目 錄

第1章　Web信息安全基礎 1
1.1　當前Web信息安全形勢 1
1.2　Web安全防護技術 4
第2章　信息安全法律法規(guī) 8
2.1　信息安全法律法規(guī) 8
2.2　案例分析 10
第3章　命令注入攻擊與防御 13
3.1　項目描述 13
3.2　項目分析 13
3.3　項目小結 19
3.4　項目訓練 20
3.4.1　實驗環(huán)境 20
3.4.2　命令注入攻擊原理分析 20
3.4.3　利用命令注入獲取信息 24
3.4.4 命令注入漏洞攻擊方法 27
3.4.5 防御命令注入攻擊 31
3.5　實訓任務 34
第4章　文件上傳攻擊與防御 35
4.1　項目描述 35
4.2　項目分析 35
4.3 項目小結 41
4.4 項目訓練 42
4.4.1 實驗環(huán)境 42
4.4.2 文件上傳漏洞原理分析 42
4.4.3 上傳木馬獲取控制權 48
4.4.4 文件上傳漏洞攻擊方法 52
4.4.5 文件上傳漏洞防御方法 54
4.5 實訓任務 56
第5章　SQL注入攻擊與防御 57
5.1 項目描述 57
5.2 項目分析 57
5.3 項目小結 71
5.4 項目訓練 72
5.4.1 實驗環(huán)境 72
5.4.2 SQL注入攻擊原理分析 72
5.4.3 文本框輸入的SQL注入方法 77
5.4.4 非文本框輸入的SQL注入方法 82
5.4.5 固定提示信息的滲透方法 89
5.4.6 利用SQL注入漏洞對文件進行讀寫 92
5.4.7 利用sqlmap完成SQL注入 94
5.4.8 防范SQL注入 98
5.5 實訓任務 102
第6章　SQL盲注攻擊與防御 103
6.1 項目描述 103
6.2 項目分析 103
6.3 項目小結 107
6.4 項目訓練 107
6.4.1 實驗環(huán)境 107
6.4.2 基于布爾值的字符注入原理 107
6.4.3 基于布爾值的字節(jié)注入原理 113
6.4.4 基于時間的注入原理 115
6.4.5 非文本框輸入的SQL盲注方法 120
6.4.6 固定提示信息的SQL盲注方法 128
6.4.7 利用Burp Suite暴力破解SQL盲注 130
6.4.8 SQL盲注防御方法 138
6.5 實訓任務 140
第7章　暴力破解攻擊與防御 141
7.1　項目描述 141
7.2　項目分析 141
7.3　項目小結 145
7.4　項目訓練 145
7.4.1　實驗環(huán)境 145
7.4.2　利用萬能密碼進行暴力破解 145
7.4.3　利用Burp Suite進行暴力破解 150
7.4.4　在中、高等安全級別下實施暴力破解 153
7.4.5　利用Bruter實施暴力破解 156
7.4.6　利用Hydra實施暴力破解 159
7.5　實訓任務 161
第8章　文件包含攻擊與防御 162
8.1　項目描述 162
8.2　項目分析 162
8.3　項目小結 166
8.4　項目訓練 166
8.4.1　實驗環(huán)境 166
8.4.2　文件包含漏洞原理 166
8.4.3　文件包含漏洞攻擊方法 171
8.4.4　繞過防御方法 173
8.4.5　文件包含漏洞的幾種應用方法 176
8.4.6　文件包含漏洞的防御方法 177
8.5　實訓任務 178
第9章　XSS攻擊與防御 179
9.1　項目描述 179
9.2　項目分析 179
9.3　項目小結 185
9.4　項目訓練 186
9.4.1　實驗環(huán)境 186
9.4.2　XSS攻擊原理 186
9.4.3　反射型XSS攻擊方法 189
9.4.4　存儲型XSS攻擊方法 190
9.4.5　利用Cookie完成Session劫持 190
9.4.6　XSS釣魚攻擊 192
9.4.7　防范XSS攻擊 195
9.5　實訓任務 198
第10章　CSRF攻擊與防御 199
10.1　項目描述 199
10.2　項目分析 199
10.3　項目小結 204
10.4　項目訓練 205
10.4.1　實驗環(huán)境 205
10.4.2　CSRF攻擊原理 205
10.4.3　顯性與隱性攻擊方式 208
10.4.4　模擬銀行轉賬攻擊 211
10.4.5　防范CSRF攻擊 215
10.5　實訓任務 219
第11章　代碼審計 220
11.1　代碼審計概述 220
11.2　常見代碼審計方法 221
11.3　代碼審計具體案例 222
參考文獻 223