内容简介
本书采用项目引导结合任务驱动的模式进行编写,书中深入浅出地介绍了Web应用架构的相关知识,以及Web渗透测试技术和工具。全书共4个项目,包括Web应用架构详解、Web渗透测试工具、Web渗透测试、Web渗透测试实战,重点培养学生提出问题、分析问题和解决问题的综合能力。
本书配有丰富且实用的教学资源,包括教学PPT、实验环境、CVE漏洞案例和任务实训等,便于学生更好地掌握相关教学内容。
本书既可以作为高职高专院校和应用型本科院校信息安全相关专业的教材,也可以作为相关技术人员的参考书。
目录
项目1 Web应用架构详解
任务1.1 认识Web应用环境架构
1.1.1 服务器
1.1.2 数据库
1.1.3 中间件
1.1.4 脚本语言
任务1.2 认识HTTP协议
1.2.1 HTTP基础知识
1.2.2 HTTP消息
1.2.3 HTTP请求方法
1.2.4 HTTP头部字段
1.2.5 HTTP状态码
任务1.3 认识常见的服务端口
1.3.1 FTP 21端口
1.3.2 SSH 22端口
1.3.3 Telnet 23端口
1.3.4 HTTP 80端口
1.3.5 HTTPS 443端口
1.3.6 SMB 445端口
1.3.7 RDP 3389端口
1.3.8 MySQL 3306端口
1.3.9 MSSQL 1433端口
1.3.10 Oracle 1521端口
1.3.11 Redis 6379端口
1.3.12 Tomcat 8080端口
项目2 Web渗透测试工具
任务2.1 测试工具的安装与使用
2.1.1 Nmap
2.1.2 Sqlmap
2.1.3 御剑后台扫描工具
2.1.4 Metasploit
2.1.5 Burp Suite
2.1.6 AWVS
2.1.7 AppScan
2.1.8 Nessus
项目3 Web渗透测试
任务3.1 配置Web渗透测试环境
3.1.1 虚拟机工具的安装
3.1.2 集成环境
3.1.3 靶场部署
任务3.2 学习Web应用信息收集
3.2.1 子域名收集
3.2.2 WHOIS信息收集
3.2.3 主机信息收集
3.2.4 敏感信息收集
任务3.3 学习Web渗透测试方法
3.3.1 XSS(跨站脚本攻击)
3.3.2 SQL注入漏洞
3.3.3 CSRF(跨站请求伪造)
3.3.4 SSRF(服务端请求伪造)
3.3.5 暴力破解
3.3.6 逻辑漏洞
3.3.7 任意文件上传
3.3.8 XXE(XML外部实体注入)
3.3.9 代码执行
3.3.10 命令执行
项目4 Web渗透测试实战
任务4.1 安装与配置实验靶场
4.1.1 VulFocus靶场介绍
4.1.2 VulFocus靶场的安装
4.1.3 VulFocus靶场的使用
任务4.2 实战CVE漏洞
4.2.1 CVE-2017-11629(反射型XSS)
4.2.2 CVE-2019-8924(存储型XSS)
4.2.3 CVE-2022-32300(SQL注入)
4.2.4 CVE-2019-14234(SQL注入)
4.2.5 CVE-2014-4210(服务端请求伪造)
4.2.6 CVE-2022-23983(跨站请求伪造)
4.2.7 CVE-2018-12491(文件上传)
4.2.8 CVE-2019-8933(文件上传)
4.2.9 CVE-2018-1002015(代码执行)
4.2.10 CVE-2020-35339(代码执行)
4.2.11 CVE-2021-32305(命令注入)
4.2.12 CVE-2021-43287(任意文件读取)
4.2.13 CVE-2021-36749(任意文件读取)
