Web安全原理分析与实践

全面介绍Web安全原理分析与实践，典型案例分析详尽，立体化教学资源丰富。读者通过本书能快速有效地学习Web安全知识，通过此书快速入门Web安全，对Web安全的漏洞原理有深入的理解，并且通过案例实践提高实际操作能力。本书可以作为高校信息安全、网络空间安全等相关专业的教材，以及网络工程、计算机技术应用型人才培养与认证教材，也适合负责网络安全运维的网络管理人员和对网络空间安全感兴趣的读者作为基础读物。

　　《Web安全原理分析与实践/网络空间安全重点规划丛书》全面介绍与Web安全相关的常见漏洞的原理分析和代码分析方法。
　　《Web安全原理分析与实践/网络空间安全重点规划丛书》共13章，第1章为Web安全基础，第2～13章讲述与Web安全相关的各类常见漏洞的原理分析与代码分析，涉及SQL注入漏洞、文件上传漏洞、文件包含漏洞、命令执行漏洞、代码执行漏洞、XSS漏洞、SSRF漏洞、XXE漏洞、反序列化漏洞、中间件漏洞、解析漏洞、数据库漏洞，并分析了Web安全的攻击和防御方式。各章均提供了思考题。
　　《Web安全原理分析与实践/网络空间安全重点规划丛书》适合作为信息安全、网络空间安全、网络工程等相关专业的教材，也可供网络安全运维人员、网络管理人员和对网络空间安全感兴趣的读者参考。

专注于网络安全领域的的前沿技术的研究、培训和安全服务，在CVE信息安全漏洞库提交11个漏洞并获得CVE ID编号，在CNNVD中国国家信息安全漏洞库、CNVD国家信息安全漏洞共享平台提交多个原创高危漏洞并获得证书，网络安全组织defcon group 0531发起人之一，获得多个CTF比赛奖项。

第1章 Web安全基础
1．1 网络安全现状
1．2 常见的Web安全漏洞
1．3 HTTP基础
1．3．1 HTTP之URL
1．3．2 HTTP请求
1．3．3 HTTP响应
1．3．4 HTTP状态码
1．3．5 HTTP请求方法
1．3．6 HTTP请求头
1．3．7 HTTP响应头
1．4 Cookie和Session
1．4．1 Cookie简介
1．4．2 Cookie详解
1．4．3 Session详解
1．4．4 Session传输
1．5 Burp Suite工具
1．5．1 Burp Suite简介
1．5．2 Burp Suite主要组件
1．5．3 Burp Suite安装
1．5．4 Burp Suite代理设置
1．5．5 Burp Suite重放
1．5．6 Burp Suite爆破
1．5．7 安装CA证书
1．6 信息收集
1．6．1 Nmap扫描
1．6．2 敏感目录扫描
1．7 思考题

第2章 SQL注入漏洞
2．1 SQL注入漏洞简介
2．1．1 SQL注入漏洞产生原因及危害
2．1．2 SQL注入漏洞示例代码分析
2．1．3 SQL注入分类
2．2 数字型注入
2．3 字符型注入
2．4 MySQL注入
2．4．1 information_schema数据库
2．4．2 MySQL系统库
2．4．3 MySQL联合查询注入
2．4．4 MySQL bool注入
2．4．5 MySQL sleep注入
2．4．6 MySQL floor注入
2．4．7 MySQL updatexml注入
2．4．8 MySQL extractvalue注入
2．4．9 MySQL宽字节注入
2．5 Oracle注入
2．5．1 Oracle基础知识
2．5．2 Oracle注入示例代码分析
2．6 SQL Server注入
2．6．1 SQL Server目录视图
2．6．2 SQL Server报错注入
2．7 Access注入
2．7．1 Access基础知识
2．7．2 Access爆破法注入
2．8 二次注入
2．8．1 二次注入示例代码分析
2．8．2 二次注入漏洞利用过程
2．9 自动化SQL注入工具sqlmap
2．9．1 sqlmap基础
2．9．2 sqlmap注入过程
2．10 SQL注入绕过
2．10．1 空格过滤绕过
2．10．2 内联注释绕过
2．10．3 大小写绕过
……

第3章 文件上传漏洞
第4章 文件包含漏洞
第5章 命令执行漏洞
第6章 代码执行漏洞
第7章 XSS漏洞
第8章 SSRF漏洞
第9章 XXE漏洞
第10章 反序列化漏洞
第11章 中间件漏洞
第12章 解析漏洞
第13章 数据库漏洞
附录A 英文缩略语

　　没有网络安全，就没有国家安全；没有网络安全人才，就没有网络安全。
　　为了更多、更快、更好地培养网络安全人才，许多高校都在加大投入，聘请优秀教师，招收优秀学生，以建设一流的网络空间安全专业。
　　网络空间安全专业建设需要体系化的培养方案、系统化的专业教材和专业化的师资队伍。优秀教材是网络空间安全专业人才培养的关键，然而，这是一项十分艰巨的任务。原因有二：其一，网络空间安全的涉及面非常广，至少包括密码学、数学、计算机、通信工程等多门学科，因此，其知识体系庞杂，难以梳理；其二，网络空间安全的实践性很强，技术发展更新非常快，对教学环境和师资要求也很高。
　　作者一直从事网络安全方面的教学、服务和研究工作，积累了大量的实践经验。通过本书，作者将自己积累的学习经验和实际工作中的实践经验与读者分享，使读者可以在Web安全领域快速入门，通过典型漏洞代码分析对Web安全的漏洞原理有深入的理解，并且通过案例实践提高实际操作能力。
　　本书对各种漏洞的形成原理进行了深入、详细的分析，既包括常见的经典漏洞，也包括近来出现的新型漏洞，对各种漏洞都结合案例进行了详细的代码分析，并对漏洞的利用方式进行了全面讲解。读者可以通过本书了解各种漏洞的形成原理、利用方式及修复方法。不论是初学者还是有一定工作经验的从业者，都能通过本书全面、系统地掌握漏洞原理和相关知识。本书既可以作为Web安全初学者的入门书籍，又可以作为Web安全工作者的工具书。
　　“Web安全原理分析与实践”是网络空间安全和信息安全专业的专业课程。本书由浅入深，由理论到实践，讲解了与Web攻防相关的整个体系，涉及的知识面很宽。本书共13章。第1章介绍Web安全基础，第2章介绍soL注入漏洞，第3章介绍文件上传漏洞，第4章介绍文件包含漏洞，第5章介绍命令执行漏洞，第6章介绍代码执行漏洞，第7章介绍XSS漏洞，第8章介绍SSRF漏洞，第9章介绍XXE漏洞，第10章介绍反序列化漏洞，第11章介绍中间件漏洞，第12章介绍解析漏洞，第13章介绍数据库漏洞。
　　本书既适合作为高校网络空间安全、信息安全、网络工程等相关专业的教材，也适合作为网络空间安全研究人员的基础读物。随着新技术的不断发展，作者今后将不断更新本书内容。
　　本书主要由闵海钊编写，参与编写的人员有李江涛、张敬、刘新鹏，参与校阅书稿的人员有张燕飞、王萌。本书的完成离不开作者的亲人和朋友的支持。在此我要感谢父母的养育之恩，是他们含辛茹苦把我养育成人；感谢参与编写和校阅的同事和朋友；感谢公司和领导对我的培养，给我成长、锻炼的机会；感谢清华大学出版社的编辑，他们给了我很多专业的建议和帮助；感谢所有对本书做出贡献的人，没有他们的付出和支持，本书不可能面世。
　　特别说明：本书中使用的每一个URL或者IP地址都是作者自己搭建的测试环境地址，如果与已有的域名或者IP地址重复，纯属巧合。本书相关的漏洞示例代码和相关工具的下载方式统一放在清华大学出版社官网的本书页面。
　　本书大部分内容是作者利用业余时间在实践的基础上编写的。由于时间仓促，书中难免存在疏漏和不妥之处，欢迎读者批评指正。
　　不忘初心，方得始终。