Web漏洞解析与攻防实战( 货号:711172496) 2025 chm pdf kindle rb azw3 下载 115盘

基本信息

商品名称： Web漏洞解析与攻防实战

出版社： 机械工业出版社

出版时间：2023-04-01

作者：王放

译者：

开本： 其它

定价： 129.00

页数：0

印次： 1

ISBN号：9787111724964

商品类型：图书

版次： 1 内容提要

本书以Web漏洞基本原

理为切入点，将相似的漏洞

归类，由浅入深、逐一陈述

。本书共11章，分别为Web

安全概述、计算机网络基础

知识、测试工具与靶场环境

搭建、传统后端漏洞（上、

下）、前端漏洞（上、下）

、新后端漏洞（上、下）、

逻辑漏洞（上、下），每章

以不同的漏洞类型为小节内

容，尽可能涵盖已发现和公

开的所有重大Web安全漏洞

类型。本书配有53个漏洞实

战案例，并附赠所有漏洞实

战案例的完整源码，方便读

者学习，获取方式见封底二

维码。

本书可作为代码审计、

渗透测试、应急响应、基线

核查、红蓝对抗、防御加固

等相关工作从业人员的参考

资料，亦可作为企业安全管

理者开展企业安全建设的技

术指南，还可作为大中专院

校及Web安全培训班的Web

安全培训教材。

目录

前言

第1章 Web安全概述

1.1 什么是Web安全

1.2 Web安全发展规律

1.3 Web安全与Web漏洞

第2章 计算机网络基础知识

2.1 计算机网络概述

2.2 TCP协议的交互

2.2.1 TCP建立连接的“三次握手”

2.2.2 TCP断开连接的“四次挥手”

2.2.3 TCP协议的基本结构

2.3 Wireshark工具的使用

2.3.1 Wireshark监听网卡

2.3.2 Wireshark数据包分析

2.3.3 实战1：使用Wireshark分析TCP“三次握手”

2.3.4 实战2：使用Wireshark分析TCP“四次挥手”

2.4 HTTP协议的结构

2.4.1 HTTP请求的结构

2.4.2 HTTP响应的结构

2.5 HTTP协议交互

2.6 HTTP协议的不同表现形式

2.6.1 GET方法

2.6.2 POST方法

2.6.3 multipart/form-data

2.6.4 chunked

2.7 HTTPS协议

2.7.1 HTTPS协议简介

2.7.2 心脏滴血漏洞（CVE-2014-0160）

2.8 信息、进制与编码

2.8.1 ASCII编码

2.8.2 其他字符编码

2.8.3 进制概述

2.8.4 进制转换

2.8.5 URL编码

2.8.6 Base64编码

第3章 测试工具与靶场环境搭建

3.1 黑盒测试与白盒测试

3.2 PoC、Payload与Exp

3.3 Netcat工具的使用

3.3.1 实战3：使用NC发送简单的HTTP请求

3.3.2 实战4：使用NC发送复杂的HTTP请求

3.4 BurpSuite工具的使用

3.4.1 实战5：使用BurpSuite拦截并修改HTTP请求

3.4.2 实战6：使用BurpSuite重放HTTP请求

3.4.3 实战7：使用BurpSuite捕获HTTPS请求

3.5 实战靶场环境搭建

3.5.1 LAMP网站架构简介

3.5.2 Docker简介

3.5.3 实战8：使用Docker搭建LAMP环境

3.5.4 实战9：使用Docker Compose搭建实验环境

第4章 传统后端漏洞（上）

4.1 SQL注入漏洞（上）

4.1.1 SQL注入漏洞概述

4.1.2 SQL与数据库

4.1.3 SQL注入检测方法与攻击方法

4.1.4 SQL注入点与HTTP协议

4.1.5 SQL注入与SQL动词

4.1.6 参数点位置对SQL注入的影响

4.1.7 闭合符对SQL注入的影响

4.1.8 不同SQL引擎下的SQL注入

4.1.9 实战10：ThinkPHP5 SQL注入漏洞

4.2 SQL注入漏洞（下）

4.2.1 SQL注入其他攻击思路

4.2.2 万能密码

4.2.3 SQL注入漏洞的对抗

4.2.4 SQL注入与回显

4.2.5 SQLMAP

4.2.6 SQL注入漏洞防御

4.2.7 实战11：Django GIS SQL注入漏洞（CVE-2020-9402）

4.3 远程命令执行漏洞

4.3.1 远程命令执行漏洞概述

4.3.2 反弹Shell

4.3.3 命令拼接符

4.3.4 远程命令执行漏洞检测

4.3.5 远程命令执行漏洞防御

4.3.6 实战12：Shellshock漏洞（CVE-2014-6271）

4.4 远程代码执行漏洞

4.4.1 远程代码执行漏洞概述

4.4.2 PHP远程代码执行

4.4.3 白盒审计远程代码漏洞挖掘

4.4.4 文件包含

4.4.5 PHP文件包含漏洞进阶

4.4.6 其他语言的远程代码执行漏洞

4.4.7 远程代码执行漏洞防御

4.4.8 实战13：Mongo-Express远程代码执行漏洞（CVE-2019-10758）

4.5 PUT漏洞

4.5.1 IIS写权限漏洞

4.5.2 Tomcat PUT漏洞

4.5.3 PUT漏洞防御

4.5.4 实战14：IIS写权限漏洞获取WebShell

4.5.5 实战15：Tomcat PUT方法任意写文件漏洞（CVE-2017-12615）

4.6 任意文件读取漏洞

4.6.1 任意文件读取漏洞概述

4.6.2 目录穿越攻击

4.6.3 任意文件读取漏洞进阶

4.6.4 任意文件读取漏洞防御

4.6.5 实战16：Apache Flink jobmanager/logs任意文件读取漏洞（CVE-2020-1751）

4.6.6 实战17：Gitlab任意文件读取漏洞（CVE-2016-9086）

4.7 任意文件上传漏洞

4.7.1 任意文件上传漏洞概述

4.7.2 常见的绕过场景

4.7.3 任意文件上传漏洞防御

4.7.4 实战18：WebLogic任意文件上传漏洞（CVE-2018-2894）

4.7.5 实战19：Apache Flink文件上传漏洞（CVE-2020-17518）

第5章 传统后端漏洞（下）

5.1 解析漏洞

5.1.1 解析漏洞概述

5.1.2 IIS解析漏洞

5.1.3 Nginx解析漏洞

5.1.4 Apache解析漏洞

5.1.5 解析漏洞的防御

5.1.6 实战20：Nginx解析漏洞

5.1.7 实战21：Apache HTTPD换行解析漏洞（CVE-2017-15715）

5.2 目录浏览漏洞

5.2.1 目录浏览漏洞概述

5.2.2 IIS目录浏览漏洞

5.2.3 Nginx目录浏览漏洞

5.2.4 Apache目录浏览漏洞

5.2.5 目录浏览漏洞防御

5.2.6 实战22：Nginx目录浏览漏洞

5.2.7 实战23：Apache目录浏览漏洞

5.3 SSI注入漏洞

5.3.1 SSI漏洞概述

5.3.2 SSI语法

5.3.3 SSI漏洞点与测试

5.3.4 SSI漏洞防御

5.3.5 实战24：Apache SSI远程命令执行漏洞

5.4 LDAP注入漏洞

5.4.1 LDAP协议简介

5.4.2 LDAP注入漏洞概述

5.4.3 LDAP注入漏洞利用

5.4.4 LDAP注入漏洞防御

5.5 XPath注入漏洞

5.5.1 XPath语言简介

5.5.2 XPath注入漏洞概述

5.5.3 XPath注入漏洞利用

5.5.4 XPath注入漏洞防御

5.6 信息泄露漏洞

5.6.1 数据库文件泄露漏洞

5.6.2 物理路径泄露漏洞

5.6.3 源代码泄露漏洞

5.6.4 服务器配置泄露漏洞

5.6.5 IIS短文件名泄露漏洞

5.6.6 云主机AK/SK泄露漏洞

5.6.7 实战25：Jetty WEB-INF敏感信息泄露漏洞（CVE-2021-28164）

第6章 前端漏洞（上）

6.1 XSS漏洞（上）

6.1.1 XSS漏洞简介

6.1.2 XSS漏洞分类

6.1.3 XSS漏洞的基本攻击流程

6.1.4 XSS漏洞的检测方法

6.1.5 XSS漏洞利用进阶

6.1.6 其他XSS漏洞

6.2 XSS漏洞（下）

6.2.1 XSS漏洞对抗之HttpOnly

6.2.2 XSS漏洞相关的攻防对抗

6.2.3 XSS漏洞防御

6.2.4 实战26：Django debug page XSS漏洞（CVE-2017-12794）

6.3 CSRF漏洞

6.3.1 CSRF漏洞概述

6.3.2 CSRF漏洞检测

6.3.3 CSRF漏洞防御

6.3.4 实战27：CSRF漏洞

6.4 JSONHijacking漏洞

6.4.1 同源策略

6.4.2 JSONHijacking漏洞原理

6.4.3 JSONHijacking漏洞检测

6.4.4 JSONHijacking漏洞利用

6.4.5 JSONHijacking漏洞防御

6.4.6 实战28：JSONHijacking漏洞

6.5 CORS漏洞

6.5.1 CORS漏洞概述

6.5.2 CORS的两种请求方式

6.5.3 CORS漏洞与JSONHijacking漏洞对比

6.5.4 CORS漏洞防御

6.5.5 实战29：CORS漏洞

第7章 前端漏洞（下）

7.1 ClickJacking漏洞

7.1.1 ClickJacking漏洞概述

7.1.2 ClickJacking漏洞攻防

7.1.3 ClickJacking漏洞防御

7.1.4 实战30：ClickJacking漏洞

7.2 会话固定漏洞

7.2.1 会话固定漏洞概述

7.2.2 会话固定漏洞攻击流程

7.2.3 会话固定漏洞防御

7.2.4 实战31：会话固定漏洞

7.3 CRLF注入漏洞

7.3.1 CRLF注入漏洞概述

7.3.2 CRLF注入漏洞利用

7.3.3 CRLF注入漏洞进阶

7.3.4 CRLF注入漏洞防御

7.3.5 实战32：CRLF注入漏洞

7.4 URL跳转漏洞

7.4.1 URL跳转漏洞概述

7.4.2 URL跳转漏洞的发生场景

7.4.3 URL跳转漏洞利用

7.4.4 URL跳转漏洞对抗

7.4.5 URL跳转漏洞防御

7.4.6 实战33：URL跳转漏洞

7.5 XS-Leaks漏洞

7.5.1 XS-Leaks漏洞概述

7.5.2 XS-Leaks漏洞与浏览器

7.5.3 XS-Leaks漏洞与侧信道攻击

7.5.4 XS-Leaks漏洞防御

第8章 新后端漏洞（上）

8.1 反序列化漏洞（上）

8.1.1 反序列化漏洞概述

8.1.2 Java序列化基础知识

8.1.3 Java反序列化漏洞原理

8.1.4 Java反序列化漏洞检测

8.1.5 Java反序列化漏洞利用

8.1.6 Apache Commons Collections反序列化漏洞

8.1.7 Apache Shiro反序列化漏洞

8.1.8 实战34：WebLogic wls-wsat XMLDecoder反序列化漏洞（CVE-2017-10271）

8.1.9 实战35：Java RMI Registry 反序列化漏洞（

暂无相关内容，正在全力查找中

暂无出版社相关信息，正在全力查找中！

暂无相关书籍摘录，正在全力查找中！

在线阅读地址：Web漏洞解析与攻防实战( 货号:711172496)在线阅读

在线听书地址：Web漏洞解析与攻防实战( 货号:711172496)在线收听

在线购买地址：Web漏洞解析与攻防实战( 货号:711172496)在线购买

暂无原文赏析，正在全力查找中！

暂无其它内容！