详情
本书主要介绍Web安全理论及实战应用,从Web安全基础入手,深入剖析Web安全漏洞的原理,并通过实战分析对Web安全漏洞的原理进行深度刻画,加深读者对Web安全漏洞原理的认识,进而帮读者全方位了解Web安全漏洞原理的本质。
本书以独特的角度对Web安全漏洞的原理进行刻画,使读者能融会贯通、举一反三。本书主要面向高校计算机专业、信息安全专业、网络空间安全专业的学生及热爱网络安全的读者。
图书在版编目(CIP)数据
Web安全漏洞原理及实战 / 田贵辉著.-- 北京:人民邮电出版社,2020.9
ISBN 978-7-115-54073-7
Ⅰ.①W… Ⅱ.①田… Ⅲ.①计算机网络—网络安全—网络理论 Ⅳ.①TP393.08
中国版本图书馆CIP数据核字(2020)第086682号
著 田贵辉
责任编辑 张天怡
责任印制 王郁 马振武
人民邮电出版社出版发行 北京市丰台区成寿寺路11号
邮编 100164 电子邮件 315@ptpress.com.cn
网址 https://www.ptpress.com.cn
北京市艺辉印刷有限公司印刷
开本:700×1000 1/16
印张:13.5
字数:204千字
印数:1–2 000册
2020年9月第1版
2020年9月北京第1次印刷
读者服务热线:(010)81055410 印装质量热线:(010)81055316
反盗版热线:(010)81055315
广告经营许可证:京东市监广登字20170147号
本书主要介绍Web安全理论及实战应用,从Web安全基础入手,深入剖析Web安全漏洞的原理,并通过实战分析对Web安全漏洞的原理进行深度刻画,加深读者对Web安全漏洞原理的认识,进而帮读者全方位了解Web安全漏洞原理的本质。
本书以独特的角度对Web安全漏洞的原理进行刻画,使读者能融会贯通、举一反三。本书主要面向高校计算机专业、信息安全专业、网络空间安全专业的学生及热爱网络安全的读者。
午后,漫步于翠湖岸,眼前是“轻歌几曲如天籁,袅袅余音共水鸣”的翠湖,它与东陆书院、讲武堂、卢汉公馆、西南联大旧址的历史沧桑感形成强烈的反差,我做网络信息安全十年了。
儿时梦想从戎而不能的我本该留下一生的遗憾,但因来到边疆,扎根这片红土地,选择了这条特殊的“从军”之路而欣慰。此刻,更让我欣慰的是,我的师弟能写出这样一本系统化介绍网络攻防的书籍,让我看到了更多的正义力量正在积蓄和成长,相信我们的后来者会更强,我们的未来会更好,我们的网络会更安全。
在日常的工作、教学、交流中,发现不少外行人和初学者认为信息安全技术是一门高深的技术,很难学会;或者认为黑客无所不能,可以突破任何防御;更有甚者将黑客(或称攻击者)与正义的信息安全工作者混为一谈。究其原因有两点:1. 外行人或初学者还没有系统性地接触网络攻防知识,他们只见树叶,不见大树;2. 他们不明白正义的信息安全工作者和攻击者的最本质区别就是,运用信息安全技术的出发点和落脚点不同,技术是无过错的,而正义的力量是有所为,有所不为的。
本书系统地讲解了当前主流的攻击技术、漏洞原理,又兼顾演示了常用的防御手段、工具运用。本书既能事半功倍地解决初学者只见树叶,不见大树的难题,又可以作为相关从业者查缺补漏、解惑答疑的知识库,是一本初学者和从业者都值得一看的好书。
听风者(某省公安网警)
2020年6月10日
2000年以前,你若是远程登录服务器的桌面,一般是使用空口令,那时候的网络安全还是一个“蛮荒”的时代,一大批黑客组织及黑客论坛如雨后春笋般出现,这些黑客组织及黑客论坛为传播网络安全知识提供了平台。黑客们秉持着开源的精神,让更多的黑客技术爱好者能有学习黑客技术的机会。2000年以后,网络安全得到了国际上的高度重视。那时候的服务器操作系统大多是Windows 2000或者Windows Server 2003,服务器中间件是微软的IIS,使用的编程语言是微软的ASP,当时基本上所有的网站都是用ASP语言编写的。这个时候,这些网站的安全漏洞是比较多的。现在,随着网络技术的发展,黑客技术也得到了飞速发展,安全问题也变得更加重要。
在计算机还未诞生以前,安全这个概念已经存在。计算机诞生以后,世界各地的计算机互联在一起,便形成了互联网,从此,我们开始在互联网中“自由飞翔”。互联网为我们的生活带来无穷便利的同时,互联网中的安全问题也渐渐开始出现:各类网站遭受的攻击层出不穷。最初,黑客研究计算机科学与技术或者网络安全的动力,仅仅是兴趣爱好。他们不断分享黑客技术,内心始终秉持以捍卫互联网安全为己任的初衷。后来,一部分丢失了这一初衷的黑客,开始攻击互联网并对互联网造成破坏。这一部分黑客的性质发生了转变,已然不再是从前那些正义的黑客了,他们以窃取数据及破坏互联网的和谐秩序为目的,被正义的黑客称为攻击者。自此,互联网的潘多拉魔盒被打开,给互联网带来了无穷的厄运。我希望黑客都可以认识到黑客技术的价值,让互联网更和谐、更安全。
感谢互联网中对网络安全做出贡献的所有前辈们,若无你们对黑客技术那格物致知的意志力,若无你们对黑客技术那不分昼夜地探索与创新,就无今天网络安全空前繁荣的局面。
感谢我的老师!感谢网络安全界的全体朋友!
鉴于创作时间有限,书中不免有些许不当之处,读者在学习的过程中,如有任何疑问,均可向邮箱zhangtianyi@ptpress.com.cn反馈。
田贵辉
2011年,COG黑客自律公约诞生,让我们了解到黑客精神的存在,并意识到黑客精神需要传承。本章主要介绍与黑客相关的一些基础知识。通过这些知识,大家可以对黑客的世界有一个整体性的认识。我们了解黑客历史以后,就可以依次了解黑客守则、黑客术语、黑客命令及旧兵器与旧漏洞等。本章叙述这些内容的目的是向读者展现黑客世界不灭的黑客精神。
黑客的英文名为Hacker,指那些精通计算机领域各类技术的计算机高手。换言之,黑客就是那些对计算机科学、编程与设计等方面有深度理解的人。
《信息安全技术 术语》里面是这样定义黑客的:黑客泛指对网络或联网系统进行未授权访问,但无意窃取或造成损坏的人,黑客的动因被认为是想了解系统如何工作,或是想证明或反驳现有安全措施的有效性。
黑客诞生于20世纪50年代,最早出现在麻省理工学院,是一群在贝尔实验室里专门钻研计算机科学与技术的人。早期的黑客仅仅对探索、改进及测试现有程序的“极限”感兴趣。黑客技术发展到20世纪70年代,又诞生了新类黑客技术,他们热衷于测试电话系统的安全性。20世纪80年代是黑客历史重要的分水岭,计算机不再由少数人所使用,很多人都可以使用计算机,于是,计算机的普及引发了黑客数量的快速增长。黑客技术发展到20世纪90年代初期,可谓是“风云突变”,一般认为,中国是在这个年代开始研究黑客技术的。黑客技术发展到20世纪末,中国各类黑客组织开始出现,黑客攻防技术的研究进入了空前的时期。黑客技术发展到21世纪,黑客工具大量出现,形成了“百家争鸣”的局面。
在中国计算机发展早期,中国台湾是计算机科学与技术较领先的地区,中国黑客林正隆就是在这里成长起来的。他以Coolfire为名写了8篇黑客入门文章,其中一篇文章的开篇内容是这样的:这不是一个教学文件,只是告诉你该如何破解系统,好让你能够对自己的系统进行安全保护,如果你能够将这份文件完全看懂,你就能够知道攻击者是如何入侵你的电脑的,我是Coolfire,写这篇文章的目的是要让大家明白电脑安全的重要性,并不是教人去恶意破解密码。这是Coolfire写这8篇黑客入门文章的初心,文章的字里行间体现着黑客的正义情怀。更重要的是,Coolfire还写了一篇黑客守则,到现在为止,这篇黑客守则都还是黑客界的人所遵守的道德规范。由此可见,这篇黑客守则在黑客界的影响力是多么大。这篇黑客守则的基本内容是,不恶意破坏任何系统;不修改任何系统文件;不要轻易将你要入侵的网站告诉你不信任的朋友;不要在论坛上谈论你入侵的任何事;在发表文章的时候不要使用真名;正在入侵的时候,不要随意离开你的电脑;不要侵入或破坏政府机关的主机;不在电话中谈论你入侵的任何事;将你的笔记放在安全的地方;想要成为黑客就要真正地学会入侵并读遍所有有关系统安全或系统漏洞的文件;已侵入电脑中的账号不得清除或修改;不得修改系统档案;不将你已破解的账号分享给朋友。
黑客术语即黑客界里经常会用到的一些专业术语。了解黑客术语,是学习黑客技术必须经历的过程,这是黑客技术的基础。只有基础牢固以后,才有可能深入地学习更有深度的黑客技术。接下来,我们详细讲述一些常见的黑客术语,如表1.1所示。
黑客命令即黑客经常使用的一些攻击命令,鉴于这些攻击命令在黑客界的使用频率较高,所以我们把这些命令都叫作黑客命令,常用的黑客命令如表1.2所示。
旧兵器指的是黑客使用的一些陈旧的攻击工具;旧漏洞指的是黑客使用的一些陈旧的攻击漏洞。常见的旧兵器如表1.3所示。
常见的旧漏洞如表1.4所示。
