书名:Web应用安全
ISBN:978-7-115-63611-9
本书由人民邮电出版社发行数字版。版权所有,侵权必究。
您购买的人民邮电出版社电子书仅供您个人使用,未经授权,不得以任何方式复制和传播本书内容。
我们愿意相信读者具有这样的良知和觉悟,与我们共同保护知识产权。
如果购买者有侵权行为,我们可能对该用户实施包括但不限于关闭该帐号等维权措施,并可能追究法律责任。
主 编 乔治锡 冯军军 黄章清
副 主 编 蓝大朝 王泽儒 尹 禛
责任编辑 傅道坤
人民邮电出版社出版发行 北京市丰台区成寿寺路11号
邮编 100164 电子邮件 315@ptpress.com.cn
网址 http://www.ptpress.com.cn
读者服务热线:(010)81055410
反盗版热线:(010)81055315
本书是一本关于Web应用安全的实用教材,旨在帮助读者深入了解Web应用安全的核心概念和方法,以便有效地发现和防范Web应用漏洞和风险。
本书分为四篇,共22章,先介绍Web安全环境的搭建,再详细讲解各种Web安全工具,包括轻量级代码编辑器、浏览器代理插件、Burp Suite工具和木马连接工具,接着剖析多种Web应用安全漏洞及其常见的漏洞利用方式,最后基于两个真实的Web应用安全漏洞挖掘实战项目,帮助读者巩固对Web应用安全漏洞的理解,并拓展读者的Web应用安全测试的思路。本书以任务的形式呈现,易于理解和操作。通过阅读本书,读者能够全面了解Web应用安全,提升网络安全技能。
本书适合作为高等院校网络空间安全、信息安全和网络工程等相关专业的教材,也适合作为网络安全从业人员和研究人员的参考书。
随着Web 2.0、社交网络等新型互联网平台的出现,基于Web平台的互联网应用得到了广泛普及。在企业信息化过程中,各种应用都依托于Web平台来运行,然而这也带来了与之相关的Web安全威胁。黑客可以利用Web应用服务程序漏洞获取Web服务器的控制权限,轻则导致网页内容被篡改,重则导致重要核心机密数据被窃取,黑客甚至可以在网页中植入恶意代码,从而对网站访问者造成侵害。
2017年6月1日,《中华人民共和国网络安全法》的施行使得网络安全这一概念深入人心。为了保障网络的安全性,越来越多的高校学生和企业员工开始接触网络安全。在作者实施网络安全项目时,通过企业人员、高校教师和学生等多方反馈,发现目前市场上缺乏一本以Web应用安全为主题、深入剖析Web应用安全漏洞利用的图书。因此,为了让对Web应用安全感兴趣的读者了解黑客攻击手法、学习相关攻防技术,并更好地参与到网络安全保障事业中,这本以实践操作为核心的图书问世了。
本书结合网络安全攻防项目数据,以PHP语言为基础,全面讲解了多种漏洞的形成原理和利用方式。读者可以通过学习漏洞利用的方式,了解漏洞的危害并学习修复方法。不论是初学者还是有工作经验的从业者,都能通过本书系统地学习Web应用安全漏洞和安全技术。
本书以由浅入深的方式,全面介绍了Web应用安全体系,涵盖的内容包括Web安全环境搭建、Web安全工具、Web应用安全漏洞、漏洞挖掘实战等。该书适合作为高等院校网络空间安全、信息安全和网络工程等相关专业的教材,也适合作为网络安全从业人员和研究人员的参考书。
本书具备以下5个特点。
● 本书的第一篇和第二篇分别介绍了Web安全环境的搭建和Web安全工具的使用。初学者可以通过学习这两篇的内容,安装并配置所需的Web应用攻防环境和安全工具,为后续学习做好准备。
● 本书采用由浅入深的方式,首先帮助读者配置 Web 安全环境和工具,然后深入探讨Web 应用安全漏洞,帮助读者初步掌握安全工具的使用方法、漏洞的研判与利用,最后通过模拟仿真的Web应用安全评估项目,进一步加强读者对安全漏洞的测试技术与利用方法的理解。
● 本书的项目包含项目描述、项目分析和背景知识,帮助读者明确学习该技能点所需的知识。
● 本书注重实践,通过学习本书,读者可以更加清楚地了解Web应用的各种威胁与其利用方法,从而明确这些威胁可能带来的危害。同时,本书还以漏洞利用为视角,扩展了漏洞防范的加固方法。
● 本书中的每个项目与任务的末尾均提供了提高拓展和练习实训内容,旨在激发读者的学习思维并帮助他们注意学习过程中可能忽略的知识点和事项。这些内容有助于读者深化理解并扩展应用。
本书分为四篇,共22章。通过以Web安全环境、Web安全工具为切入点,循序渐进引入了Web应用安全威胁分析、判断方法和综合性的Web安全评估。接下来,介绍一下各篇的主要内容。
● 第一篇:Web安全环境搭建。通过学习本篇内容,读者将学会在Windows物理机上安装虚拟化系统,以及配置Web应用程序的运行环境。掌握这些技能将有助于读者在后续学习中进行环境调试和函数功能解读等。
● 第二篇:Web安全工具使用。本篇主要介绍了Web应用安全测试中测试人员常用工具的使用方法。通过学习本篇内容,读者可以为第三篇的学习打下基础,提前熟悉并安装常用工具,从而增强学习后续操作的能力。
● 第三篇:Web应用安全漏洞剖析。通过学习本篇内容,读者将掌握常见Web应用漏洞的利用方式,并通过实战练习了解漏洞的危害,从而提高个人的安全意识和专业水平。
● 第四篇:漏洞挖掘实战。本篇基于真实的Web应用安全评估项目,以模拟企业安全项目实施人员操作的视角对指定系统进行安全检查。通过学习本篇内容,读者将巩固并提升漏洞理解能力,同时拓展Web应用安全测试的思路和能力。
本书面向的读者包含但不限于高等院校网络空间安全、信息安全和网络工程等相关专业的师生,对Web应用安全、渗透测试和网络安全感兴趣的人士,以及希望从事网络安全相关工作或提升个人网络安全意识的人群。通过学习本书,您将能够全面掌握并明确了解Web应用中常见的安全威胁。为了提升学习效果,在阅读本书之前,建议您提前学习以下知识。
● 计算机和网络知识,如操作系统、网络协议、网络设备等。
● 编程和脚本语言知识,如Python、PowerShell等。
● Web开发和数据库知识,如HTML、PHP、MySQL等。
● 各种编码方式,包含但不限于URL编码、Base64编码、Hex编码等。
本书中使用的所有URL或IP地址均在作者搭建的测试环境中使用,若与现有的URL或IP地址存在重复,纯属偶然现象。本书的测试环境和网站源码是由作者自行编写或从公开的源码库中获取的,作者还进行了必要的环境搭建。
本书仅供学习,请读者遵守国家相关法律法规,严禁利用本书从事任何非法行为。Web应用安全评估是一项高风险的技术活动,如违反相关法律法规可能造成严重后果。根据《中华人民共和国刑法》第二百八十六条规定,未经授权,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。因此,强烈建议您在学习和使用这项技术时务必遵守相关法律法规,切勿从事任何违法行为。
为了方便您获取本书丰富的配套资源,建议您关注我们的官方微信公众号“恒星EDU”(微信号:cyberslab)。我们将在此平台上定期发布与本书相关的配套资源信息,为您的学习之路提供更多的支持。
由于编写时间紧迫,本书可能存在疏漏或不完善之处,欢迎读者批评指正。
在此,感谢杭州安恒信息技术股份有限公司的王伦信息安全测试员技能大师工作室和恒星实验室的精英团队成员,包括吴鸣旦、樊睿、叶雷鹏、王伦、李肇、杨益鸣、孔韬循、郑鑫、李小霜、郑宇、陆淼波、章正宇、赵今、舒钟源、刘美辰、郭廓、曾盈。他们在专业知识和技能方面为我们提供了宝贵的指导和建议,同时,在书稿的撰写和校对过程中,也给予了我们极大的帮助和支持。正是由于他们的鼎力相助,本书才能够顺利完成。
本书提供如下资源:
● 本书习题答案;
● 本书思维导图;
● 异步社区7天VIP会员。
要获得以上资源,您可以扫描下方二维码,根据指引领取。
作者和编辑尽最大努力来确保书中内容的准确性,但难免会存在疏漏。欢迎您将发现的问题反馈给我们,帮助我们提升图书的质量。
当您发现错误时,请登录异步社区(https://www.epubit.com),按书名搜索,进入本书页面,单击“发表勘误”,输入勘误信息,单击“提交勘误”按钮即可(见下图)。本书的作者和编辑会对您提交的勘误进行审核,确认并接受后,您将获赠异步社区的100积分。积分可用于在异步社区兑换优惠券、样书或奖品。
我们的联系邮箱是contact@epubit.com.cn。
如果您对本书有任何疑问或建议,请您发邮件给我们,并请在邮件标题中注明本书书名,以便我们更高效地做出反馈。
如果您有兴趣出版图书、录制教学视频,或者参与图书翻译、技术审校等工作,可以发邮件给我们。
如果您所在的学校、培训机构或企业想批量购买本书或异步社区出版的其他图书,也可以发邮件给我们。
如果您在网上发现有针对异步社区出品图书的各种形式的盗版行为,包括对图书全部或部分内容的非授权传播,请您将怀疑有侵权行为的链接发邮件给我们。您的这一举动是对作者权益的保护,也是我们持续为您提供有价值的内容的动力之源。
“异步社区”(www.epubit.com)是由人民邮电出版社创办的IT专业图书社区,于2015年8月上线运营,致力于优质内容的出版和分享,为读者提供高品质的学习内容,为作译者提供专业的出版服务,实现作者与读者在线交流互动,以及传统出版与数字出版的融合发展。
“异步图书”是异步社区策划出版的精品IT图书的品牌,依托于人民邮电出版社在计算机图书领域30余年的发展与积淀。异步图书面向IT行业以及各行业使用IT技术的用户。
本篇概况
本篇主要介绍VMware的安装、基础镜像的安装和测试环境的搭建,为后续的学习夯实基础。通过VMware虚拟机安装基础镜像来模拟真实网络环境,虚拟机相当于一个隔离的实验环境,不受外界网络环境干扰。
情境假设
小王是企业新聘任的网络安全工程师,主要负责对公司网站、业务系统进行安全评估测试、安全技术研究等。在进行安全技术研究与测试时,小王需要一个实验环境,避免攻击行为对公司的网络造成危害,小王决定通过VMware虚拟机来搭建实验环境,并且配置相应虚拟机以满足技术研究与测试的使用需求。
项目描述
为了节省硬件资源,网络安全工程师小王需要通过VMware虚拟机搭建网络靶场以模拟真实的网络环境。使用VMware虚拟机可以在同一台物理主机上安装多种操作系统,如Kali Linux、Windows 7等,并且这些虚拟化安装的系统是相互隔离的,即便有一台虚拟机崩溃或被植入恶意软件,也不会影响到其他虚拟主机和物理主机,从而使系统的安全性得到保障。
项目分析
为了保证VMware虚拟机能够兼容新版本的计算机系统,小王在VMware的官网上下载了16.2.0版本的安装包VMware-workstation-full-16.2.0,并在Windows服务器上安装该版本的VMware。需要注意的是,在从VMware的官网上下载产品前,需要注册VMware的账号。
背景知识
在首次使用VMware虚拟机时,可能会遇到一个常见问题,那就是在安装完操作系统后,虚拟机无法访问互联网的问题。VMware提供3种网络工作模式:Bridged(桥接模式)、NAT(网络地址转换模式)、Host-Only(仅主机模式)。默认的网络工作模式是NAT模式,在正常情况下,此模式可访问互联网而不需要对虚拟机的配置进行修改。
● 桥接模式:此模式利用虚拟网桥将物理主机网卡与虚拟主机的虚拟网卡进行连接,此时的虚拟主机相当于与物理主机同网段的一台机器。如果使用了桥接模式的虚拟机想要访问互联网,那么虚拟机的网络设置必须与物理主机的配置一致,包括网关、IP地址网段、子网掩码。
● 网络地址转换模式:此模式借助虚拟NAT设备和虚拟DHCP服务器,使得虚拟机可以访问互联网,无须进行其他配置。
● 仅主机模式:此模式就是去除了虚拟NAT设备的NAT模式,此模式下的虚拟机只能和物理主机进行通信,无法访问互联网。
第一步,安装VMware。从VMware官网下载安装包后,双击可执行程序进入安装向导,如图1-1所示。
图1-1 安装向导
单击“下一步”按钮,勾选“我接受许可协议中的条款”,接着单击“下一步”按钮,如图1-2所示。
图1-2 许可协议
安装位置可进行修改,这里选择默认安装到C盘,如图1-3所示。如果读者需要修改安装路径,那么可单击“更改…”按钮,选择其他路径。
图1-3 选择默认安装到C盘
单击“下一步”按钮,用户体验设置可保持默认选项,如图1-4所示。
图1-4 用户体验设置保持默认选项
然后保持默认选项,一直单击“下一步”按钮,最后单击“安装”按钮,即可开始安装,如图1-5所示。
图1-5 开始安装
稍等片刻,即可成功安装VMware,如图1-6所示。
图1-6 成功安装VMware
单击“完成”按钮,即可退出安装向导,双击桌面上的VMware图标,即可打开软件,如图1-7所示。
图1-7 打开软件
选择“我希望试用VMware Workstation 16 30天”,然后单击“继续”按钮,即可正常使用VMware,VMware主界面如图1-8所示。
图1-8 VMware主界面
至此,VMware虚拟机安装结束。
本任务主要讲解了VMware虚拟机的安装步骤,安装过程较为简单。需要注意的一点是,在选择安装路径时,建议不要安装到C盘中。此外,VMware提供30天的试用期。
VMware虚拟机提供快照功能,这是一个强大而实用的功能,快照可以理解成系统备份与还原。例如在首次安装完虚拟机后为该虚拟机拍摄快照,在之后的测试中,无论是安装了何种软件还是执行了某些恶意程序导致虚拟机崩溃,都可以通过快照将虚拟机恢复到首次安装成功的状态。一个虚拟系统里可以存在多个快照,VMware 虚拟机可以在系统关机或开机的状态下拍摄快照,通常建议读者在关机后再拍摄快照。
VMware 虚拟机拍摄快照可分为 3 步,先单击需要打快照的虚拟机,再单击鼠标右键,选择“快照”选项,最后选择“拍摄快照”选项即可,如图 1-9所示。
图1-9 拍摄快照
如果需要将系统恢复到某个状态,那么选择快照管理器中相应的状态恢复即可。
在本书的练习实训部分,会用△、△△和△△△来表示习题的不同难度。△代表简单,△△代表一般,△△△代表困难。
△1.VMware Workstation提供的网络工作模式不包括( )。
A.桥接模式
B.网络地址转换模式
C.共享模式
D.仅主机模式
△2.VMware Workstation支持的宿主系统不包括( )。
A.Windows 10
B.Ubuntu
C.CentOS
D.Android
△1.请列出3种主流的虚拟机软件及其支持虚拟化的操作系统。
△△2.请简述VMware的应用场景与优点。
