- PHP Web攻防技术与实践
- - 作者：郭帆|责编:曾珊
  - 出版社：清华大学
  - ISBN：9787302688730
  - 出版日期：2025/07/01
  - 页数：287
- 售价：27.6

内容大纲
    本书围绕Web安全漏洞的攻防实践展开，以PHP语言为载体，全面、系统地介绍12类经典安全漏洞的技术原理、攻击方法和防御机制。通过丰富的示例代码、详细的过程截图和大量的操作视频，使具有PHP语言基础的读者能够比较轻松地理解各种安全漏洞的产生原因和利用方法。本书以攻防对抗的形式介绍Web应用防火墙（Web Application Firewall，WAF）防御Web攻击的原理和机制，在各章节详细讨论两种WAF防御不同漏洞攻击的安全规则、防御效果和绕过方法，通过系统分析WAF的优缺点有效提升读者的Web防御水平。
    全书共11章，包括基础知识、SQL注入、远程命令/代码执行、文件包含、文件上传、跨站请求伪造、跨站脚本注入、PHP语言特性、反序列化和其他常见漏洞，最后介绍Web渗透测试过程。
    本书内容系统、全面，攻守兼备，实践性强，易于学习和理解，可作为高等院校信息安全、网络空间安全、计算机科学与技术、网络工程等专业的教材，也可作为Web管理人员和开发人员的参考书或工具书。
作者介绍
郭帆，中国科学技术大学计算机软件与理论专业博士，从事网络安全工作十余年，具有丰富的实践经验和教学经验，研究方向为网络和信息安全、程序安全，已在国内外主流期刊和会议发表论文30余篇。
目录
第1章  基础知识
  1.1  Web应用攻击
  1.2  Web应用防御
    1.2.1  雷池WAF类型
    1.2.2  ModSecurity
  1.3  系统环境
  1.4  小结
  练习
第2章  SQL注入
  2.1  基础知识
    2.1.1  MySQL基础
    2.1.2  SQL注入类型
  2.2  数字型注入
    2.2.1  存在性测试
    2.2.2  联合注入
    2.2.3  防注入编码
    2.2.4  注释的用法
    2.2.5  自动化攻击
    2.2.6  反过滤机制
  2.3  字符型注入
    2.3.1  存在性测试
    2.3.2  过滤引号
    2.3.3  二次注入
  2.4  报错注入
    2.4.1  XPath语法错误
    2.4.2  floor函数报错
    2.4.3  整数溢出报错
  2.5  盲注
    2.5.1  布尔盲注
    2.5.2  时间盲注
  2.6  其他注入
  2.7  注入技巧
  2.8  小结
第3章  远程命令/代码执行
  3.1  基础知识
    3.1.1  命令执行函数
    3.1.2  代码执行函数
  3.2  命令注入
    3.2.1  Windows命令注入
    3.2.2  Linux命令注入
    3.2.3  注入防御
  3.3  绕过黑名单
    3.3.1  绕过Windows限制
    3.3.2  绕过Linux限制
    3.3.3  命令替代
  3.4  命令注入外带方法
  3.5  命令注入防御
    3.5.1  ModSecurity防御
    3.5.2  雷池防御
  3.6  代码注入与防御

    3.6.1  PHP注入绕过
    3.6.2  ModSecurity防御
    3.6.3  雷池防御
  3.7  小结
  练习
第4章  文件包含
  4.1  基础知识
  4.2  PHP伪协议
  4.3  绕过限制
  4.4  系统文件包含
  4.5  WAF检测
    4.5.1  ModSecurity
    4.5.2  雷池WAF
  4.6  小结
  练习
第5章  文件上传
  5.1  基础知识
  5.2  信息验证
    5.2.1  白名单验证
    5.2.2  黑名单验证
  5.3  内容验证
  5.4  条件竞争
    5.4.1  上传进度变量
    5.4.2  临时文件包含
  5.5  WAF防御
    5.5.1  ModSecurity
    5.5.2  雷池WAF
  5.6  小结
  练习
第6章  跨站请求伪造
  6.1  基础知识
    6.1.1  SSRF漏洞
    6.1.2  CSRF漏洞
  6.2  SSRF攻击与防御
    6.2.1  Gopher协议
    6.2.2  典型SSRF攻击
    6.2.3  SSRF防御机制
  6.3  CSRF攻击与防御
  6.4  WAF防御
    6.4.1  防御SSRF
    6.4.2  防御CSRF
  6.5  小结
  练习
第7章  跨站脚本注入
  7.1  基础知识
    7.1.1  XSS漏洞类型
    7.1.2  同源策略
    7.1.3  Cookie
  7.2  注入方法
    7.2.1  闭合标签

    7.2.2  事件处理函数
    7.2.3  属性注入
    7.2.4  脚本上下文注入
    7.2.5  其他方法
  7.3  防御机制与绕过
    7.3.1  黑名单
    7.3.2  限制字符
    7.3.3  无法绕过的防御机制
  7.4  WAF防御与绕过
    7.4.1  ModSecurity防御与绕过
    7.4.2  雷池防御与绕过
  7.5  CSP策略
  7.6  小结
  练习
第8章  PHP语言特性
  8.1  文件处理函数
  8.2  运算符
    8.2.1  逻辑运算符
    8.2.2  比较运算符
    8.2.3  in_array函数
    8.2.4  intval函数
    8.2.5  浮点数精度
    8.2.6  哈希函数
    8.2.7  strcmp函数
    8.2.8  数组与字符串
  8.3  变量
    8.3.1  非法变量名
    8.3.2  变量执行
    8.3.3  变量覆盖
    8.3.4  预定义变量
  8.4  类方法调用
  8.5  __halt_compiler函数
  8.6  正则匹配
    8.6.1  preg_match函数
    8.6.2  preg_replace函数
  8.7  require_once
  8.8  parse_url
  8.9  小结
第9章  反序列化
  9.1  基础知识
    9.1.1  对象的序列化
    9.1.2  对象的反序列化
  9.2  魔术方法
    9.2.1  __construct和__destruct
    9.2.2  __sleep和__wakeup
    9.2.3  __invoke和__call
    9.2.4  __get、__set、__isset和__unset
    9.2.5  __serialize和__unserialize
    9.2.6  __toString和__debugInfo
  9.3  反序列化漏洞

    9.3.1  魔术方法误用
    9.3.2  同名方法误用
    9.3.3  异常处理
    9.3.4  对象回收
    9.3.5  对象方法调用
    9.3.6  动态增加对象属性
    9.3.7  PHP会话的反序列化
    9.3.8  PHAR反序列化
  9.4  防御反序列化攻击
  9.5  小结
  练习
第10章  其他常见漏洞
  10.1  外部实体注入(XXE)
    10.1.1  参数实体注入
    10.1.2  WAF防御XXE
  10.2  CRLF注入
  10.3  HTTP请求走私
    10.3.1  基础知识
    10.3.2  攻击方法
    10.3.3  防御请求走私
  10.4  点击劫持
  10.5  小结
  练习
第11章  Web渗透测试过程
  11.1  信息收集
    11.1.1  域名信息收集
    11.1.2  域名信息收集工具
    11.1.3  网络服务信息收集
    11.1.4  URL路径和Web应用
  11.2  漏洞扫描
  11.3  渗透测试案例
    11.3.1  弱口令漏洞
    11.3.2  历史漏洞利用
    11.3.3  权限配置错误
  11.4  小结
参考文献

内容大纲

作者介绍

目录

同类热销排行榜

推荐书目