网络安全评估(中级)

《网络安全评估（中级）》是“1+X”网络安全评估（中级）职业技能等级认证官方指定教材。全书共6章，包括网络安全导论、网络安全评估准备工作、主机及网络系统安全评估实践、Web系统安全评估实践、软件代码安全评估实践、企业网络安全建设实践。 《网络安全评估（中级）》可用于“1+X”证书制度试点工作中的网络安全评估职业技能等级认证的教学和培训，也适合用作应用型本科、职业院校、技师院校的教材，同时也适合用作从事网络安全评估、网络安全技术开发、网络安全管理和维护、网络安全系统集成等工作的技术人员的参考书。

杨晔，浙江警官职业学院教师、副教授、四级调研员、省级专业建设带头人、信息安全技术应用专业负责人，主要研究方向为软件开发、软件安全、自然语言处理、深度学习等。 周家豪，网络安全专家，拥有10余年网络安全领域从业经验，主要研究方向为网络安全人才岗位能力模型研究。 胡前伟，密码学硕士，主要研究方向为企业安全管理规划、Web安全、内网渗透、AI安全、密码学等，曾为多家国家级、省级重点企业和组织提供信息安全专项培训。

第 1章　网络安全导论 1 1.1 网络安全概述 2 1.1.1 网络安全基础 2 1.1.2 网络安全体系 4 1.1.3 网络安全事件分析 5 1.2 网络安全法律法规 7 1.2.1 网络安全观念与意识 7 1.2.2 国内外法律法规介绍 8 1.2.3 网络安全等级保护制度 10 1.3 小结 12 1.4 习题 13 第 2章　网络安全评估准备工作 14 2.1 网络安全评估基础 15 2.1.1 网络安全评估概述 15 2.1.2 安全评估报告 19 2.2 工作环境和工具介绍 21 2.2.1 虚拟机环境 21 2.2.2 网络协议评估工具介绍 22 2.2.3 Web安全评估工具介绍 23 2.2.4 PHP代码评估工具介绍 23 2.3 项目1：网络安全评估工作环境搭建 29 2.3.1 任务1：虚拟机安装和配置 29 2.3.2 任务2：系统基础环境准备 36 2.4 项目2：主机和网络安全评估工具准备 40 2.4.1 任务1：网络协议评估工具配置及调试 40 2.4.2 任务2：Web评估工具配置及调试 45 2.4.3 任务3：PHP代码评估工具配置及调试 52 2.5 小结 57 2.6 习题 58 第3章　主机及网络系统安全评估实践 59 3.1 主机及网络系统安全评估基础 60 3.1.1 网络协议安全评估基础 60 3.1.2 主机系统安全评估基础 65 3.1.3 中间件安全评估基础 66 3.2 项目1：网络协议安全评估实施 68 3.2.1 任务1：网络故障优化协议安全评估 69 3.2.2 任务2：拒绝服务攻击流量安全评估 72 3.2.3 任务3：恶意代码攻击流量安全评估 74 3.3 项目2：主机系统安全评估实施 76 3.3.1 任务1：Linux主机系统安全配置核查 76 3.3.2 任务2：Linux主机系统安全加固 86 3.4 项目3：中间件安全评估实施 92 3.4.1 任务1：Tomcat任意文件上传漏洞安全评估与验证 93 3.4.2 任务2：FastCGI任意命令执行漏洞安全评估与验证 98 3.4.3 任务3：PHP-CGI任意命令执行漏洞安全评估与验证 108 3.4.4 任务4：Nginx目录穿越漏洞安全评估与验证 110 3.5 小结 113 3.6 习题 113 3.6.1　实操题 113 3.6.2　思考题 113 第4章　Web系统安全评估实践 114 4.1　Web系统安全评估基础 115 4.1.1 Web系统基础知识 115 4.1.2 Web系统安全评估 123 4.1.3 任务：Web系统安全评估目标环境搭建 124 4.2 项目1：Web站点信息探测 130 4.2.1 信息收集定义和分类 130 4.2.2 任务1：存活主机探测和端口扫描 132 4.2.3 任务2：Web站点基本信息收集 135 4.2.4 任务3：Web站点WAF识别 137 4.2.5 任务4：Web站点目录扫描 138 4.3 项目2：Web系统SQL注入漏洞安全评估 141 4.3.1 SQL注入漏洞安全评估概述 141 4.3.2 任务1：SQL注入漏洞安全评估 143 4.3.3 任务2：Union注入漏洞安全评估 148 4.3.4 任务3：SQL盲注漏洞安全评估 154 4.3.5 任务4：HTTP文件头注入漏洞安全评估 158 4.3.6 任务5：Cookie注入漏洞安全评估 161 4.3.7 任务6：二次注入漏洞安全评估 164 4.4 项目3：Web系统XSS漏洞安全评估 166 4.4.1 XSS漏洞安全评估概述 166 4.4.2 任务：XSS漏洞安全评估实施 168 4.5 项目4：Web系统其他漏洞安全评估 175 4.5.1 任务1：CSRF漏洞安全评估 175 4.5.2 任务2：SSRF漏洞安全评估 178 4.5.3 任务3：逻辑漏洞安全评估 182 4.5.4 任务4：文件上传漏洞安全评估 186 4.5.5 任务5：文件包含漏洞安全评估 189 4.5.6 任务6：命令执行漏洞安全评估 194 4.6 小结 196 4.7 习题 196 4.7.1 简答题 196 4.7.2 实操题 196 第5章　软件代码安全评估实践 197 5.1　软件代码安全评估基础 198 5.1.1　软件代码安全评估概述 198 5.1.2　软件代码安全评估流程 198 5.1.3　PHP基础知识 201 5.2　项目：PHP代码安全评估实施 205 5.2.1　任务1：PHP代码安全评估 205 5.2.2　任务2：软件代码安全评估工作报告 224 5.3　小结 227 5.4　习题 227 5.4.1　实操题 227 5.4.2　思考题 227 第6章　企业网络安全建设实践 228 6.1　企业安全建设基础 228 6.1.1　等级保护基本要求 229 6.1.2　网络安全设备 232 6.2　项目1：安全区域边界搭建 235 6.2.1　任务1：防火墙部署与管理 236 6.2.2　任务2：VPN部署与管理 239 6.2.3　任务3：WAF部署与管理 249 6.3　项目2：安全管理中心搭建 253 6.3.1　任务1：堡垒机部署与管理 253 6.3.2　任务2：终端管理系统部署与管理 256 6.4　小结 262 6.5　习题 263 6.5.1　简答题 263 6.5.2　实操题 263 附录 网络安全评估工具列表 264 参考资料 267