第 1章　網(wǎng)絡(luò)安全導(dǎo)論1

1.1 網(wǎng)絡(luò)安全概述2

1.1.1 網(wǎng)絡(luò)安全基礎(chǔ)2

1.1.2 網(wǎng)絡(luò)安全體系4

1.1.3 網(wǎng)絡(luò)安全事件分析5

1.2 網(wǎng)絡(luò)安全法律法規(guī)7

1.2.1 網(wǎng)絡(luò)安全觀念與意識7

1.2.2 國內(nèi)外法律法規(guī)介紹8

1.2.3 網(wǎng)絡(luò)安全等級保護(hù)制度10

1.3 小結(jié)12

1.4 習(xí)題13

第 2章　網(wǎng)絡(luò)安全評估準(zhǔn)備工作14

2.1 網(wǎng)絡(luò)安全評估基礎(chǔ)15

2.1.1 網(wǎng)絡(luò)安全評估概述15

2.1.2 安全評估報告19

2.2 工作環(huán)境和工具介紹21

2.2.1 虛擬機(jī)環(huán)境21

2.2.2 網(wǎng)絡(luò)協(xié)議評估工具介紹22

2.2.3 Web安全評估工具介紹23

2.2.4 PHP代碼評估工具介紹23

2.3 項(xiàng)目1：網(wǎng)絡(luò)安全評估工作環(huán)境搭建29

2.3.1 任務(wù)1：虛擬機(jī)安裝和配置29

2.3.2 任務(wù)2：系統(tǒng)基礎(chǔ)環(huán)境準(zhǔn)備36

2.4 項(xiàng)目2：主機(jī)和網(wǎng)絡(luò)安全評估工具準(zhǔn)備40

2.4.1 任務(wù)1：網(wǎng)絡(luò)協(xié)議評估工具配置及調(diào)試40

2.4.2 任務(wù)2：Web評估工具配置及調(diào)試45

2.4.3 任務(wù)3：PHP代碼評估工具配置及調(diào)試52

2.5 小結(jié)57

2.6 習(xí)題58

第3章　主機(jī)及網(wǎng)絡(luò)系統(tǒng)安全評估實(shí)踐59

3.1 主機(jī)及網(wǎng)絡(luò)系統(tǒng)安全評估基礎(chǔ)60

3.1.1 網(wǎng)絡(luò)協(xié)議安全評估基礎(chǔ)60

3.1.2 主機(jī)系統(tǒng)安全評估基礎(chǔ)65

3.1.3 中間件安全評估基礎(chǔ)66

3.2 項(xiàng)目1：網(wǎng)絡(luò)協(xié)議安全評估實(shí)施68

3.2.1 任務(wù)1：網(wǎng)絡(luò)故障優(yōu)化協(xié)議安全評估69

3.2.2 任務(wù)2：拒絕服務(wù)攻擊流量安全評估72

3.2.3 任務(wù)3：惡意代碼攻擊流量安全評估74

3.3 項(xiàng)目2：主機(jī)系統(tǒng)安全評估實(shí)施76

3.3.1 任務(wù)1：Linux主機(jī)系統(tǒng)安全配置核查76

3.3.2 任務(wù)2：Linux主機(jī)系統(tǒng)安全加固86

3.4 項(xiàng)目3：中間件安全評估實(shí)施92

3.4.1 任務(wù)1：Tomcat任意文件上傳漏洞安全評估與驗(yàn)證93

3.4.2 任務(wù)2：FastCGI任意命令執(zhí)行漏洞安全評估與驗(yàn)證98

3.4.3 任務(wù)3：PHP-CGI任意命令執(zhí)行漏洞安全評估與驗(yàn)證108

3.4.4 任務(wù)4：Nginx目錄穿越漏洞安全評估與驗(yàn)證110

3.5 小結(jié)113

3.6 習(xí)題113

3.6.1　實(shí)操題113

3.6.2　思考題113

第4章　Web系統(tǒng)安全評估實(shí)踐114

4.1　Web系統(tǒng)安全評估基礎(chǔ)115

4.1.1 Web系統(tǒng)基礎(chǔ)知識115

4.1.2 Web系統(tǒng)安全評估123

4.1.3 任務(wù)：Web系統(tǒng)安全評估目標(biāo)環(huán)境搭建124

4.2 項(xiàng)目1：Web站點(diǎn)信息探測130

4.2.1 信息收集定義和分類130

4.2.2 任務(wù)1：存活主機(jī)探測和端口掃描132

4.2.3 任務(wù)2：Web站點(diǎn)基本信息收集135

4.2.4 任務(wù)3：Web站點(diǎn)WAF識別137

4.2.5 任務(wù)4：Web站點(diǎn)目錄掃描138

4.3 項(xiàng)目2：Web系統(tǒng)SQL注入漏洞安全評估141

4.3.1 SQL注入漏洞安全評估概述141

4.3.2 任務(wù)1：SQL注入漏洞安全評估143

4.3.3 任務(wù)2：Union注入漏洞安全評估148

4.3.4 任務(wù)3：SQL盲注漏洞安全評估154

4.3.5 任務(wù)4：HTTP文件頭注入漏洞安全評估158

4.3.6 任務(wù)5：Cookie注入漏洞安全評估161

4.3.7 任務(wù)6：二次注入漏洞安全評估164

4.4 項(xiàng)目3：Web系統(tǒng)XSS漏洞安全評估166

4.4.1 XSS漏洞安全評估概述166

4.4.2 任務(wù)：XSS漏洞安全評估實(shí)施168

4.5 項(xiàng)目4：Web系統(tǒng)其他漏洞安全評估175

4.5.1 任務(wù)1：CSRF漏洞安全評估175

4.5.2 任務(wù)2：SSRF漏洞安全評估178

4.5.3 任務(wù)3：邏輯漏洞安全評估182

4.5.4 任務(wù)4：文件上傳漏洞安全評估186

4.5.5 任務(wù)5：文件包含漏洞安全評估189

4.5.6 任務(wù)6：命令執(zhí)行漏洞安全評估194

4.6 小結(jié)196

4.7 習(xí)題196

4.7.1 簡答題196

4.7.2 實(shí)操題196

第5章　軟件代碼安全評估實(shí)踐197

5.1　軟件代碼安全評估基礎(chǔ)198

5.1.1　軟件代碼安全評估概述198

5.1.2　軟件代碼安全評估流程198

5.1.3　PHP基礎(chǔ)知識201

5.2　項(xiàng)目：PHP代碼安全評估實(shí)施205

5.2.1　任務(wù)1：PHP代碼安全評估205

5.2.2　任務(wù)2：軟件代碼安全評估工作報告224

5.3　小結(jié)227

5.4　習(xí)題227

5.4.1　實(shí)操題227

5.4.2　思考題227

第6章　企業(yè)網(wǎng)絡(luò)安全建設(shè)實(shí)踐228

6.1　企業(yè)安全建設(shè)基礎(chǔ)228

6.1.1　等級保護(hù)基本要求229

6.1.2　網(wǎng)絡(luò)安全設(shè)備232

6.2　項(xiàng)目1：安全區(qū)域邊界搭建235

6.2.1　任務(wù)1：防火墻部署與管理236

6.2.2　任務(wù)2：VPN部署與管理239

6.2.3　任務(wù)3：WAF部署與管理249

6.3　項(xiàng)目2：安全管理中心搭建253

6.3.1　任務(wù)1：堡壘機(jī)部署與管理253

6.3.2　任務(wù)2：終端管理系統(tǒng)部署與管理256

6.4　小結(jié)262

6.5　習(xí)題263

6.5.1　簡答題263

6.5.2　實(shí)操題263

附錄 網(wǎng)絡(luò)安全評估工具列表264

參考資料267