滿額折
Web安全程序設計與實踐(簡體書)
- ISBN13:9787560652979
- 出版社:西安電子科技大學出版社
- 作者:孫海峰
- 裝訂/頁數:平裝/216頁
- 規格:26cm*19cm (高/寬)
- 版次:一版
- 出版日:2019/04/01
相關商品
商品簡介
目次
商品簡介
內 容 簡 介本書主要講述Web安全漏洞的分析與防護。全書共分為四篇,第一篇為預備知識,包括Web服務器平臺安裝與配置和Web開發基礎兩個項目;第二篇為SQL注入攻擊及防護,包括萬能密碼登錄――Post型注入攻擊、數據庫暴庫――Get型注入攻擊、更新密碼――二階注入攻擊、Cookie注入攻擊和HTTP頭部注入攻擊五個項目;第三篇為前端攻擊及防護,包括Session欺騙攻擊、Cookie欺騙攻擊、XSS跨站攻擊、CSRF跨站偽造請求攻擊和驗證碼五個項目;第四篇為文件漏洞及防護,包括文件上傳漏洞、文件下載漏洞、文件解析漏洞和文件包含漏洞四個項目。
本書可作為普通高校計算機及相關專業學生學習Web程序設計的教材或參考書,也可供從事Web程序設計的技術人員學習和參考。
本書可作為普通高校計算機及相關專業學生學習Web程序設計的教材或參考書,也可供從事Web程序設計的技術人員學習和參考。
目次
第一篇 預 備 知 識
項目1 Web服務器平臺安裝與配置 2
【項目描述】 2
【知識儲備】 2
任務1-1 安裝Web服務器操作系統 4
任務1-2 安裝並配置PHP 6
任務1-3 安裝並配置MySQL 7
任務1-4 安裝並配置Apache 9
【項目總結】 11
【拓展思考】 11
項目2 Web開發基礎 12
【項目描述】 12
【知識儲備】 12
任務2-1 MySQL數據庫的使用 14
任務2-2 靜態網頁開發 18
任務2-3 PHP動態網頁開發 24
【項目總結】 26
【拓展思考】 26
第二篇 SQL注入攻擊及防護
項目3 萬能密碼登錄――Post型
注入攻擊 28
【項目描述】 28
【知識儲備】 28
任務3-1 創建數據庫 30
任務3-2 建立基於Session驗證的
用戶登錄網站 32
3-2-1 任務實現 32
3-2-2 功能測試 36
任務3-3 萬能密碼SQL注入攻擊測試 37
3-3-1 測試過程 37
3-3-2 其他形式的萬能密碼 38
3-3-3 測試分析 38
任務3-4 萬能密碼SQL注入攻擊防護 39
3-4-1 使用正則表達式限制用戶輸入 39
3-4-2 使用PHP轉義函數 41
3-4-3 MySQLi參數化查詢 42
3-4-4 PDO參數化查詢 43
【項目總結】 45
【拓展思考】 45
項目4 數據庫暴庫――Get型
注入攻擊 46
【項目描述】 46
【知識儲備】 46
任務4-1 創建數據庫 47
任務4-2 建立Get方式查詢的網站 48
4-2-1 任務實現 48
4-2-2 功能測試 50
任務4-3 數據庫暴庫攻擊測試 50
4-3-1 暴數據庫 50
4-3-2 暴lab數據庫的數據表 51
4-3-3 暴users表的所有列 52
4-3-4 暴users表的數據 52
4-3-5 測試分析 53
任務4-4 Get型攻擊防護 54
4-4-1 使用PHP轉義函數 54
4-4-2 MySQLi參數化查詢 54
【項目總結】 56
【拓展思考】 56
項目5 更新密碼――二階注入攻擊 57
【項目描述】 57
【知識儲備】 57
任務5-1 建立具有密碼更新功能的網站 57
5-1-1 任務實現 58
5-1-2 功能測試 62
任務5-2 二階注入攻擊測試 63
5-2-1 測試過程 63
5-2-2 測試分析 65
任務5-3 二階注入攻擊防護 66
5-3-1 使用PHP轉義函數 66
5-3-2 MySQLi參數化更新 67
【項目總結】 68
【拓展思考】 68
項目6 Cookie注入攻擊 69
【項目描述】 69
【知識儲備】 69
任務6-1 建立具有Cookie驗證
功能的網站 70
6-1-1 任務實現 70
6-1-2 Cookie驗證功能測試 73
任務6-2 Cookie注入攻擊測試 74
6-2-1 安裝瀏覽器插件 74
6-2-2 Cookie注入攻擊過程 75
6-2-3 測試分析 77
任務6-3 Cookie注入攻擊防護 77
【項目總結】 79
【拓展思考】 79
項目7 HTTP頭部注入攻擊 80
【項目描述】 80
【知識儲備】 80
任務7-1 創建數據庫 81
任務7-2 建立具有HTTP頭部信息
保存功能的網站 82
7-2-1 任務實現 82
7-2-2 HTTP頭部信息保存功能測試 84
任務7-3 HTTP頭部注入攻擊測試 85
7-3-1 安裝瀏覽器插件 85
7-3-2 HTTP頭部注入攻擊 86
7-3-3 測試分析 88
任務7-4 HTTP頭部注入攻擊防護 88
7-4-1 轉義函數防注入 89
7-4-2 MySQLi參數化插入防注入 89
【項目總結】 92
【拓展思考】 92
第三篇 前端攻擊及防護
項目8 Session欺騙攻擊 94
【項目描述】 94
【知識儲備】 94
任務8-1 Session欺騙攻擊測試 94
8-1-1 測試準備 95
8-1-2 從瀏覽器複製SessionID 95
8-1-3 Session欺騙攻擊實施 96
8-1-4 測試分析 97
任務8-2 Session欺騙攻擊防護 97
8-2-1 使用注銷機制退出登錄 98
8-2-2 給Session設置生存時間 98
8-2-3 檢測User-Agent的一致性 99
8-2-4 重置SessionID 101
【項目總結】 103
【拓展思考】 103
項目9 Cookie欺騙攻擊 104
【項目描述】 104
【知識儲備】 104
任務9-1 修改數據庫 104
任務9-2 Cookie欺騙攻擊測試 105
9-2-1 測試準備 105
9-2-2 測試實施 105
9-2-3 測試分析 107
任務9-3 Cookie欺騙攻擊防護 107
9-3-1 設置特殊鍵值對 107
9-3-2 檢測User-Agent的一致性 108
【項目總結】 112
【拓展思考】 112
項目10 XSS跨站攻擊 113
【項目描述】 113
【知識儲備】 113
任務10-1 創建數據庫 114
任務10-2 建立具有接收SessionID
功能的網站 115
任務10-3 建立具有留言功能的網站 116
10-3-1 任務實現 116
10-3-2 留言功能測試 119
任務10-4 XSS攻擊測試 121
10-4-1 彈窗式XSS攻擊測試 121
10-4-2 竊取SessionID攻擊測試 122
10-4-3 測試分析 124
任務10-5 XSS攻擊防護 125
10-5-1 設置Cookie的HttpOnly屬性 125
10-5-2 HTML轉義 126
10-5-3 JavaScript轉義 126
【項目總結】 128
【拓展思考】 128
項目11 CSRF跨站偽造請求攻擊 129
【項目描述】 129
【知識儲備】 129
任務11-1 建立具有添加用戶
???功能的網站 130
11-1-1 任務實現 130
11-1-2 添加用戶功能測試 133
任務11-2 建立具有CSRF攻擊
功能的網站 133
任務11-3 CSRF攻擊測試 134
11-3-1 測試實施 134
11-3-2 測試分析 134
任務11-4 CSRF攻擊防護 135
11-4-1 設置HTTP Referer驗證 135
11-4-2 設置確認對話框 141
【項目總結】 143
【拓展思考】 143
項目12 驗證碼 144
【項目描述】 144
【知識儲備】 144
任務12-1 Web登錄密碼破解測試 145
12-1-1 準備工作 145
12-1-2 測試實施 147
12-1-3 測試分析 148
任務12-2 建立具有驗證碼登錄
?驗證的網站 148
12-2-1 準備工作 149
12-2-2 任務實現 149
12-2-3 驗證碼的功能測試 153
12-2-4 測試分析 153
【項目總結】 154
【拓展思考】 154
第四篇 文件漏洞及防護
項目13 文件上傳漏洞 156
【項目描述】 156
【知識儲備】 156
任務13-1 項目平臺搭建 157
13-1-1 安裝PHP5.3.3 157
13-1-2 安裝Apache2.2 157
13-1-3 服務測試 158
任務13-2 建立基於白名單過濾的
上傳網站 159
13-2-1 準備工作 159
13-2-2 任務實現 159
13-2-3 文件上傳功能測試 164
任務13-3 文件上傳漏洞攻擊測試 164
13-3-1 Fiddler和瀏覽器的設置 165
13-3-2 MIME上傳漏洞攻擊 167
13-3-3 0x00截斷路徑上傳漏洞 170
13-3-4 測試分析 173
任務13-4 文件上傳漏洞防護 173
13-4-1 判斷路徑變量 173
13-4-2 文件重命名 173
13-4-3 設置非Web目錄保存文件 174
【項目總結】 175
【拓展思考】 176
項目14 文件下載漏洞 177
【項目描述】 177
【知識儲備】 177
任務14-1 建立具有文件下載
???功能的網站 178
14-1-1 準備工作 178
14-1-2 任務實現 178
14-1-3 文件下載功能測試 180
任務14-2 文件下載漏洞測試 180
14-2-1 測試實施 180
14-2-2 測試分析 181
任務14-3 文件下載漏洞防護 182
14-3-1 設置open_basedir 182
14-3-2 設置正則表達式 183
【項目總結】 184
【拓展思考】 184
項目15 文件解析漏洞 185
【項目描述】 185
【知識儲備】 185
任務15-1 建立基於黑名單過濾的上傳網站 186
15-1-1 準備工作 186
15-1-2 任務實現 186
15-1-3 文件上傳功能測試 187
任務15-2 文件解析漏洞測試 188
15-2-1 測試實施 188
15-2-2 測試分析 190
任務15-3 文件解析漏洞防護 191
15-3-1 文件名字符串過濾 191
15-3-2 禁止Apache解析 191
【項目總結】 192
【拓展思考】 193
項目16 文件包含漏洞 194
【項目描述】 194
【知識儲備】 194
任務16-1 建立具有文件包含
?功能的網站 195
16-1-1 任務實現 195
16-1-2 文件包含功能測試 201
任務16-2 文件包含漏洞測試 202
16-2-1 獲取系統信息 202
16-2-2 結合上傳功能運行木馬 204
16-2-3 遠程文件包含 204
16-2-4 測試分析 204
任務16-3 文件包含漏洞防護 205
16-3-1 設置open_basedir 205
16-3-2 正則表達式過濾 205
【項目總結】 206
【拓展思考】 207
參考文獻 208
項目1 Web服務器平臺安裝與配置 2
【項目描述】 2
【知識儲備】 2
任務1-1 安裝Web服務器操作系統 4
任務1-2 安裝並配置PHP 6
任務1-3 安裝並配置MySQL 7
任務1-4 安裝並配置Apache 9
【項目總結】 11
【拓展思考】 11
項目2 Web開發基礎 12
【項目描述】 12
【知識儲備】 12
任務2-1 MySQL數據庫的使用 14
任務2-2 靜態網頁開發 18
任務2-3 PHP動態網頁開發 24
【項目總結】 26
【拓展思考】 26
第二篇 SQL注入攻擊及防護
項目3 萬能密碼登錄――Post型
注入攻擊 28
【項目描述】 28
【知識儲備】 28
任務3-1 創建數據庫 30
任務3-2 建立基於Session驗證的
用戶登錄網站 32
3-2-1 任務實現 32
3-2-2 功能測試 36
任務3-3 萬能密碼SQL注入攻擊測試 37
3-3-1 測試過程 37
3-3-2 其他形式的萬能密碼 38
3-3-3 測試分析 38
任務3-4 萬能密碼SQL注入攻擊防護 39
3-4-1 使用正則表達式限制用戶輸入 39
3-4-2 使用PHP轉義函數 41
3-4-3 MySQLi參數化查詢 42
3-4-4 PDO參數化查詢 43
【項目總結】 45
【拓展思考】 45
項目4 數據庫暴庫――Get型
注入攻擊 46
【項目描述】 46
【知識儲備】 46
任務4-1 創建數據庫 47
任務4-2 建立Get方式查詢的網站 48
4-2-1 任務實現 48
4-2-2 功能測試 50
任務4-3 數據庫暴庫攻擊測試 50
4-3-1 暴數據庫 50
4-3-2 暴lab數據庫的數據表 51
4-3-3 暴users表的所有列 52
4-3-4 暴users表的數據 52
4-3-5 測試分析 53
任務4-4 Get型攻擊防護 54
4-4-1 使用PHP轉義函數 54
4-4-2 MySQLi參數化查詢 54
【項目總結】 56
【拓展思考】 56
項目5 更新密碼――二階注入攻擊 57
【項目描述】 57
【知識儲備】 57
任務5-1 建立具有密碼更新功能的網站 57
5-1-1 任務實現 58
5-1-2 功能測試 62
任務5-2 二階注入攻擊測試 63
5-2-1 測試過程 63
5-2-2 測試分析 65
任務5-3 二階注入攻擊防護 66
5-3-1 使用PHP轉義函數 66
5-3-2 MySQLi參數化更新 67
【項目總結】 68
【拓展思考】 68
項目6 Cookie注入攻擊 69
【項目描述】 69
【知識儲備】 69
任務6-1 建立具有Cookie驗證
功能的網站 70
6-1-1 任務實現 70
6-1-2 Cookie驗證功能測試 73
任務6-2 Cookie注入攻擊測試 74
6-2-1 安裝瀏覽器插件 74
6-2-2 Cookie注入攻擊過程 75
6-2-3 測試分析 77
任務6-3 Cookie注入攻擊防護 77
【項目總結】 79
【拓展思考】 79
項目7 HTTP頭部注入攻擊 80
【項目描述】 80
【知識儲備】 80
任務7-1 創建數據庫 81
任務7-2 建立具有HTTP頭部信息
保存功能的網站 82
7-2-1 任務實現 82
7-2-2 HTTP頭部信息保存功能測試 84
任務7-3 HTTP頭部注入攻擊測試 85
7-3-1 安裝瀏覽器插件 85
7-3-2 HTTP頭部注入攻擊 86
7-3-3 測試分析 88
任務7-4 HTTP頭部注入攻擊防護 88
7-4-1 轉義函數防注入 89
7-4-2 MySQLi參數化插入防注入 89
【項目總結】 92
【拓展思考】 92
第三篇 前端攻擊及防護
項目8 Session欺騙攻擊 94
【項目描述】 94
【知識儲備】 94
任務8-1 Session欺騙攻擊測試 94
8-1-1 測試準備 95
8-1-2 從瀏覽器複製SessionID 95
8-1-3 Session欺騙攻擊實施 96
8-1-4 測試分析 97
任務8-2 Session欺騙攻擊防護 97
8-2-1 使用注銷機制退出登錄 98
8-2-2 給Session設置生存時間 98
8-2-3 檢測User-Agent的一致性 99
8-2-4 重置SessionID 101
【項目總結】 103
【拓展思考】 103
項目9 Cookie欺騙攻擊 104
【項目描述】 104
【知識儲備】 104
任務9-1 修改數據庫 104
任務9-2 Cookie欺騙攻擊測試 105
9-2-1 測試準備 105
9-2-2 測試實施 105
9-2-3 測試分析 107
任務9-3 Cookie欺騙攻擊防護 107
9-3-1 設置特殊鍵值對 107
9-3-2 檢測User-Agent的一致性 108
【項目總結】 112
【拓展思考】 112
項目10 XSS跨站攻擊 113
【項目描述】 113
【知識儲備】 113
任務10-1 創建數據庫 114
任務10-2 建立具有接收SessionID
功能的網站 115
任務10-3 建立具有留言功能的網站 116
10-3-1 任務實現 116
10-3-2 留言功能測試 119
任務10-4 XSS攻擊測試 121
10-4-1 彈窗式XSS攻擊測試 121
10-4-2 竊取SessionID攻擊測試 122
10-4-3 測試分析 124
任務10-5 XSS攻擊防護 125
10-5-1 設置Cookie的HttpOnly屬性 125
10-5-2 HTML轉義 126
10-5-3 JavaScript轉義 126
【項目總結】 128
【拓展思考】 128
項目11 CSRF跨站偽造請求攻擊 129
【項目描述】 129
【知識儲備】 129
任務11-1 建立具有添加用戶
???功能的網站 130
11-1-1 任務實現 130
11-1-2 添加用戶功能測試 133
任務11-2 建立具有CSRF攻擊
功能的網站 133
任務11-3 CSRF攻擊測試 134
11-3-1 測試實施 134
11-3-2 測試分析 134
任務11-4 CSRF攻擊防護 135
11-4-1 設置HTTP Referer驗證 135
11-4-2 設置確認對話框 141
【項目總結】 143
【拓展思考】 143
項目12 驗證碼 144
【項目描述】 144
【知識儲備】 144
任務12-1 Web登錄密碼破解測試 145
12-1-1 準備工作 145
12-1-2 測試實施 147
12-1-3 測試分析 148
任務12-2 建立具有驗證碼登錄
?驗證的網站 148
12-2-1 準備工作 149
12-2-2 任務實現 149
12-2-3 驗證碼的功能測試 153
12-2-4 測試分析 153
【項目總結】 154
【拓展思考】 154
第四篇 文件漏洞及防護
項目13 文件上傳漏洞 156
【項目描述】 156
【知識儲備】 156
任務13-1 項目平臺搭建 157
13-1-1 安裝PHP5.3.3 157
13-1-2 安裝Apache2.2 157
13-1-3 服務測試 158
任務13-2 建立基於白名單過濾的
上傳網站 159
13-2-1 準備工作 159
13-2-2 任務實現 159
13-2-3 文件上傳功能測試 164
任務13-3 文件上傳漏洞攻擊測試 164
13-3-1 Fiddler和瀏覽器的設置 165
13-3-2 MIME上傳漏洞攻擊 167
13-3-3 0x00截斷路徑上傳漏洞 170
13-3-4 測試分析 173
任務13-4 文件上傳漏洞防護 173
13-4-1 判斷路徑變量 173
13-4-2 文件重命名 173
13-4-3 設置非Web目錄保存文件 174
【項目總結】 175
【拓展思考】 176
項目14 文件下載漏洞 177
【項目描述】 177
【知識儲備】 177
任務14-1 建立具有文件下載
???功能的網站 178
14-1-1 準備工作 178
14-1-2 任務實現 178
14-1-3 文件下載功能測試 180
任務14-2 文件下載漏洞測試 180
14-2-1 測試實施 180
14-2-2 測試分析 181
任務14-3 文件下載漏洞防護 182
14-3-1 設置open_basedir 182
14-3-2 設置正則表達式 183
【項目總結】 184
【拓展思考】 184
項目15 文件解析漏洞 185
【項目描述】 185
【知識儲備】 185
任務15-1 建立基於黑名單過濾的上傳網站 186
15-1-1 準備工作 186
15-1-2 任務實現 186
15-1-3 文件上傳功能測試 187
任務15-2 文件解析漏洞測試 188
15-2-1 測試實施 188
15-2-2 測試分析 190
任務15-3 文件解析漏洞防護 191
15-3-1 文件名字符串過濾 191
15-3-2 禁止Apache解析 191
【項目總結】 192
【拓展思考】 193
項目16 文件包含漏洞 194
【項目描述】 194
【知識儲備】 194
任務16-1 建立具有文件包含
?功能的網站 195
16-1-1 任務實現 195
16-1-2 文件包含功能測試 201
任務16-2 文件包含漏洞測試 202
16-2-1 獲取系統信息 202
16-2-2 結合上傳功能運行木馬 204
16-2-3 遠程文件包含 204
16-2-4 測試分析 204
任務16-3 文件包含漏洞防護 205
16-3-1 設置open_basedir 205
16-3-2 正則表達式過濾 205
【項目總結】 206
【拓展思考】 207
參考文獻 208
您曾經瀏覽過的商品
購物須知
大陸出版品因裝訂品質及貨運條件與台灣出版品落差甚大,除封面破損、內頁脫落等較嚴重的狀態,其餘商品將正常出貨。
特別提醒:部分書籍附贈之內容(如音頻mp3或影片dvd等)已無實體光碟提供,需以QR CODE 連結至當地網站註冊“並通過驗證程序”,方可下載使用。
無現貨庫存之簡體書,將向海外調貨:
海外有庫存之書籍,等候約45個工作天;
海外無庫存之書籍,平均作業時間約60個工作天,然不保證確定可調到貨,尚請見諒。
為了保護您的權益,「三民網路書店」提供會員七日商品鑑賞期(收到商品為起始日)。
若要辦理退貨,請在商品鑑賞期內寄回,且商品必須是全新狀態與完整包裝(商品、附件、發票、隨貨贈品等)否則恕不接受退貨。