Web安全攻防项目化实战教程

"① 继续坚持“教学做”一体化方式进行教材设计。 ② 在教材展现形式上，增加微课。 ③ 将教材做成课程的整体解决方案了。"

本书重点从Web应用安全测试防范技术、Web信息漏洞与探测扫描技术、Web站点漏洞攻击及注入技术、Web服务器端组件漏洞测试攻击与防御技术、Web应用程序客户端弱口令攻击与防御技术等方面深入浅出地介绍和分析了目前网络上流行的Web渗透攻击方法和手段。从Web渗透的专业角度，结合网络攻防中的实际案例，图文并茂地再现了Web渗透的完整过程，精选经典案例，搭建测试环境，供读者进行测试。全书通过入侵环境的真实模拟、防范技巧的实践总结，展示了在网络实践环境中如何做到知己知彼，有效地防范黑客的攻击，并提供了许多独到的安全方面的见解，利用大量的实际案例和示例代码详细介绍了各类Web应用程序的弱点，阐述了如何针对Web应用程序进行具体的渗透测试过程。本书主要作为网络空间安全、信息安全管理等专业的教材，也可以作为信息安全培训机构的教材，对从事计算机安全、系统安全、信息化安全的工作者也有较大的参考价值。

"贾如春，男，硕士学位，毕业于四川大学，新视觉MOOC联盟创始人，参与智慧城市、成都云计算、大数据研究中心建设。2013年获得第十三届全国过媒体课件“很好艺术教学奖” "

项目1Web应用安全测试防范技术
任务1.1Web应用程序安全与风险
子任务1.1.1Web应用程序的发展历程与常见功能
子任务1.1.2Web服务器写权限刺探
子任务1.1.3Web核心安全问题及因素
子任务1.1.4Web服务器及常用攻击技术
子任务1.1.5Web应用剖析自动化运维
子任务1.1.6Web应用程序安全的未来
任务1.2Web安全实践——HTTP架构分析
子任务1.2.1HTTP解析
子任务1.2.2HTTP消息头注入
子任务1.2.3HTTPCookie数据
子任务1.2.4截取HTTP请求
子任务1.2.5编码与规范化漏洞
任务1.3Web服务器应用程序规范
子任务1.3.1攻击浏览器扩展的方法
子任务1.3.2Web核心安全同源策略
子任务1.3.3Web应用运行日志
子任务1.3.4恶意网页及其检测技术
子任务1.3.5Web服务器信息泄露
子任务1.3.6Web服务器版本信息收集
子任务1.3.7Web服务器端口扫描
项目2Web信息漏洞与探测扫描技术
任务2.1GoogleHack
子任务2.1.1搜索子域名
子任务2.1.2搜索Web信息
任务2.2Nmap体验
子任务2.2.1安装Nmap
子任务2.2.2测主机信息
子任务2.2.3Nmap脚本引擎
任务2.3BurpSuite
任务2.4AWVS
任务2.5AppScan
项目3Web站点漏洞攻击及注入技术
任务3.1SQL注入攻击技术
子任务3.1.1数字型注入
子任务3.1.2字符型注入
子任务3.1.3Access的SQL注入
子任务3.1.4MySQL的SQL注入
子任务3.1.5Web注入工具
子任务3.1.6SQL注入防御
任务3.2跨站脚本（XSS）攻击
子任务3.2.1XSS攻击的分类
子任务3.2.2反射型XSS攻击
子任务3.2.3存储型XSS攻击
子任务3.2.4DOM型XSS攻击
子任务3.2.5XSS攻击漏洞的利用
子任务3.2.6XSS攻击的防御
任务3.3跨站点请求伪造（CSRF）
子任务3.3.1跨站点请求伪造简介
子任务3.3.2CSRF攻击场景(POST方式)
子任务3.3.3CSRF攻击场景(GET方式)
子任务3.3.4浏览器Cookie机制
子任务3.3.5CSRF攻击的防御
任务3.4文件包含漏洞
子任务3.4.1文件包含漏洞简介
子任务3.4.2本地文件包含漏洞
子任务3.4.3远程文件包含漏洞
子任务3.4.4文件包含漏洞的防御
任务3.5命令执行漏洞
子任务3.5.1命令执行漏洞简介
子任务3.5.2命令执行漏洞的利用
子任务3.5.3命令执行漏洞的防御
任务3.6上传漏洞
子任务3.6.1上传漏洞简介
子任务3.6.2客户端验证绕过
子任务3.6.3服务端验证绕过
项目4Web服务器端组件漏洞测试攻击与防御技术
任务4.1文件包含漏洞
子任务4.1.1本地文件包含漏洞
子任务4.1.2远程文件包含漏洞
子任务4.1.3文件包含漏洞修复
任务4.2Web服务器漏洞
子任务4.2.1IIS解析漏洞
子任务4.2.2Apache解析漏洞
子任务4.2.3PHPCGI解析漏洞
任务4.3文件上传漏洞
子任务4.3.1客户端检测绕过
子任务4.3.2MIME类型检测绕过
子任务4.3.3文件扩展名检测绕过
子任务4.3.4内容检测绕过
项目5Web应用程序客户端弱口令攻击与防御技术
任务5.1暴力破解
子任务5.1.1暴力破解简介
子任务5.1.2暴力破解工具Hydra
子任务5.1.3暴力破解工具Medusa
子任务5.1.4密码工具软件John
任务5.2Webshell提权
子任务5.2.1Webshell提权简介
子任务5.2.2Webshell提权的方法
参考文献