》“十二五”职业教育国家规划教材的基础上改版而成,也是工业和信息化部“十四五”规划教材。本书紧扣网络安全实战化人才的培养需求,将“实战化能力与思辨能力培养”的教学理念融入设计和编写中,以开发一个博客系统为主线,融入系统设计、编码实现、测试、发布、运维的过程中可能出现的安全问题,以及针对安全问题的测试、验证和修复的相关知识与技能。本书共分为9个项目,涵盖Web安全基础、安全的登录认证、安全的数据库交互、安全的用户输入、安全的个人信息修改、安全的文件上传、安全的文件包含、安全的应用发布和安全的Web防护体系建设。 -
作者介绍
-
目录
项目一 Web安全基础
1.1 任务一:Web技术的发展历程
1.1.1 Web 1.0
1.1.2 Web 2.0
1.1.3 Web 3.0
1.2 任务二:Web安全的核心问题
1.3 任务三:HTTP及安全性
1.3.1 HTTP概述
1.3.2 HTTPS的安全性分析
1.4 任务四:Web应用中的编码与加密
1.4.1 字符编码
1.4.2 传输过程的编码
1.4.3 Web系统中的加密方法
项目二 安全的登录认证
2.1 任务一:登录认证功能实现
2.1.1 了解登录认证
2.1.2 创建登录页面
2.1.3 判断登录状态
2.1.4 增加验证码
2.2 任务二:登录认证漏洞形成原理
2.2.1 登录认证漏洞的概念
2.2.2 登录认证漏洞的分类
2.2.3 登录认证漏洞的危害
2.3 任务三:登录认证漏洞的检测与验证
2.3.1 验证码重放漏洞
2.3.2 用户名探测漏洞
2.3.3 弱密码漏洞
2.4 任务四:登录认证漏洞的修复与防范
2.4.1 验证码重放漏洞的修复
2.4.2 用户名探测漏洞的修复
2.4.3 弱密码漏洞的修复
项目三 安全的数据库交互
3.1 任务一:利用数据库实现动态网页
3.1.1 了解数据库
3.1.2 使用数据库存储用户的身份信息
3.1.3 使用数据库存储文章
3.1.4 实现文章搜索功能
3.2 任务二:SQL注入漏洞的形成原理
3.2.1 SQL注入漏洞的概念
3.2.2 SQL注入漏洞的分类
3.2.3 SQL注入漏洞的危害
3.3 任务三:SQL注入漏洞的检测与验证
3.3.1 绕过后台登录漏洞(字符型注入漏洞)
3.3.2 文章页面注入漏洞(数字型注入漏洞)
3.3.3 搜索框注入漏洞
3.3.4 SQL注入漏洞的进阶技巧
3.4 任务四:SQL注入漏洞的修复与防范
3.4.1 参数化查询
3.4.2 绕过后台登录漏洞的修复(字符型注入漏洞的修复)
3.4.3 文章页面注入漏洞的修复(数字型注入漏洞的修复)
3.4.4 搜索框注入漏洞的修复(搜索框注入漏洞的修复)
项目四 安全的用户输入
4.1 任务一:博客系统相关功能实现
4.1.1 文章发布相关功能实现
4.1.2 评论功能实现
4.2 任务二:跨站脚本攻击的原理
4.2.1 反射型XSS攻击
4.2.2 存储型XSS攻击
4.2.3 DOM型XSS攻击
4.3 任务三:跨站脚本漏洞检测与验证
4.3.1 检测跨站脚本漏洞
4.3.2 验证跨站脚本漏洞
4.4 任务四:跨站脚本漏洞的修复与防范
4.4.1 对用户输入进行处理
4.4.2 使用内容安全策略
4.4.3 使用安全Cookie
项目五 安全的个人信息修改
5.1 任务一:博客系统的功能实现
5.1.1 创建表单
5.1.2 处理表单提交
5.2 任务二:跨站请求伪造攻击的原理
5.2.1 CSRF攻击的步骤
5.2.2 CSRF攻击的特点
5.3 任务三:跨站请求伪造漏洞检测与验证
5.4 任务四:跨站请求伪造漏洞修复与防范
5.4.1 同源检测
5.4.2 Samesite Cookie和CSRTToken
5.4.3 特定情况下的必要验证
项目六 安全的文件上传
6.1 任务一:构造简单的文件上传
6.1.1 什么是文件上传
6.1.2 简单的文件上传
6.1.3 上传文件的方式
6.1.4 文件上传数据的存储
6.1.5 文件上传的三个阶段
6.2 任务二:文件上传漏洞
6.2.1 文件上传漏洞的原理
6.2.2 文件上传漏洞的危害
6.3 任务三:文件上传漏洞的类型
6.3.1 文件类型绕过漏洞
6.3.2 文件名绕过漏洞
6.3.3 目录遍历漏洞
6.3.4 二进制文件上传漏洞
6.3.5 非常规后缀名漏洞
6.3.6 内容欺骗漏洞
6.3.7 Web服务器的负载均衡
6.4 任务四:文件上传漏洞的检测与验证
6.4.1 攻击业务流程
6.4.2 文件上传漏洞的检测流程
6.4.3 文件上传漏洞的验证流程
6.5 任务五:文件上传漏洞的修复与防范
项目七 安全的文件包含
7.1 任务一:构造简单的文件包含
7.1.1 什么是文件包含
7.1.2 简单的文件包含
7.1.3 文件包含的业务流程
7.2 任务二:文件包含漏洞的原理
7.2.1 什么是文件包含漏洞
7.2.2 文件包含漏洞的类型
7.3 任务三:文件包含漏洞的检测与验证
7.3.1 文件包含漏洞的检测流程
7.3.2 文件包含漏洞的验证流程
7.4 任务四:文件包含漏洞的修复与防范
项目八 安全的应用发布
8.1 任务一:生产环境搭建
8.1.1 LAMP环境的快速搭建
8.1.2 部署博客管理系统
8.2 任务二:Apache安全配置
8.2.1 禁止目录浏览
8.2.2 隐藏服务器的头部信息
8.2.3 配置网站脚本的解析规则
8.2.4 自定义错误页面
8.3 任务三:PHP安全配置
8.3.1 关闭调试模式
8.3.2 配置PHP参数
8.4 任务四:MySQL安全配置
8.4.1 配置MySQL参数
8.4.2 数据库用户降权
8.4.3 数据库访问控制
项目九 安全的Web防护体系建设
9.1 任务一:确定安全设计和编码原则
9.1.1 Web应用安全设计原则
9.1.2 Web应用安全编码原则
9.2 任务二:建立基本的安全框架
9.2.1 处理用户交互权限
9.2.2 处理用户输入参数
9.2.3 确认用户应用边界
9.2.4 处理流程规范化
9.3 任务三:实施安全的开发流程
9.3.1 SDL简介
9.3.2 SDL实战经验
9.4 任务四:加固边界的安全防护
9.4.1 硬件WAF
9.4.2 ModSecurity
9.4.3 防篡改软件
9.4.4 云防护系统
参考文献
同类热销排行榜
- C语言与程序设计教程(高等学校计算机类十二五规划教材)16
- 电机与拖动基础(教育部高等学校自动化专业教学指导分委员会规划工程应用型自动化专业系列教材)13.48
- 传感器与检测技术(第2版高职高专电子信息类系列教材)13.6
- ASP.NET项目开发实战(高职高专计算机项目任务驱动模式教材)15.2
- Access数据库实用教程(第2版十二五职业教育国家规划教材)14.72
- 信号与系统(第3版下普通高等教育九五国家级重点教材)15.08
- 电气控制与PLC(普通高等教育十二五电气信息类规划教材)17.2
- 数字电子技术基础(第2版)17.36
- VB程序设计及应用(第3版十二五职业教育国家规划教材)14.32
- Java Web从入门到精通(附光盘)/软件开发视频大讲堂27.92
推荐书目
-
孩子你慢慢来/人生三书 华人世界率性犀利的一枝笔,龙应台独家授权《孩子你慢慢来》20周年经典新版。她的《...
-
时间简史(插图版) 相对论、黑洞、弯曲空间……这些词给我们的感觉是艰深、晦涩、难以理解而且与我们的...
-
本质(精) 改革开放40年,恰如一部四部曲的年代大戏。技术突变、产品迭代、产业升级、资本对接...