- Web應(yīng)用安全
- 喬治錫等主編
- 2361字
- 2024-05-24 17:46:57
前言
隨著Web 2.0、社交網(wǎng)絡(luò)等新型互聯(lián)網(wǎng)平臺(tái)的出現(xiàn),基于Web平臺(tái)的互聯(lián)網(wǎng)應(yīng)用得到了廣泛普及。在企業(yè)信息化過程中,各種應(yīng)用都依托于Web平臺(tái)來運(yùn)行,然而這也帶來了與之相關(guān)的Web安全威脅。黑客可以利用Web應(yīng)用服務(wù)程序漏洞獲取Web服務(wù)器的控制權(quán)限,輕則導(dǎo)致網(wǎng)頁內(nèi)容被篡改,重則導(dǎo)致重要核心機(jī)密數(shù)據(jù)被竊取,黑客甚至可以在網(wǎng)頁中植入惡意代碼,從而對網(wǎng)站訪問者造成侵害。
2017年6月1日,《中華人民共和國網(wǎng)絡(luò)安全法》的施行使得網(wǎng)絡(luò)安全這一概念深入人心。為了保障網(wǎng)絡(luò)的安全性,越來越多的高校學(xué)生和企業(yè)員工開始接觸網(wǎng)絡(luò)安全。在作者實(shí)施網(wǎng)絡(luò)安全項(xiàng)目時(shí),通過企業(yè)人員、高校教師和學(xué)生等多方反饋,發(fā)現(xiàn)目前市場上缺乏一本以Web應(yīng)用安全為主題、深入剖析Web應(yīng)用安全漏洞利用的圖書。因此,為了讓對Web應(yīng)用安全感興趣的讀者了解黑客攻擊手法、學(xué)習(xí)相關(guān)攻防技術(shù),并更好地參與到網(wǎng)絡(luò)安全保障事業(yè)中,這本以實(shí)踐操作為核心的圖書問世了。
本書結(jié)合網(wǎng)絡(luò)安全攻防項(xiàng)目數(shù)據(jù),以PHP語言為基礎(chǔ),全面講解了多種漏洞的形成原理和利用方式。讀者可以通過學(xué)習(xí)漏洞利用的方式,了解漏洞的危害并學(xué)習(xí)修復(fù)方法。不論是初學(xué)者還是有工作經(jīng)驗(yàn)的從業(yè)者,都能通過本書系統(tǒng)地學(xué)習(xí)Web應(yīng)用安全漏洞和安全技術(shù)。
本書以由淺入深的方式,全面介紹了Web應(yīng)用安全體系,涵蓋的內(nèi)容包括Web安全環(huán)境搭建、Web安全工具、Web應(yīng)用安全漏洞、漏洞挖掘?qū)崙?zhàn)等。該書適合作為高等院校網(wǎng)絡(luò)空間安全、信息安全和網(wǎng)絡(luò)工程等相關(guān)專業(yè)的教材,也適合作為網(wǎng)絡(luò)安全從業(yè)人員和研究人員的參考書。
本書具備以下5個(gè)特點(diǎn)。
● 本書的第一篇和第二篇分別介紹了Web安全環(huán)境的搭建和Web安全工具的使用。初學(xué)者可以通過學(xué)習(xí)這兩篇的內(nèi)容,安裝并配置所需的Web應(yīng)用攻防環(huán)境和安全工具,為后續(xù)學(xué)習(xí)做好準(zhǔn)備。
● 本書采用由淺入深的方式,首先幫助讀者配置 Web 安全環(huán)境和工具,然后深入探討Web 應(yīng)用安全漏洞,幫助讀者初步掌握安全工具的使用方法、漏洞的研判與利用,最后通過模擬仿真的Web應(yīng)用安全評(píng)估項(xiàng)目,進(jìn)一步加強(qiáng)讀者對安全漏洞的測試技術(shù)與利用方法的理解。
● 本書的項(xiàng)目包含項(xiàng)目描述、項(xiàng)目分析和背景知識(shí),幫助讀者明確學(xué)習(xí)該技能點(diǎn)所需的知識(shí)。
● 本書注重實(shí)踐,通過學(xué)習(xí)本書,讀者可以更加清楚地了解Web應(yīng)用的各種威脅與其利用方法,從而明確這些威脅可能帶來的危害。同時(shí),本書還以漏洞利用為視角,擴(kuò)展了漏洞防范的加固方法。
● 本書中的每個(gè)項(xiàng)目與任務(wù)的末尾均提供了提高拓展和練習(xí)實(shí)訓(xùn)內(nèi)容,旨在激發(fā)讀者的學(xué)習(xí)思維并幫助他們注意學(xué)習(xí)過程中可能忽略的知識(shí)點(diǎn)和事項(xiàng)。這些內(nèi)容有助于讀者深化理解并擴(kuò)展應(yīng)用。
本書結(jié)構(gòu)組織
本書分為四篇,共22章。通過以Web安全環(huán)境、Web安全工具為切入點(diǎn),循序漸進(jìn)引入了Web應(yīng)用安全威脅分析、判斷方法和綜合性的Web安全評(píng)估。接下來,介紹一下各篇的主要內(nèi)容。
● 第一篇:Web安全環(huán)境搭建。通過學(xué)習(xí)本篇內(nèi)容,讀者將學(xué)會(huì)在Windows物理機(jī)上安裝虛擬化系統(tǒng),以及配置Web應(yīng)用程序的運(yùn)行環(huán)境。掌握這些技能將有助于讀者在后續(xù)學(xué)習(xí)中進(jìn)行環(huán)境調(diào)試和函數(shù)功能解讀等。
● 第二篇:Web安全工具使用。本篇主要介紹了Web應(yīng)用安全測試中測試人員常用工具的使用方法。通過學(xué)習(xí)本篇內(nèi)容,讀者可以為第三篇的學(xué)習(xí)打下基礎(chǔ),提前熟悉并安裝常用工具,從而增強(qiáng)學(xué)習(xí)后續(xù)操作的能力。
● 第三篇:Web應(yīng)用安全漏洞剖析。通過學(xué)習(xí)本篇內(nèi)容,讀者將掌握常見Web應(yīng)用漏洞的利用方式,并通過實(shí)戰(zhàn)練習(xí)了解漏洞的危害,從而提高個(gè)人的安全意識(shí)和專業(yè)水平。
● 第四篇:漏洞挖掘?qū)崙?zhàn)。本篇基于真實(shí)的Web應(yīng)用安全評(píng)估項(xiàng)目,以模擬企業(yè)安全項(xiàng)目實(shí)施人員操作的視角對指定系統(tǒng)進(jìn)行安全檢查。通過學(xué)習(xí)本篇內(nèi)容,讀者將鞏固并提升漏洞理解能力,同時(shí)拓展Web應(yīng)用安全測試的思路和能力。
目標(biāo)讀者
本書面向的讀者包含但不限于高等院校網(wǎng)絡(luò)空間安全、信息安全和網(wǎng)絡(luò)工程等相關(guān)專業(yè)的師生,對Web應(yīng)用安全、滲透測試和網(wǎng)絡(luò)安全感興趣的人士,以及希望從事網(wǎng)絡(luò)安全相關(guān)工作或提升個(gè)人網(wǎng)絡(luò)安全意識(shí)的人群。通過學(xué)習(xí)本書,您將能夠全面掌握并明確了解Web應(yīng)用中常見的安全威脅。為了提升學(xué)習(xí)效果,在閱讀本書之前,建議您提前學(xué)習(xí)以下知識(shí)。
● 計(jì)算機(jī)和網(wǎng)絡(luò)知識(shí),如操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)設(shè)備等。
● 編程和腳本語言知識(shí),如Python、PowerShell等。
● Web開發(fā)和數(shù)據(jù)庫知識(shí),如HTML、PHP、MySQL等。
● 各種編碼方式,包含但不限于URL編碼、Base64編碼、Hex編碼等。
特別說明
本書中使用的所有URL或IP地址均在作者搭建的測試環(huán)境中使用,若與現(xiàn)有的URL或IP地址存在重復(fù),純屬偶然現(xiàn)象。本書的測試環(huán)境和網(wǎng)站源碼是由作者自行編寫或從公開的源碼庫中獲取的,作者還進(jìn)行了必要的環(huán)境搭建。
本書僅供學(xué)習(xí),請讀者遵守國家相關(guān)法律法規(guī),嚴(yán)禁利用本書從事任何非法行為。Web應(yīng)用安全評(píng)估是一項(xiàng)高風(fēng)險(xiǎn)的技術(shù)活動(dòng),如違反相關(guān)法律法規(guī)可能造成嚴(yán)重后果。根據(jù)《中華人民共和國刑法》第二百八十六條規(guī)定,未經(jīng)授權(quán),對計(jì)算機(jī)信息系統(tǒng)功能進(jìn)行刪除、修改、增加、干擾,造成計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行,后果嚴(yán)重的,處五年以下有期徒刑或者拘役;后果特別嚴(yán)重的,處五年以上有期徒刑。因此,強(qiáng)烈建議您在學(xué)習(xí)和使用這項(xiàng)技術(shù)時(shí)務(wù)必遵守相關(guān)法律法規(guī),切勿從事任何違法行為。
為了方便您獲取本書豐富的配套資源,建議您關(guān)注我們的官方微信公眾號(hào)“恒星EDU”(微信號(hào):cyberslab)。我們將在此平臺(tái)上定期發(fā)布與本書相關(guān)的配套資源信息,為您的學(xué)習(xí)之路提供更多的支持。
由于編寫時(shí)間緊迫,本書可能存在疏漏或不完善之處,歡迎讀者批評(píng)指正。
致謝
在此,感謝杭州安恒信息技術(shù)股份有限公司的王倫信息安全測試員技能大師工作室和恒星實(shí)驗(yàn)室的精英團(tuán)隊(duì)成員,包括吳鳴旦、樊睿、葉雷鵬、王倫、李肇、楊益鳴、孔韜循、鄭鑫、李小霜、鄭宇、陸淼波、章正宇、趙今、舒鐘源、劉美辰、郭廓、曾盈。他們在專業(yè)知識(shí)和技能方面為我們提供了寶貴的指導(dǎo)和建議,同時(shí),在書稿的撰寫和校對過程中,也給予了我們極大的幫助和支持。正是由于他們的鼎力相助,本書才能夠順利完成。
- 2020年全國小學(xué)生英語競賽(五年級(jí)組)歷年真題及模擬試題詳解【附高清視頻講解】
- 核電站安全文化
- 2020年內(nèi)蒙古自治區(qū)選聘大學(xué)生村官考試《基本素質(zhì)測試》題庫【真題精選+章節(jié)題庫+模擬試題】
- 結(jié)構(gòu)設(shè)計(jì)BIM應(yīng)用與實(shí)踐
- 胡壯麟《語言學(xué)教程》(第3版)配套題庫【名校考研真題+課后習(xí)題+章節(jié)題庫+模擬試題】
- 財(cái)政管理案例選編
- 井壁穩(wěn)定預(yù)測技術(shù)
- 重慶大學(xué)外國語學(xué)院242俄語(二外)歷年考研真題及詳解
- 2020年P(guān)ETS四級(jí)核心詞匯全突破【附高清視頻講解】(下)
- 信號(hào)設(shè)備故障分析及處理
- 中級(jí)財(cái)務(wù)會(huì)計(jì)
- 浙江師范大學(xué)法政學(xué)院437社會(huì)工作實(shí)務(wù)[專業(yè)碩士]歷年考研真題及詳解
- 2020年海南省選調(diào)生考試《行政職業(yè)能力測驗(yàn)》考點(diǎn)精講及典型題(含歷年真題)詳解
- 物流概論(第二版)
- 南京航空航天大學(xué)外國語學(xué)院213翻譯碩士日語[專業(yè)碩士]歷年考研真題及詳解