电子工业出版社-网上书店

本书介绍了 Web 中高危漏洞的形成原理、利用方法、加固和防御方法。全书共 11 个项目，项目一和项目二为 Web 信息安全基础知识与法律法规，主要论述了当前的信息安全状况、存在的问题。项目三～项目十主要介绍了命令注入、文件上传、SQL 注入、SQL 盲注、暴力破解、文件包含、XSS、CSRF 攻击与防御等漏洞原理、利用方法与针对性加固方法。项目十一为代码审计，主要分析了代码审计的必要性、代码审计的方法，以及代码审计的案例。本书既可以作为高等职业院校计算机网络与信息安全等相关专业的教材，也可以作为信息安全从业人员的学习指导用书。

项目一　认识Web安全基础	1
1.1　当前 Web 安全形势	1
1.2　Web 安全防御技术	5
1.3　Web 安全发展趋势	8
项目二　熟悉信息安全法律法规	11
2.1　信息安全相关法律法规	11
2.2　案例分析	16
项目三　命令注入攻击与防御	20
学习目标	20
项目描述	21
项目分析	21
项目相关知识点	22
项目实施	26
3.1　实验环境	26
3.2　命令注入攻击原理分析	27
3.3　利用命令注入漏洞获取信息	30
3.4  命令注入攻击方法分析	34
3.5  防御命令注入攻击	38
项目小结	42
同步练习	43
实训任务	44
项目四　文件上传攻击与防御	46
学习目标	46
项目描述	47
项目分析	47
项目相关知识点	48
项目实施	55
4.1  实验环境	55
4.2  文件上传攻击原理分析	55
4.3  上传木马获取控制权	62
4.4  文件上传攻击方法	67
4.5  文件上传攻击防御方法	69
项目小结	72
同步练习	73
实训任务	74
项目五　SQL注入攻击与防御	75
学习目标	75
项目描述	76
项目分析	76
项目相关知识点	77
项目实施	93
5.1  实验环境	93
5.2  SQL 注入攻击原理分析	93
5.3  文本框输入的 SQL 注入方法	99
5.4  非文本框输入的 SQL 注入方法	105
5.5  固定提示信息的渗透方法	113
5.6  利用 SQL 注入漏洞对文件进行读/写	115
5.7  利用 sqlmap 完成 SQL 注入	118
5.8  防御 SQL 注入攻击	122
项目小结	127
同步练习	128
实训任务	129
项目六　SQL盲注攻击与防御	130
学习目标	130
项目描述	131
项目分析	131
项目相关知识点	132
项目实施	135
6.1  实验环境	135
6.2  基于布尔值的字符注入	136
6.3  基于布尔值的字节注入	142
6.4  基于时间的注入	144
6.5  非文本框输入的 SQL 盲注	150
6.6  固定提示信息的 SQL 盲注	160
6.7  利用 Burp Suite 暴力破解 SQL 盲注	162
6.8  SQL 盲注攻击的防御	171
项目小结	174
同步练习	175
实训任务	177
项目七　暴力破解攻击与防御	178
学习目标	178
项目描述	179
项目分析	179
项目相关知识点	180
项目实施	184
7.1　实验环境	184
7.2　利用万能密码进行暴力破解攻击	184
7.3　利用 Burp Suite 进行暴力破解攻击	189
7.4　在中等、高等安全级别下实施暴力破解攻击	192
7.5　利用 Bruter 实施暴力破解攻击	199
7.6　利用 Hydra 实施暴力破解攻击	201
项目小结	204
同步练习	204
实训任务	206
项目八　文件包含攻击与防御	207
学习目标	207
项目描述	208
项目分析	208
项目相关知识点	209
项目实施	213
8.1　实验环境	213
8.2　文件包含漏洞原理分析	213
8.3　文件包含攻击	219
8.4　文件包含漏洞的绕过	221
8.5　文件包含漏洞的应用	224
8.6　文件包含攻击的防御	225
项目小结	227
同步练习	228
实训任务	229
项目九　XSS攻击与防御	230
学习目标	230
项目描述	231
项目分析	231
项目相关知识点	232
项目实施	239
9.1　实验环境	239
9.2　XSS 攻击原理分析	239
9.3　反射型 XSS 攻击	243
9.4　存储型 XSS 攻击	243
9.5　利用 Cookie 完成 Session 劫持	244
9.6　XSS 钓鱼攻击	246
9.7　防御 XSS 攻击	249
项目小结	252
同步练习	253
实训任务	254
项目十　CSRF攻击与防御	255
学习目标	255
项目描述	256
项目分析	256
项目相关知识点	257
项目实施	263
10.1　实验环境	263
10.2　CSRF 攻击原理分析	263
10.3　显性与隐性攻击	267
10.4　模拟银行转账攻击	269
10.5　防御 CSRF 攻击	274
项目小结	278
同步练习	279
实训任务	280
项目十一　代码审计	281
11.1　代码审计概述	281
11.2　常见代码审计方法	282
11.3　代码审计具体案例	283

党的二十大报告中指出，推动战略性新兴产业融合集群发展，构建新一代信息技术、人工智能、生物技术、新能源、新材料、高端装备、绿色环保等一批新的增长引擎。
为贯彻落实党的二十大精神，以培养高素质技能人才助推产业和技术发展，建设现代化产业体系，编者依据新一代信息技术领域的岗位需求和院校专业人才目标编写了本书。
“没有网络安全就没有国家安全，没有信息化就没有现代化。”我国在过去的十年间见证了信息化领域的迅猛发展，这一进程深刻影响并改变了民众生活的方方面面。然而，随着信息化的全面发展，网络安全问题也日益成为不容忽视的重大挑战。其中，Web 信息安全领域作为网络安全—乃至国家网络空间安全战略的核心构成之一，不仅成了网络防御的前沿阵地，还是与广大用户日常互动最为频繁的安全领域。
为了有效提升公众的网络安全意识，普及网络安全知识教育显得尤为迫切。网络安全是一个复杂而庞大的生态系统，它涵盖了通信设备、安全设备、服务器设施以及各类应用软件等多个维度的技术与知识。对于普通民众而言，Web 信息安全因其直接关联网络应用层面，因而与每个人的日常生活紧密相连，影响深远。
对于 Web 渗透测试工程师，深入掌握 Web 安全漏洞的原理、攻击手段以及相应的安全加固措施，是其专业技能体系中不可或缺的一环。在这个信息化高速发展的时代，Web 应用作为互联网服务的核心载体，其安全性直接关系到国家安全、企业利益乃至个人隐私的保护。因此，深入理解 Web 安全的每一个细节，不仅是职业发展的硬性要求，更是守护数字世界安宁的重要使命。
本书采用最容易让学习者理解的方式，通过场景化的项目案例将理论与技术应用密切结合，让技术应用更具画面感，通过标准化业务实施流程熟悉工作过程，通过项目拓展（实训任务）进一步巩固业务能力，促进学习者养成规范的职业行为。全书通过 8 个精心设计的项目案例，让学习者逐步地掌握 Web 漏洞原理、测试方法、加固方法，成为一名准 Web 渗透测试工程师。
本书鲜明的职业导向特色体现在以下几个方面。
一、课证岗深度融通，校企合作
本书携手深信服、天创等多家知名企业，深度融合其 Web 渗透测试工程师的课题体系与实战案例。通过校企合作开发，不仅确保了教学内容的前沿性和实用性，还实现了课程与职业资格认证、实际工作岗位需求的无缝对接，本书为学习者铺设了一条从理论到实践的快速通道。
二、项目驱动学习，课产深度融合实践
本书采用项目贯穿始终的教学方式，每个章节或模块均围绕 Web 渗透测试工程师岗位的实际工作场景设计。通过模拟真实项目，将理论知识与产业实践紧密结合，使学习者在解决实际问题的过程中，逐步掌握 Web 渗透测试的核心技能，实现学习与工作的无缝对接。
三、实训项目具有复合性和延续性
考虑企业真实工作项目的复合性，编者精心设计了实训项目。实训项目不仅考核与本项目相关的知识、技能和业务流程，还涉及前序知识与技能，强化了各阶段知识点、技能点之间的关联，让学生熟悉知识与技能在实际场景中的应用。
编者根据多年从事网络安全专业教学的经验，以及多年参与高等职业院校技能大赛信息安全管理与评估赛项的技术积累，采纳一线信息安全专家的建议，完成了本书的编写工作。本书在编写过程中得到了江苏天创科技有限公司的大力支持，该公司主要从事网络安全方面的工作，与苏州市政府具有广泛的合作。编者以该公司丰富的实战案例为依据，编写了本书。
本书由苏州市职业大学的王德鹏、谭方勇、张月红任主编，苏州市职业大学刘刚、江苏天创科技有限公司张洪璇任副主编。
由于水平有限，书中难免存在疏漏和不妥之处，敬请读者批评指正。

编　　者
2025 年 2 月

本书配套资源下载

对不起，暂无音视频资源！

Web基础渗透与防护（第2版）