Web安全開發與攻防測試

本書從國際視野研究Web安全，精選國內外知名的21種常見Web安全攻擊進行深度揭密，對Web安全攻防有很好的借鑑作用，本書21章節安排如下。本書從國際視野研究Web安全，精選國內外知名的21種常見Web安全攻擊進行深度揭密，對Web安全攻防有很好的借鑑作用。

第1章SQL注入攻擊與防護/1

1.1SQL注入攻擊背景與相關技術分析1

1.1.1SQL注入攻擊的定義1

1.1.2SQL的特點1

1.1.3SQL注入攻擊產生的原理2

1.1.4SQL注入攻擊的危害3

1.2SQL注入攻擊經典案例重現3

1.2.1試驗1: testfire網站有SQL注入風險3

1.2.2試驗2: testasp網站有SQL注入風險5

1.2.3試驗3: CTF MicroCMS v2網站有SQL注入風險8

1.3SQL注入攻擊的正確防護方法10

1.3.1SQL注入總體防護思想10

1.3.2能引起SQL注入的錯誤代碼段11

1.3.3能防護SQL注入的正確代碼段12

1.3.4SQL注入最佳實踐12

1.4SQL注入攻擊動手實踐與擴展訓練12

1.4.1Web安全知識運用訓練12

1.4.2安全奪旗CTF訓練13

第2章XSS攻擊與防護/14

2.1XSS攻擊背景與相關技術分析14

2.1.1XSS攻擊的定義14

2.1.2JavaScript語言的特點14

2.1.3XSS攻擊產生的原理與危害15

2.1.4XSS攻擊的分類15

2.1.5XSS漏洞常出現的地方16

2.2XSS攻擊經典案例重現16

2.2.1試驗1: testfire網站存在XSS攻擊風險16

2.2.2試驗2: webscantest網站存在XSS攻擊危險18

2.3XSS攻擊的正確防護方法20

2.3.1XSS攻擊總體防護思想20

2.3.2能引起XSS攻擊的錯誤代碼段20

2.3.3能防護XSS攻擊的正確代碼段20

2.3.4富文本的XSS防禦25

2.3.5通過CSP設定防禦XSS攻擊27

2.3.6XSS攻擊最佳實踐27

2.4XSS攻擊動手實踐與擴展訓練27

2.4.1Web安全知識運用訓練27

2.4.2安全奪旗CTF訓練28

Web安全開發與攻防測試目錄第3章認證與授權的攻擊與防護/29

3.1認證與授權攻擊背景與相關技術分析29

3.1.1認證與授權的攻擊定義29

3.1.2認證與授權的特點29

3.1.3認證與授權攻擊產生的原理31

3.2認證與授權攻擊經典案例重現34

3.2.1試驗1: Zero網站能獲得管理員身份數據34

3.2.2試驗2: CTFPostbook用戶A能修改用戶B的數據35

3.2.3試驗3: CTF Postbook用戶A能用他人身份創建數據37

3.3認證與授權攻擊的正確防護方法39

3.3.1認證與授權總體防護思想39

3.3.2能引起認證與授權的錯誤代碼段40

3.3.3能防護認證與授權的正確代碼段40

3.3.4認證與授權最佳實踐42

3.4認證與授權攻擊動手實踐與擴展訓練42

3.4.1Web安全知識運用訓練42

3.4.2安全奪旗CTF訓練43

第4章Open Redirect攻擊與防護/44

4.1Open Redirect攻擊背景與相關技術分析44

4.1.1Open Redirect攻擊的定義44

4.1.2Open Redirect攻擊產生的原理44

4.1.3Open Redirect常見樣例45

4.1.4Open Redirect的危害45

4.2Open Redirect攻擊經典案例重現45

4.2.1試驗1: testasp網站未經認證的跳轉45

4.2.2試驗2: testaspnet網站未經認證的跳轉47

4.3Open Redirect攻擊的正確防護方法49

4.3.1Open Redirect總體防護思想49

4.3.2能引起Open Redirect的錯誤代碼段49

4.3.3能防護Open Redirect的正確代碼段49

4.4Open Redirect攻擊動手實踐與擴展訓練50

4.4.1Web安全知識運用訓練50

4.4.2安全奪旗CTF訓練50