- Web安全实践(面向数字化时代高等学校计算机系列教材)
- - 作者：编者:刘志全|责编:苏东方
  - 出版社：清华大学
  - ISBN：9787302698890
  - 出版日期：2025/08/01
  - 页数：251
- 售价：19.6

内容大纲
本书是全面介绍Web安全实践知识的教材，共分为9章，主要涵盖了SQL注入漏洞、远程代码执行漏洞与远程命令执行漏洞、文件上传漏洞、文件包含漏洞、XSS漏洞、SSRF漏洞、反序列化漏洞、逻辑漏洞等内容。本书针对Web安全中的常见漏洞从原理介绍、代码剖析、场景利用、常见绕过和漏洞防御等方面进行详细讲解。每章末尾均设有习题，帮助读者巩固所学内容。
本书适合网络空间安全及相关专业学生、Web开发人员、Web运维人员，以及Web安全爱好者学习使用，可作为高等院校相关专业的教材或参考书，也可供网络安全从业人员自学参考。
作者介绍
刘志全，男，博士，暨南大学网络空间安全学院副研究员、硕士生导师，研究方向包括车联网安全、无人机安全、Web安全、信任与隐私、人工智能、区块链等；近年来共在IEEE TITS、IEEE TDSC、IEEE IOTJ、IEEE TVT等国内外期刊/会议发表SCI/EI论文40余篇，申请/授权/公告国家发明专利/国外发明专利/PCT专利40余项；主持国家自然科学基金、广东省自然科学基金、广州市自然科学基金等纵向项目；指导学生获得港澳台侨创业大赛一等奖、吴渔夫学术科技创新竞赛一等奖等。
目录
第1章  SQL注入漏洞
  1.1  SQL注入概述
  1.2  SQL注入分类
    1.2.1  按照传参类型分类
    1.2.2  按照注入位置分类
    1.2.3  按照回显类型分类
    1.2.4  其他类型
  1.3  常见类型的SQL注入
    1.3.1  字符型注入与数字型注入
    1.3.2  UNION SELECT联合注入
    1.3.3  堆叠注入
    1.3.4  报错注入
    1.3.5  SQL盲注
    1.3.6  二次注入
  1.4  SQL注入利用
  1.5  SQL注入绕过
    1.5.1  绕过空格过滤
    1.5.2  绕过引号过滤
    1.5.3  绕过逗号过滤
    1.5.4  绕过关键字和关键函数过滤
    1.5.5  双写绕过
  1.6  SQLMap
  1.7  SQL注入防御
  1.8  习题
第2章  远程代码执行漏洞与远程命令执行漏洞
  2.1  远程代码执行漏洞概述
  2.2  常用于代码执行的语言结构和函数
  2.3  其他造成代码执行的情况
  2.4  远程代码执行漏洞绕过
    2.4.1  字符串拼接绕过
    2.4.2  编码绕过
  2.5  远程代码执行漏洞防御
  2.6  远程命令执行漏洞概述
  2.7  常用的命令执行函数
  2.8  常用的命令分隔符
  2.9  远程命令执行漏洞利用
    2.9.1  反弹Shell
    2.9.2  写入Webshell
  2.10  远程命令执行漏洞绕过
    2.10.1  绕过空格过滤
    2.10.2  绕过关键字过滤
  2.11  远程命令执行漏洞防御
  2.12  习题
第3章  文件上传漏洞
  3.1  文件上传漏洞概述
  3.2  Web服务器解析漏洞
    3.2.1  IIS解析漏洞
    3.2.2  Apache解析漏洞
    3.2.3  Nginx解析漏洞
  3.3  文件上传漏洞绕过

    3.3.1  绕过前端JavaScript检测
    3.3.2  绕过文件扩展名检测
    3.3.3  绕过文件头检测
    3.3.4  绕过MIME类型检测
    3.3.5  NTFS数据流特性绕过
    3.3.6  上传.htaccess文件绕过
    3.3.7  条件竞争绕过
    3.3.8  %00截断绕过
  3.4  文件上传漏洞防御
  3.5  习题
第4章  文件包含漏洞
  4.1  文件包含漏洞概述
  4.2  文件包含漏洞分类
    4.2.1  本地文件包含漏洞
    4.2.2  远程文件包含漏洞
  4.3  文件包含漏洞利用
    4.3.1  包含敏感文件
    4.3.2  包含上传文件
    4.3.3  包含日志文件
    4.3.4  包含Session文件
    4.3.5  利用PHP伪协议
  4.4  文件包含漏洞绕过
    4.4.1  绕过文件扩展名限制
    4.4.2  绕过包含目录限制
  4.5  文件包含漏洞防御
  4.6  习题
第5章  XSS漏洞
  5.1  XSS漏洞概述
  5.2  XSS漏洞分类
    5.2.1  反射型XSS
    5.2.2  存储型XSS
    5.2.3  DOM型XSS
  5.3  XSS漏洞利用
    5.3.1  盗取Cookie
    5.3.2  网络钓鱼
    5.3.3  窃取客户端信息
  5.4  XSS漏洞绕过
    5.4.1  绕过单双引号过滤
    5.4.2  绕过括号过滤
    5.4.3  绕过空格过滤
    5.4.4  绕过关键字过滤
    5.4.5  绕过长度限制
  5.5  XSS漏洞防御
    5.5.1  输入过滤
    5.5.2  输出处理
    5.5.3  设置CSP策略
    5.5.4  启用HttpOnly属性
  5.6  习题
第6章  SSRF漏洞
  6.1  SSRF漏洞概述

  6.2  SSRF漏洞分类
  6.3  SSRF漏洞利用
    6.3.1  探测内网信息
    6.3.2  读取敏感文件
    6.3.3  攻击内网服务
  6.4  SSRF漏洞绕过
    6.4.1  重定向跳转绕过
    6.4.2  URL解析差异绕过
    6.4.3  绕过内网关键字过滤
  6.5  SSRF漏洞防御
  6.6  习题
第7章  反序列化漏洞
  7.1  反序列化漏洞概述
  7.2  PHP的序列化与反序列化
    7.2.1  序列化
    7.2.2  反序列化
  7.3  常见的PHP魔术方法
  7.4  POP链的构造
  7.5  反序列化漏洞示例
  7.6  反序列化漏洞利用
    7.6.1  PHP原生类利用
    7.6.2  Phar反序列化
  7.7  反序列化漏洞绕过
    7.7.1  绕过针对__wakeup()方法的防御机制
    7.7.2  绕过正则表达式检测
  7.8  反序列化漏洞防御
  7.9  习题
第8章  逻辑漏洞(上)
  8.1  权限问题
    8.1.1  未授权访问
    8.1.2  水平越权
    8.1.3  垂直越权
    8.1.4  暴力破解登录凭证
  8.2  权限问题防御
  8.3  数据问题
    8.3.1  整数溢出
    8.3.2  精度问题
    8.3.3  负数问题
    8.3.4  优惠券问题
    8.3.5  用户数据泄露
  8.4  数据问题防御
  8.5  习题
第9章  逻辑漏洞(下)
  9.1  验证码漏洞
    9.1.1  暴力破解验证码
    9.1.2  服务端返回验证码文本
    9.1.3  短信验证码未绑定手机号
    9.1.4  短信验证码轰炸
    9.1.5  图形验证码不强制刷新
    9.1.6  其他验证码绕过问题

  9.2  验证码漏洞防御
  9.3  密码重置漏洞
  9.4  密码重置漏洞防御
  9.5  习题
参考文献

内容大纲

作者介绍

目录

同类热销排行榜

推荐书目