新書推薦:
《
流人系列02:亡狮
》
售價:HK$
90.9
《
希腊小史
》
售價:HK$
112.7
《
中国古代的谣言与谶语
》
售價:HK$
112.7
《
战役图文史:改变世界历史的50场战役 (彩印典藏版)
》
售價:HK$
147.2
《
寻路:走向西南联大(西南联大文库)
》
售價:HK$
66.7
《
短视频Vlog全流程:镜头脚本+运镜技巧+场景主题+后期剪辑
》
售價:HK$
89.7
《
英国小史
》
售價:HK$
94.3
《
影响力原则
》
售價:HK$
78.2
|
| 內容簡介: |
|
本书介绍Web应用安全相关知识,包括Web应用技术基础和Web应用安全技术两部分,共13章。第1章为Web应用概述,第2章为Web前端原理与编程,第3章为Web服务器原理与编程,第4章为HTTP原理,第5章为MVC模式,第6章为Web应用安全简介,第7章为Web应用前端安全,第8章为Web应用服务器端安全,第9章为HTTP相关漏洞原理,第10章为业务逻辑安全,第11章为Web应用安全防护,第12章为Web应用木马防御,第13章为Web应用漏洞挖掘。课程组根据多年的教学实践,并结合科研成果总结成书。本书突出强调理论性和实践性的统一,在描述技术原理的同时,设计相关的示例程序,以便读者复现实践;突出强调知识结构的整体性,将Web应用技术基础和Web应用安全技术有机融合,有助于读者构建Web应用安全的知识体系。本书适合作为高等学校网络空间安全、信息安全、网络工程、计算机科学与技术、软件工程等专业学生的Web应用安全课程教材,部分内容也可供有一定基础的本科生、研究生或研究人员作为参考资料。
|
| 關於作者: |
|
颜学雄,信息工程大学网络空间安全学院副教授。信息工程大学一流网络安全学院示范专业建设-课程建设-Web应用安全项目负责人。曾获国家级教学成果二等奖。曾出版《网络安全》《网络攻防技术(第2版)》《网络安全实验教程》《Web服务安全》。
|
| 目錄:
|
|
第1章 Web应用概述11.1 Web技术简史21.1.1 互联网的诞生21.1.2 Web技术的诞生31.2 Web技术基本原理31.3 Web前端41.3.1 浏览器51.3.2 HTML51.3.3 CSS61.3.4 JavaScript语言71.4 Web服务器端71.4.1 Web服务器71.4.2 Web应用程序81.4.3 数据库系统101.5 HTTP111.6 典型Web应用简介11思考题12第2章 Web前端原理与编程132.1 HTML核心元素142.1.1 HTML文档结构142.1.2 head部分主要元素152.1.3 超链接152.1.4 文本和文字列表元素162.1.5 多媒体元素192.1.6 表单元素212.1.7 内联框架242.2 URL252.3 CSS基本原理与应用262.3.1 CSS使用模式262.3.2 CSS属性272.3.3 选择器312.4 JavaScript语言简介322.4.1 在HTML文档中使用JavaScript语言322.4.2 JavaScript语法基础342.4.3 BOM操作362.4.4 DOM操作392.4.5 事件处理422.4.6 AJAX技术462.5 浏览器基本原理492.5.1 浏览器基本架构492.5.2 浏览器主要工作过程502.5.3 开发者工具51思考题54第3章 Web服务器原理与编程553.1 Web服务器基本原理563.2 Web服务器环境搭建573.2.1 Apache环境安装和配置573.2.2 PHP环境安装和配置593.2.3 MySQL环境安装和配置593.2.4 集成环境搭建和配置613.3 PHP语言基础633.3.1 基本语法633.3.2 PHP语言的输出和输入643.3.3 在HTML中嵌入PHP代码673.3.4 数据类型简介673.3.5 常量和变量683.3.6 基本操作符703.3.7 控制语句713.4 PHP语言文件操作733.4.1 文件打开和关闭733.4.2 文件读取743.4.3 文件写入753.4.4 目录操作753.4.5 其他文件或目录操作763.5 PHP语言数组763.5.1 数组结构763.5.2 数组创建763.5.3 数组元素访问773.5.4 多维数组783.6 PHP语言字符串793.6.1 字符串的表示793.6.2 字符串分隔与连接803.6.3 字符串比较823.6.4 字符串匹配与替换833.7 PHP语言函数843.7.1 自定义函数843.7.2 内置函数853.7.3 匿名函数和动态函数853.8 PHP语言数据库编程863.8.1 数据库简介863.8.2 SQL语句简介873.8.3 数据库编程接口933.8.4 数据库编程示例953.9 PHP语言面向对象特性963.9.1 对象和类973.9.2 继承和重载1003.9.3 访问控制102思考题103第4章 HTTP原理1044.1 HTTP基本原理1054.1.1 基本通信过程1054.1.2 正向代理1054.1.3 反向代理1054.2 HTTP消息1064.2.1 HTTP请求消息1064.2.2 HTTP响应消息1074.3 HTTP头部1104.3.1 通用头部1104.3.2 请求头部1114.3.3 响应头部1114.3.4 实体头部1124.3.5 非HTTP/1.1头部112思考题113第5章 MVC模式1145.1 基本原理1155.2 开发过程示例1155.3 示例代码清单118思考题126第6章 Web应用安全简介1276.1 Web1.0时代的安全问题1286.2 OWASP TOP 101286.3 Web前端安全问题1306.3.1 浏览器安全问题1306.3.2 XSS漏洞1316.3.3 点击劫持攻击1316.3.4 HTML5安全问题1316.4 Web服务器端安全问题1316.4.1 SQL注入漏洞1316.4.2 命令注入漏洞1316.4.3 代码注入漏洞1326.4.4 文件操作类漏洞1326.4.5 XXE漏洞1326.4.6 反序列化漏洞1326.4.7 SSRF漏洞1336.5 HTTP安全问题1336.5.1 会话攻击1336.5.2 请求头注入攻击1336.5.3 CSRF攻击1336.5.4 网站架构中的安全问题1336.6 业务逻辑安全问题1346.7 Web应用安全防护1346.8 Web应用木马防御1346.9 Web应用漏洞挖掘135思考题135第7章 Web应用前端安全1367.1 同源策略1377.1.1 源的定义1377.1.2 同源策略规则1377.1.3 同源策略示例1387.2 XSS漏洞原理与防御1397.2.1 XSS漏洞基本原理1407.2.2 XSS漏洞类型1427.2.3 XSS漏洞利用方式1467.2.4 XSS漏洞防御1537.3 点击劫持攻击与防御1567.3.1 点击劫持攻击原理1567.3.2 点击劫持攻击防御1587.4 HTML5安全1607.4.1 iframe的sandbox属性1607.4.2 跨域资源共享(CORS)1617.4.3 跨文档通信166思考题169第8章 Web应用服务器端安全1708.1 SQL注入漏洞原理与防御1718.1.1 SQL注入漏洞基本原理1718.1.2 SQL注入漏洞分类1738.1.3 SQL注入漏洞利用方式1748.1.4 SQL盲注入1798.1.5 SQL注入漏洞防御1818.1.6 SQLMAP工具1838.2 命令注入漏洞原理与防御1878.2.1 命令注入漏洞基本原理1878.2.2 命令注入漏洞分类1908.2.3 命令注入漏洞利用方法1908.2.4 命令注入漏洞防御方法1928.3 代码注入漏洞原理与防御1938.3.1 代码注入漏洞基本原理1948.3.2 代码注入漏洞利用方法1958.3.3 代码注入漏洞防御1958.4 文件操作类漏洞原理与防御1958.4.1 文件包含漏洞原理与防御1958.4.2 文件上传漏洞原理与防御1998.4.3 文件下载漏洞原理与防御2058.5 XXE漏洞原理与防御2078.5.1 XML基础2088.5.2 XXE漏洞基本原理2118.5.3 XXE漏洞利用2148.5.4 XXE漏洞防御2158.6 反序列化漏洞原理与防御2158.6.1 PHP语言数据类型的序列化与反序列化2168.6.2 PHP语言魔术方法2188.6.3 反序列化漏洞原理2208.6.4 反序列化漏洞利用—构造POP链2238.6.5 反序列化漏洞防御2258.7 SSRF漏洞原理与防御2268.7.1 SSRF漏洞基本原理2268.7.2 PHP语言中的封装协议2278.7.3 SSRF漏洞利用方法2288.7.4 SSRF漏洞防御229思考题229第9章 HTTP相关漏洞原理2319.1 HTTP会话管理2329.1.1 Cookie机制2329.1.2 基于Cookie的会话原理2349.1.3 会话示例—Ebank系统2349.2 会话攻击原理与防御2409.2.1 会话攻击原理2409.2.2 会话攻击防御2459.3 请求头注入攻击原理与防御2459.3.1 消息头注入攻击原理2469.3.2 消息头注入攻击防御2479.4 CSRF攻击原理与防御2479.4.1 CSRF攻击原理2479.4.2 CSRF攻击防御2489.5 网站架构漏洞原理与防御2499.5.1 HTTP参数污染2499.5.2 HTTP响应切分253思考题255第10章 业务逻辑安全25610.1 迷你商城积分兑换系统25710.1.1 系统概述25710.1.2 用户登录模块25810.1.3 顾客积分兑换模块25910.1.4 商家订单处理模块26210.1.5 顾客订单信息查看模块26310.1.6 退出登录模块26510.2 用户账号暴力破解26510.2.1 一般原理26510.2.2 攻击过程示例26510.2.3 暴力破解的防御方法26810.3 权限管理漏洞26810.3.1 非授权访问漏洞26810.3.2 水平越权漏洞26910.3.3 垂直越权漏洞27110.4 其他典型业务逻辑漏洞272思考题274第11章 Web应用安全防护27511.1 正则表达式27611.1.1 正则表达式简介27611.1.2 正则表达式基本形式27611.1.3 字符类27711.1.4 重复量词27711.1.5 边界限定27811.1.6 模式修饰符27911.1.7 模式选择27911.1.8 子模式27911.1.9 反向引用28011.1.10 基于正则表达式的字符串操作28011.2 Web应用防火墙28211.2.1 WAF防护原理28211.2.2 WAF分类28311.2.3 ModSecurity28311.3 微软SDL安全开发流程288思考题291第12章 Web应用木马防御29212.1 Webshell原理与检测29312.1.1 Webshell分类及原理29312.1.2 Webshell管理工具29412.1.3 Webshell检测方法29712.2 网页木马原理与防御29812.2.1 网页木马基本概念及原理29812.2.2 网页木马防御技术303思考题305第13章 Web应用漏洞挖掘30613.1 PHP代码安全审计30713.1.1 代码审计的一般流程30713.1.2 漏洞代码示例30713.1.3 基于模式匹配方法31013.1.4 基于污点分析方法31113.1.5 代码审计工具—RIPS31513.2 Web应用程序模糊测试31613.2.1 Web应用的模糊测试流程31613.2.2 面向漏洞挖掘的Web应用爬虫31813.2.3 测试用例生成方法319思考题322
|
|
購物車/收銀台(
0
) | 在線留言板
| 付款方式
| 運費計算
| 聯絡我們
| 幫助中心 |
加入書簽
HOME
新書上架
