本書以常見的Web安全漏洞為對像，詳細介紹了這些Web安全漏洞的漏洞成因、檢測方法以及防範技術，這些漏洞都是OWASP TOP 10中所列舉的主要風險，為學習和研究Web安全漏洞檢測及防範技術提供了有價值的參考。全書共有6章，分別介紹Web繫統安全概論、Web協議分析、Web漏洞檢測工具、Web漏洞實驗平臺、Web常見漏洞分析、Web應用安全防護與部署等內容，所涉及的漏洞基本涵蓋了OWASP TOP 10中所列舉的主要風險。

宣樂飛，男，碩士研究生，浙江杭州人。杭州職業技術學院信息工程學院信息安全與管理專業負責人，主要講授計算機網絡技術、信息安全方向課程。承擔浙江省十三五優勢專業―信息安全與管理專業建設，《路由與交換》***精品課程主講教師、國家十二五規劃教材《路由與交換》副主編，承擔廳級課題3項，發表論文6篇，其中EI收錄1篇。

目 錄
項目一 Web安全概述 1
1．1 Web安全現狀與發展趨勢 1
1．1．1 Web安全現狀 1
1．1．2 Web安全發展趨勢 4
1．2 Web繫統介紹 5
1．2．1 Web的發展歷程 5
1．2．2 Web繫統的構成 6
1．2．3 Web繫統的應用架構 7
1．2．4 Web的訪問方法 8
1．2．5 Web編程語言 8
1．2．6 Web數據庫訪問技術 10
1．2．7 Web服務器 11
實例 十大安全漏洞比較分析 13
項目二 Web協議與分析 14
2．1 HTTP 14
2．1．1 HTTP通信過程 14
2．1．2 統一資源定位符（URL） 15
2．1．3 HTTP的連接方式和無狀態性 15
2．1．4 HTTP請求報文 16
2．1．5 HTTP響應報文 19
2．1．6 HTTP報文結構彙總 21
2．1．7 HTTP會話管理 22
2．2 HTTPS 23
2．2．1 HTTPS和 HTTP的主要區別 24
2．2．2 HTTPS與Web服務器通信過程 24
2．2．3 HTTPS的優點 25
2．2．4 HTTPS的缺點 25
2．3 網絡嗅探工具 25
2．3．1 Wireshark簡介 25
2．3．2 Wireshark 工具的界面 26
實例1 Wireshark應用實例 35
實例1．1 捕捉數據包 35
實例1．2 處理捕捉後的數據包 39

項目三 Web漏洞檢測工具 44
3．1 Web漏洞檢測工具AppScan 44
3．1．1 AppScan簡介 44
3．1．2 AppScan的安裝 45
3．1．3 AppScan的基本工作流程 48
3．1．4 AppScan界面介紹 51
3．2 HTTP分析工具WebScarab 54
3．3 網絡漏洞檢測工具Nmap 56
3．3．1 Nmap簡介 56
3．3．2 Nmap的安裝 57
3．4 集成化的漏洞掃描工具Nessus 59
3．4．1 Nessus簡介 59
3．4．2 Nessus的安裝 60
實例1 掃描實例 63
實例2 WebScarab的運行 75
實例3 Nmap應用實例 82
實例3．1 利用Nmap圖形界面進行掃描探測 82
實例3．2 利用Nmap命令行界面進行掃描探測 95
實例4 利用Nessus掃描Web應用程序 103
項目四 Web漏洞實驗平臺 108
4．1 DVWA的安裝與配置 108
4．2 WebGoat簡介 109
實例1 DVWA v1．9的平臺搭建 109
實例2 WebGoat的安裝與配置 117
項目五 Web常見漏洞分析 122
5．1 SQL注入漏洞分析 122
5．2 XSS漏洞分析 126
5．3 CSRF漏洞分析 130
5．4 任意文件下載漏洞 132
5．5 文件包含漏洞分析 133
5．6 邏輯漏洞 137
5．6．1 用戶相關的邏輯漏洞 137
5．6．2 交易相關的邏輯漏洞 140
5．6．3 惡意攻擊相關的邏輯漏洞 141
5．7 任意文件上傳漏洞 142
5．8 暴力破解 142
5．9 命令注入 142
5．10 不安全的驗證碼機制 143
實例1 SQL注入漏洞實例 145
實例1．1 手工SQL注入 145
實例1．2 使用工具進行SQL注入 149
實例1．3 手工注入（1） 151
實例1．4 手工注入（2） 154
實例1．5 布爾盲注 157
實例1．6 時間盲注 160
實例2 XSS漏洞攻擊實例 165
實例2．1 反射型XSS漏洞挖掘與利用（1） 165
實例2．2 反射型XSS漏洞挖掘與利用（2） 167
實例2．3 反射型XSS漏洞挖掘與利用（3） 168
實例2．4 存儲型XSS漏洞挖掘與利用（1） 169
實例2．5 存儲型XSS漏洞挖掘與利用（2） 170
實例2．6 存儲型XSS漏洞挖掘與利用（3） 172
實例2．7 DOM型XSS漏洞挖掘與利用（1） 174
實例2．8 DOM型XSS漏洞挖掘與利用（2） 175
實例2．9 DOM型XSS漏洞挖掘與利用（3） 176
實例3 CSRF漏洞攻擊實例 177
實例3．1 CSRF漏洞挖掘與利用（1） 177
實例3．2 CSRF漏洞挖掘與利用（2） 179
實例3．3 CSRF漏洞挖掘與利用（3） 180
實例4 CMS任意文件下載實例 183
實例5 文件包含漏洞攻擊實例 185
實例5．1 文件包含漏洞挖掘與利用（1） 185
實例5．2 文件包含漏洞挖掘與利用（2） 187
實例5．3 文件包含漏洞挖掘與利用（3） 188
實例6 邏輯漏洞攻擊實例 190
實例6．1 某網站任意密碼修改漏洞 190
實例6．2 某電商平臺權限跨越漏洞 192
實例6．3 某交易支付相關漏洞 195
實例6．4 某電商平臺郵件炸彈攻擊漏洞 196
實例7 文件上傳漏洞利用實例 197
實例7．1 文件上傳漏洞利用（1） 197
實例7．2 文件上傳漏洞利用（2） 199
實例7．3 文件上傳漏洞利用（3） 203
實例7．4 文件上傳漏洞防護 205
實例8 Web口令暴力破解實例 207
實例8．1 Web口令暴力破解（1） 207
實例8．2 Web口令暴力破解（2） 211
實例8．3 Web口令暴力破解（3） 213
實例8．4 Web口令暴力破解防護 217
實例9 命令注入漏洞利用實例 219
實例9．1 命令注入漏洞利用（1） 219
實例9．2 命令注入漏洞利用（2） 223
實例9．3 命令注入漏洞利用（3） 226
實例9．4 命令注入漏洞防護 230
實例10 驗證碼繞過攻擊實例 232
實例10．1 驗證碼繞過攻擊（1） 232
實例10．2 驗證碼繞過攻擊（2） 235
實例10．3 驗證碼繞過攻擊（3） 237
實例10．4 驗證碼繞過漏洞防護 239
項目六 Web應用安全防護與部署 241
6．1 服務器繫統與網絡服務 241
6．1．1 服務器繫統主要技術 241
6．1．2 網絡操作繫統常用的網絡服務 242
6．2 Apache技術介紹 245
6．2．1 Apache工作原理 245
6．2．2 配置Apache服務器 246
6．3 Web應用防護繫統（WAF） 248
6．3．1 WAF的主要功能 248
6．3．2 常見的WAF產品 249
實例1 Linux安全部署 250
實例2 Windows安全部署 255
實例3 IIS加固設置 265
實例4 Apache加固設置 266
實例5 Tomcat加固設置 269
實例6 WAF配置與應用 272