隨著“網絡空間”被批準為學科,各高校網絡空間學院如雨後春筍般紛紛成立。但各高校的網絡教育普遍存在一個問題,即很少全面、繫統地開設“滲透測試”方面的課程。而“滲透測試”作為主動防御的一種關鍵手段,對評估網絡繫統防護至關重要。因為隻有發現問題,纔能及時解決問題一步潛在的風險。目前市面上適於初學者的學習書籍甚少,希望本書能為網絡專業的教學貢獻一份微薄之力。 》本書結構 本書基本囊括了目前Web網站所具有的高危漏洞的原理、攻擊手段和防御技術,並結合大量的案例和圖文解說,可以使初學者很快掌握Web滲透技術的具體方法和流程,幫助初學者從零開始建立起一些基本技能。 全書按照從簡單到復雜的原則安排所講內容,針對每一類Web問題,從原理到攻防技術的過程都加以詳細的講解。在針對問題的分析方面,本書從基礎的漏洞環境入手,可排除不同業務環境的干擾,聚焦於問題本身。這種方式有利於幫助讀者在掌握每種Web問題的解決方案的同時,對整個Web防護體繫建立清晰的認知。 本書共9章。第pan>章介紹信息收集和實驗環境的搭建,可為後續章節內容的學習打下基礎。第2~8章講解Web應用中的基礎漏洞,從用戶端到服務器端依次開展分析。首先針對Web應用與數據庫交互產生的SOL注入攻行分析;之後講解主要攻擊用戶的跨站請求攻擊、Web應用中的請求偽造攻擊;再針對可直接上傳各類危險文件的上傳漏行分析,並說明上傳漏洞中常用的木馬的基本原理;後針對服務器端的危險能(文含、命令執行漏洞行分析。介紹了上述漏洞的原理及攻防技術對抗方法,並針對每個漏洞的測試及防護方過行講解。第9章從用戶的基本能入手,對常見的用戶注冊、用戶登錄及業務開展過程逐行情況的探討。相對於第2~8章介紹的Web繫統基礎漏洞來說,第9章介紹的內容其實際表現出來的情況更為復雜。 >本書適用範圍 本書主要適用以下幾類讀者: (pan>)信息及相關專業學生。本書以基本漏洞為例,循序地梳理攻防對抗方式及各類漏洞的危害。信息及相關專業學生可根據這些內容快速入門,並以此作為基礎來探索信息更前沿的領域。 (2)運維人員。本書提供了大量漏洞利用特征及有效的防護方式,可供運維人員在實際工作中快速發現繫統狀況,並對漏行基本的處理。 (3)開發人員。本書分析了各種漏洞的原理及防護方式,可以幫助開發人員在Web繫統的開發過程中對各種漏行規避而從根源上避免Web漏洞的出現。 (4)服務人員。服務人員關注如何快速發現目標Web繫統的隱患,並提出有效的解決方案。 (5)攻防技術愛好者。對於攻防技術愛好者來說,本書提供了體繫化的Web基礎原理,有簡單的案例體現攻防效果,可作為入門書籍。 》編寫說明 本書由鄭州鐵路職業技術學院白艷玲、馬國峰和王坤主編,其中,第pan>~3章由白艷玲編寫,第4~6章由馬國峰編寫,第7~9章由王坤編寫。全書由白艷玲負責統稿,馬國峰、王坤負責審核。在編寫本書的過程中得到了劉開茗、張明真和楊宇的大力協助,在此表示衷心的感謝!同時也要感謝西安電子科技大學出版社高櫻編輯為本書的出版所付出的努力! 由於編者有限,加之Web防護技術發展迅速,書中難免有不當和疏漏之處,懇請各位讀者批評指正! 讀者如有關於本書的任何疑問或需要配套資源,請聯繫40276523。 編者 202pan>年7月
|