web安全深度剖析

web安（ān）全（quán）深度剖析pdf是一套完整（zhěng）版的中（zhōng）文電子教程文檔。為web開發人員提供了服務（wù）器（qì）安全維護、HTTP協議解析以及信息探測等實用教程內容。主要適用（yòng）於Web開發人員、項目測試人員等行業。小編為大家推薦pdf閱讀器文（wén）件查看此文檔。歡迎在綠色資源網下載使用（yòng）！

Web安（ān）全深度剖析內容介紹

《Web安全深度剖析》總結了當前流行的高危漏洞的形成原因、攻擊手段及解決方案，並通過大（dà）量的示例代碼（mǎ）複現漏洞原型，製作模擬環境，更好地幫助讀者深入了解（jiě）Web 應用程序中存在的漏洞，防患於未然。

《Web安（ān）全深度剖析》從攻到（dào）防（fáng），從原理到實戰，由淺入深、循序漸進（jìn）地介紹了（le）Web 安全體係。全書分4 篇共16 章，除介紹Web 安全的基（jī）礎知（zhī）識外，還介紹了Web 應用（yòng）程序中最常見的安全漏洞、開源程序的攻擊流程與防禦，並著重分析了（le）“拖庫”事件時黑客所使用的攻擊手段。此外（wài），還介紹了滲透測試工程師其他（tā）的一些檢測（cè）方式。

web安全深度剖析 pdf圖書目錄：

第1篇 基礎篇

第1章（zhāng） Web安全簡介 2

1.1 服務器（qì）是如何被入侵的 2

1.2 如何（hé）更好地學習Web安全 4

第2章 深（shēn）入（rù）HTTP請求流程 6

2.1 HTTP協議解（jiě）析 6

2.1.1 發起（qǐ）HTTP請求 6

2.1.2 HTTP協議詳解 7

2.1.3 模擬HTTP請求 13

2.1.4 HTTP協（xié）議與HTTPS協議（yì）的區別 14

2.2 截取HTTP請求（qiú） 15

2.2.1 Burp Suite Proxy 初體驗 15

2.2.2 Fiddler 19

2.2.3 WinSock Expert 24

2.3 HTTP應用：黑帽SEO之搜索引擎劫持 24

2.4 小結 25

第3章 信息探測 26

3.1 Google Hack 26

3.1.1 搜集子域名 26

3.1.2 搜集Web信息 27

3.2 Nmap初體驗 29

3.2.1 安裝（zhuāng）Nmap 29

3.2.2 探測主機信息（xī） 30

3.2.3 Nmap腳本引（yǐn）擎 32

3.3 DirBuster 33

3.4 指紋識別 35

3.5 小結 38

第4章 漏洞掃描 39

4.1 Burp Suite 39

4.1.1 Target 39

4.1.2 Spider 40

4.1.3 Scanner 42

4.1.4 Intruder 43

4.1.5 輔助模塊 46

4.2 AWVS 49

4.2.1 WVS向導掃描 50

4.2.2 Web掃描服務（wù） 52

4.2.3 WVS小工具 53

4.3 AppScan 54

4.3.1 使用AppScan掃描 55

4.3.2 處理結果 58

4.3.3 AppScan輔助（zhù）工具（jù） 58

4.4 小結 61

第2篇 原理篇（piān）

第5章 SQL注入漏洞 64

5.1 SQL注入原理 64

5.2 注入漏洞分類 66

5.2.1 數字（zì）型注入 66

5.2.2 字符型注（zhù）入 67

5.2.3 SQL注入分類 68

5.3 常見數據庫注入 69

5.3.1 sql server 69

5.3.2 mysql 75

5.3.3 oracle 84

5.4 注（zhù）入工具（jù） 89

5.4.1 SQLMap 89

5.4.2 Pangolin 95

5.4.3 Havij 98

5.5 防止SQL注（zhù）入 99

5.5.1 嚴格的數據（jù）類型 100

5.5.2 特殊字符轉義 101

5.5.3 使用預編譯語句 102

5.5.4 框架技術（shù） 103

5.5.5 存儲過程（chéng） 104

5.6 小結 105

第6章（zhāng） 上傳漏洞 106

6.1 解（jiě）析漏洞 106

6.1.1 iis解析漏洞 106

6.1.2 Apache解析漏（lòu）洞 109

6.1.3 php CGI解析漏洞 110

6.2 繞過上傳漏洞 110

6.2.1 客戶端檢測 112

6.2.2 服務器端檢測 115

6.3 文本編輯器上傳漏洞 123

6.4 修（xiū）複上傳漏洞 127

6.5 小結 128

第7章 XSS跨站腳本漏（lòu）洞 129

7.1 XSS原理解析 129

7.2 XSS類型 130

7.2.1 反射（shè）型XSS 130

7.2.2 存儲（chǔ）型XSS 131

7.2.3 DOM XSS 132

7.3 檢測XSS 133

7.3.1 手工檢測XSS 134

7.3.2 全（quán）自動檢測XSS 134

7.4 XSS高級利用 134

7.4.1 XSS會話劫持 135

7.4.2 XSS Framework 141

7.4.3 XSS GetShell 144

7.4.3 XSS蠕蟲（chóng） 149

7.5 修複XSS跨站漏洞（dòng） 151

7.5.1 輸入與輸出 151

7.5.2 HttpOnly 158

7.6 小結 160

第8章 命令執行漏洞 161

8.1 OS命令執行漏洞示例 161

8.2 命令執行模型 162

8.2.1 PHP命令執（zhí）行 163

8.2.2 Java命令執行 165

8.3 框架執行漏洞（dòng） 166

8.3.1 Struts2代碼執行漏洞 166

8.3.2 ThinkPHP命令執行漏洞 169

8.3 防範命令執行漏洞 169

第（dì）9章 文件包含漏洞 171

9.1 包含漏洞原理解析 171

9.1.1 PHP包含 171

9.1.2 JSP包含 180

9.2 安全編寫包含 184

9.3 小結 184

第10章 其他（tā）漏洞 185

10.1 CSRF 185

10.1.1 CSRF攻（gōng）擊原理 185

10.1.2 CSRF攻擊（jī）場景（GET） 186

10.1.3 CSRF攻擊場景（POST） 188

10.1.4 瀏覽器Cookie機製 190

10.1.5 檢測CSRF漏（lòu）洞 193

10.1.6 預防跨站請（qǐng）求偽造 197

10.2 邏輯錯（cuò）誤漏洞 199

10.2.1 挖（wā）掘邏輯漏（lòu）洞 199

10.2.2 繞過授權驗證 200

10.2.3 密碼（mǎ）找回邏輯（jí）漏洞 204

10.2.4 支付邏輯漏洞（dòng） 205

10.2.5 指定賬戶惡意攻擊 209

10.3 代碼注（zhù）入 210

10.3.1 XML注入 211

10.3.2 XPath注入 212

10.3.3 JSON注入 215

10.3.4 HTTP Parameter Pollution 216

10.4 URL跳轉與釣魚 218

10.4.1 URL跳轉（zhuǎn） 218

10.4.2 釣魚 220

10.5 WebServer遠程部署 224

10.5.1 tomcat 224

10.5.2 JBoss 226

10.5.3 WebLogic 229

10.6 小結 233

第3篇 實戰篇