Web安全基础及项目实践

任务驱动： 采用“项目- 任务”编排方式，把学习内容组织成项目并拆分成一个个小任务。

结构新颖： 每个项目都包括理论知识相关的任务和案例实践相关的任务，理论与实践相结合，最后通过“项目小结”和“思考与练习”让读者总结测试和提高。

案例丰富： 各项目均安排了丰富的实战案例，并带领读者一步步完成案例操作过程。

配套微课： 读者扫描书中二维码即可播放微课视频，进行直观学习实践。

前 言

随着网络技术的快速发展，尤其是Web技术的发展，基于Web环境的互联网应用越来越广泛。网上订票、购物、银行转账等业务都依赖于互联网，这也导致越来越多的个人或企业敏感信息通过Web展现给了用户。一些恶意攻击者会通过Web窃取重要数据或者攻击Web服务器，影响人们的工作和生活，Web安全问题日益突出。

本书关注到Web安全人才紧缺这一社会现状，为培养信息安全人才这一目标而编写。全书从原理到实战，由浅入深、循序渐进地介绍了Web安全基本概念及目前常见高危漏洞的原理、攻击手段和防御策略，帮助初学者从零开始掌握一些基本技能。

项目1认识Web安全：介绍Web安全的基本概念、Web访问过程、常见的Web浏览器和服务器、使用Chrome浏览器查看数据交互的方法。

项目2使用HTTP协议传输数据：包括HTTP协议和统一资源定位符URL的概念、HTTP请求与HTTP响应的格式、HTTP报文格式，最后分别使用CURL命令和Telnet工具执行HTTP请求。

项目3漏洞环境搭建：搭建常用的漏洞测试环境，包括Linux系统下的LANMP环境、Windows系统下的WAMP环境、DVWA漏洞平台、SQL注入平台和XSS测试平台。

项目4安全工具实践：对常用的安全工具进行实践，包括Fiddler、SQLMap、Burp Suite、Nmap和AWVS。

项目5至项目10：对常见的漏洞进行实践，包括XSS漏洞、CSRF漏洞、SQL注入漏洞、文件上传漏洞、文件包含漏洞、点击劫持漏洞、URL跳转漏洞与钓鱼操作和命令执行漏洞。首先介绍这些漏洞的理论知识，然后用实例对这些漏洞进行实践，并给出漏洞防御建议。

本书具有以下特色：

（1）任务驱动。本书采用“项目－任务”编排方式，把学习内容组织成项目并拆分成一个个小任务，用通俗易懂的语言和丰富多彩的案例详细介绍Web安全的相关基础知识和技术。

（2）结构新颖。每个项目都包括理论知识相关的任务和案例实践相关的任务。首先通过清晰明了的语言介绍项目相关的概念及技术，接着安排与当前知识点和实际应用相结合的实例，让读者边学边练。每个任务也是先介绍任务相关的理论知识，再紧跟实例实践过程，理论与实践相结合。此外，每个项目都有“项目小结”和“思考与练习”，让读者完成项目后还能对所学知识和技能进行总结与测试。

（3）案例丰富。为加强读者的实战能力，每个项目都安排了丰富的案例，并详细介绍了案例的操作过程，一步一步带领读者完成实践操作。

（4）配套微课。本书提供微课视频，便于读者学习和掌握相关内容。

本书由郑丽（负责整体规划和内容组织）、安厚霖、崔俊鹏任主编，李国辉、时瑞鹏任副主编。其中郑丽、安厚霖、李国辉、时瑞鹏来自天津市职业大学，崔俊鹏来自天津中德应用技术大学。具体分工如下：项目1由安厚霖编写，项目2、项目5至项目8由郑丽编写，项目3、项目4和项目10由崔俊鹏编写，项目9由李国辉编写，全书习题由时瑞鹏编写。在本书编写过程中，编者参考了许多优秀资源，在此对各位作者的辛勤劳动表示衷心的感谢。

由于编者水平有限，书中不足甚至错误之处在所难免，恳请读者批评指正。

编 者

2021年10月

前言

项目1 认识Web安全 1
项目导读 1
教学目标 1
任务1 认识Web安全 1
任务2 访问Web 5
任务3 Chrome浏览器查看数据交互 13
项目小结 16
思考与练习 17
项目2 使用HTTP协议传输数据 18
项目导读 18
教学目标 18
任务1 认识HTTP协议 18
任务2 HTTP发送请求与接收响应 23
任务3 查看HTTP报文 29
任务4 使用CURL发送请求 33
任务5 Telnet模拟HTTP请求 36
项目小结 39
思考与练习 39
项目3 漏洞环境搭建 41
项目导读 41
教学目标 41
任务1 Linux系统下的LANMP环境搭建 41
任务2 Windows系统下的WAMP应用
环境搭建 44
任务3 DVWA漏洞平台搭建 53
任务4 SQL注入平台搭建 58
任务5 XSS测试平台搭建 63
项目小结 75
思考与练习 75
项目4 安全工具实践 77
项目导读 77
教学目标 77
任务1 Fiddler工具实践 77
任务2 SQLMap工具实践 83
任务3 Burp Suite工具实践 94
任务4 Nmap扫描工具实践 111
任务5 AWVS工具实践 118
项目小结 123
思考与练习 123
项目5 XSS漏洞实践 125
项目导读 125
教学目标 125
任务1 认识XSS漏洞 125
任务2 XSS攻击与绕过 131
任务3 DVWA平台的XSS攻击实践 138
任务4 XSS漏洞防御 141
项目小结 144
思考与练习 144
项目6 CSRF漏洞实践 145
项目导读 145
教学目标 145
任务1 认识CSRF漏洞 145
任务2 在DVWA平台实践CSRF攻击 149
任务3 CSRF漏洞防御 156
项目小结 159
思考与练习 159
项目7 SQL注入漏洞实践 160
项目导读 160
教学目标 160
任务1 使用Sqli-labs平台实践SQL注入 160
任务2 使用DVWA平台实践SQL注入 166
任务3 使用DVWA平台实践SQL盲注 181
任务4 SQL注入绕过及漏洞防御技术 192
项目小结 193
思考与练习 194
项目8 文件上传漏洞实践 195
项目导读 195
教学目标 195
任务1 使用DVWA平台实践文件上传漏洞 195
任务2 文件上传漏洞防御 202
任务3 文件上传绕过方法 209
项目小结 215
思考与练习 216
项目9 文件包含漏洞实践 217
项目导读 217
教学目标 217
任务1 认识文件包含漏洞 217
任务2 使用DVWA平台实践文件包含漏洞 220
任务3 绕过攻击及防御建议 225
项目小结 228
思考与练习 228
项目10 其他安全漏洞实践 229
项目导读 229
教学目标 229
任务1 点击劫持 229
任务2 URL跳转与钓鱼 232
任务3 命令执行 235
项目小结 240
思考与练习 240
参考文献 241

1. 零基础玩转国产大模型DeepSeek [徐永冰 张帅 编著]
2. 网络工程师5天修炼（适配第6版考纲） [主编　朱小平 施游]
3. 信息系统项目管理师考试32小时通关（适用第4版考纲） [薛大龙]
4. 信息系统管理工程师考试32小时通关（适配第2版考纲） [薛大龙　刘伟]
5. 土木工程材料检测实训 [洪晓江 达则晓丽 钱波]
6. 科技信息检索与论文写作实用教程 [李振华]
7. 传统山水画论解读与实践 [陈钠 著]
8. Python数据库编程 [主编 殷树友 邢 翀]
9. 计算机基础实训指导 [主编 袁春萍 朱妮]
10. 嵌入式人工智能技术应用（数字教材） [主编 胡娜 杨国勇 晏廷荣]
11. Vienna整流器技术 [桂存兵 著]
12. 变频器与伺服应用 [陈刚 叶云飞]
13. 物联网工程设计与实践 [汤琳 李敏]
14. 炉边夜话——深入浅出话AI [汪建　著]
15. 电商运营与管理 [钟肖英 陈潇]
16. Java面向对象程序设计 [主编 姜春磊 陈虹洁]
17. 信息技术基础（Windows 10+WPS Office）（微课版） [主编　石利平　田辉平　谢盛嘉]
18. 人工智能应用 [主编　陈　萍　刘培培　陈孟军]
19. 大学生职业发展与就业指导 [主编　刘志坚]
20. 高级办公应用项目教程 [主编 屈晶 赵成丽]
21. 微信小程序开发项目实战（微课版） [主编 黄龙泉 郭峰 朱倩]
22. 企业档案工作实战宝典百问百答 [华俊 卢秀英 邵甜甜 著]
23. 计算机网络原理及应用 [主编 唐继勇 叶坤 孙梦娜]
24. 大学生创业基础 [主编 王丽莉 王 杨]
25. 船舶辅机 [主编 王连海 于洋 姜淑翠]
26. 大学生就业指导 [主编 王丽莉 董宴廷]
27. 系统架构设计师章节习题与考点特训 [主编 薛大龙 邹月平]
28. 高校学生工作探索与实践 [郭亮 著]
29. 大学生情商管理 [方雄 著]
30. 2023年长沙市会展业发展报告 [主编 周栋良]