[
-
内容大纲
本书主要讨论Web安全漏洞与防护,全书分为四篇,共十六个实训项目。第一篇为预备知识,包括Web服务器平台的安装与配置、Web开发基础两个项目;第二篇为SQL注入攻击及防护,包括万能密码登录——Post型注入攻击、数据库暴库——Get型注入攻击、更新密码——二阶注入攻击、Cookie注入攻击和HTTP头部注入攻击五个项目;第三篇为前端攻击及防护,包括Session欺骗攻击、Cookie欺骗攻击、XSS跨站攻击、CSRF跨站伪造请求攻击和验证码五个项目;第四篇为文件漏洞及防护,包括文件上传漏洞、文件下载漏洞、文件解析漏洞和文件包含漏洞四个项目。
本书可作为普通高校网络安全、信息安全、软件工程及相关专业学生学习Web安全知识的实践教材或参考书,也可作为Web程序设计人员的参考书。 -
作者介绍
-
目录
第一篇 预备知识
项目1 Web服务器平台的安装与配置
【项目描述】
【知识储备】
任务1.1 安装Web服务器操作系统
任务1.2 安装并配置PHP
任务1.3 安装并配置MySQL
任务1.4 安装并配置Apache
任务1.5 项目代码版本管理与测试
【项目总结】
【拓展思考】
项目2 Web开发基础
【项目描述】
【知识储备】
任务2.1 MySQL数据库的使用
任务2.2 静态网页开发
任务2.3 PHP动态网页开发
【项目总结】
【拓展思考】
第二篇 SQL注入攻击及防护
项目3 万能密码登录——Post型注入攻击
【项目描述】
【知识储备】
任务3.1 创建数据库
任务3.2 建立基于Session验证的用户登录网站
3.2.1 任务实现
3.2.2 功能测试
任务3.3 万能密码SQL注入攻击测试
3.3.1 测试过程
3.3.2 其他形式的万能密码
3.3.3 测试分析
任务3.4 万能密码SQL注入攻击防护
3.4.1 使用正则表达式限制用户输入
3.4.2 使用PHP转义函数
3.4.3 MySQLi参数化查询
3.4.4 PDO参数化查询
【项目总结】
【拓展思考】
项目4 数据库暴库——Get型注入攻击
【项目描述】
【知识储备】
任务4.1 创建数据库
任务4.2 建立Get方式查询的网站
4.2.1 任务实现
4.2.2 功能测试
任务4.3 数据库暴库攻击测试
4.3.1 暴数据库
4.3.2 暴lab数据库的数据表
4.3.3 暴users表的所有列
4.3.4 暴users表的数据
4.3.5 测试分析
任务4.4 Get型攻击防护
4.4.1 使用PHP转义函数
4.4.2 MySQLi参数化查询
【项目总结】
【拓展思考】
项目5 更新密码——二阶注入攻击
【项目描述】
【知识储备】
任务5.1 建立具有密码更新功能的网站
5.1.1 任务实现
5.1.2 功能测试
任务5.2 二阶注入攻击测试
5.2.1 测试过程
5.2.2 测试分析
任务5.3 二阶注入攻击防护
5.3.1 使用PHP转义函数
5.3.2 MySQLi参数化更新
【项目总结】
【拓展思考】
项目6 Cookie注入攻击
【项目描述】
【知识储备】
任务6.1 建立具有Cookie验证功能的网站
6.1.1 任务实现
6.1.2 Cookie验证功能测试
任务6.2 Cookie注入攻击测试
6.2.1 攻击准备
6.2.2 Cookie注入攻击过程
6.2.3 测试分析
任务6.3 Cookie注入攻击防护
【项目总结】
【拓展思考】
项目7 HTTP头部注入攻击
【项目描述】
【知识储备】
任务7.1 创建数据库
任务7.2 建立具有HTTP头部信息
保存功能的网站
7.2.1 任务实现
7.2.2 HTTP头部信息保存功能测试
任务7.3 HTTP头部注入攻击测试
7.3.1 攻击过程
7.3.2 测试分析
任务7.4 HTTP头部注入攻击防护
7.4.1 转义函数防注入
7.4.2 MySQLi参数化插入防注入
【项目总结】
【拓展思考】
第三篇 前端攻击及防护
项目8 Session欺骗攻击
【项目描述】
【知识储备】
任务8.1 Session欺骗攻击测试
8.1.1 测试准备
8.1.2 从浏览器复制SessionID
8.1.3 Session欺骗攻击实施
8.1.4 测试分析
任务8.2 Session欺骗攻击防护
8.2.1 使用注销机制退出登录
8.2.2 给Session设置生存时间
8.2.3 检测User-Agent的一致性
8.2.4 重置SessionID
【项目总结】
【拓展思考】
……
第四篇 文件漏洞及防护
同类热销排行榜
- C语言与程序设计教程(高等学校计算机类十二五规划教材)16
- 电机与拖动基础(教育部高等学校自动化专业教学指导分委员会规划工程应用型自动化专业系列教材)13.48
- 传感器与检测技术(第2版高职高专电子信息类系列教材)13.6
- ASP.NET项目开发实战(高职高专计算机项目任务驱动模式教材)15.2
- Access数据库实用教程(第2版十二五职业教育国家规划教材)14.72
- 信号与系统(第3版下普通高等教育九五国家级重点教材)15.08
- 电气控制与PLC(普通高等教育十二五电气信息类规划教材)17.2
- 数字电子技术基础(第2版)17.36
- VB程序设计及应用(第3版十二五职业教育国家规划教材)14.32
- Java Web从入门到精通(附光盘)/软件开发视频大讲堂27.92
推荐书目
-
孩子你慢慢来/人生三书 华人世界率性犀利的一枝笔,龙应台独家授权《孩子你慢慢来》20周年经典新版。她的《...
-
时间简史(插图版) 相对论、黑洞、弯曲空间……这些词给我们的感觉是艰深、晦涩、难以理解而且与我们的...
-
本质(精) 改革开放40年,恰如一部四部曲的年代大戏。技术突变、产品迭代、产业升级、资本对接...