Web安全防护指南：基础篇计算机与互联网书籍|7891609 pdf epub mobi txt 电子书下载 2025

简体网页||繁体网页

☆☆☆☆☆

蔡晶晶张兆心林天翔著

图书标签:

Web安全
网络安全
信息安全
防护指南
基础
计算机
互联网
安全技术
漏洞
攻击防御

下载链接在页面底部

facebook linkedin mastodon messenger pinterest reddit telegram twitter viber vkontakte whatsapp 复制链接

想要找书就要到静思书屋

book.idnshop.cc

立刻按 ctrl+D收藏本页

你会得到大惊喜!!

店铺：互动出版网图书专营店

出版社：机械工业出版社

ISBN：9787111587767

商品编码：27965249803

丛书名：网络空间安全技术丛书

出版时间：2018-05-01

页数：376

具体描述

书名：	Web安全防护指南：基础篇\|7891609
图书定价：	79元
图书作者：	蔡晶晶张兆心林天翔
出版社：	机械工业出版社
出版日期：	2018/5/1 0:00:00
ISBN号：	9787111587767
开本：	16开
页数：	376
版次：	1-1

内容简介

web安全与防护技术是当前安全界关注的热点，本书尝试针对各类漏洞的攻防技术进行体系化整理，从漏洞的原理到整体攻防技术演进过程进行详细讲解，从而形成对漏洞和web安全的体系化的认识。本书包括五个部分，第一部分为基础知识，这些知识对Web攻防技术理解有着极大帮助。第二部分重点讲解各类基本漏洞的原理及攻防技术对抗方法，并针对个漏洞的测试方法及防护思路进行整理。第三部分重点讲解Web应用的业务逻辑层面安全，但由于各类Web应用的不同，因此重点通过Web应用的用户管理功能入手，讲解在用户权限的获取、分配、利用方面的各项细节问题。第四部分从Web应用整体视角提供攻防对抗过程中的技术细节，这在实际运维过程中有很大的作用。第五部分介绍Web安全防护体系建设的基本方法，包含常见的防护设备、Web防护体系建议、渗透测试方法及快速代码审计实践，深入了解在Web安全防护体系中的各部分基础内容及开展方式。

推荐序
前言
第一部分基础知识
第1章 Web安全基础 2
1.1 Web安全的核心问题 2
1.2 HTTP协议概述 5
1.2.1 HTTP请求头的内容 6
1.2.2 HTTP协议响应头的内容 9
1.2.3 URL的基本格式 11
1.3 HTTPS协议的安全性分析 12
1.3.1 HTTPS协议的基本概念 13
1.3.2 HTTPS认证流程 14
1.3.3 HTTPS协议的特点总结 16
1.4 Web应用中的编码与加密 16
1.4.1 针对字符的编码 16
1.4.2 传输过程的编码 18
1.4.3 Web系统中的加密措施 20
1.5 本章小结 22
第二部分网络攻击的基本防护方法
第2章 XSS攻击 24
2.1 XSS攻击的原理 24
2.2 XSS攻击的分类 25
2.2.1 反射型XSS 26
2.2.2 存储型XSS 26
2.2.3 基于DOM的XSS 26
2.3 XSS攻击的条件 26
2.4 漏洞测试的思路 27
2.4.1 基本测试流程 28
2.4.2 XSS进阶测试方法 30
2.4.3 测试流程总结 40
2.5 XSS攻击的利用方式 40
2.5.1 窃取Cookie 40
2.5.2 网络钓鱼 42
2.5.3 窃取客户端信息 44
2.6 XSS漏洞的标准防护方法 45
2.6.1 过滤特殊字符 45
2.6.2 使用实体化编码 50
2.6.3 HttpOnly 52
2.7 本章小结 52
第3章请求伪造漏洞与防护 53
3.1 CSRF攻击 54
3.1.1 CSRF漏洞利用场景 58
3.1.2 针对CSRF的防护方案 58
3.1.3 CSRF漏洞总结 61
3.2 SSRF攻击 61
3.2.1 SSRF漏洞利用场景 62
3.2.2 针对SSRF的防护方案 65
3.2.3 SSRF漏洞总结 66
3.3 本章小结 66
第4章 SQL注入 67
4.1 SQL注入攻击的原理 67
4.2 SQL注入攻击的分类 72
4.3 回显注入攻击的流程 72
4.3.1 SQL手工注入的思路 73
4.3.2 寻找注入点 73
4.3.3 通过回显位确定字段数 74
4.3.4 注入并获取数据 76
4.4 盲注攻击的流程 78
4.4.1 寻找注入点 79
4.4.2 注入获取基本信息 81
4.4.3 构造语句获取数据 84
4.5 常见防护手段及绕过方式 86
4.5.1 参数类型检测及绕过 86
4.5.2 参数长度检测及绕过 88
4.5.3 危险参数过滤及绕过 90
4.5.4 针对过滤的绕过方式汇总 95
4.5.5 参数化查询 99
4.5.6 常见防护手段总结 100
4.6 本章小结 101
第5章文件上传攻击 102
5.1 上传攻击的原理 103
5.2 上传的标准业务流程 103
5.3 上传攻击的条件 106
5.4 上传检测绕过技术 107
5.4.1 客户端检测及绕过 107
5.4.2 服务器端MIME检测及绕过 110
5.4.3 服务器端文件扩展名检测及绕过 113
5.4.4 服务器端文件内容检测及绕过 118
5.4.5 上传流程安全防护总结 122
5.5 文件解析攻击 123
5.5.1 .htaccess攻击 123
5.5.2 Web服务器解析漏洞攻击 125
5.6 本章小结 127
第6章 Web木马的原理 128
6.1 Web木马的特点 129
6.2 一句话木马 130
6.2.1 一句话木马的原型 130
6.2.2 一句话木马的变形技巧 131
6.2.3 安全建议 135
6.3 小马与大马 136
6.3.1 文件操作 137
6.3.2 列举目录 139
6.3.3 端口扫描 139
6.3.4 信息查看 140
6.3.5 数据库操作 142
6.3.6 命令执行 143
6.3.7 批量挂马 144
6.4 本章小结 145
第7章文件包含攻击 146
7.1 漏洞原理 146
7.2 服务器端功能实现代码 147
7.3 漏洞利用方式 148
7.3.1 上传文件包含 148
7.3.2 日志文件包含 148
7.3.3 敏感文件包含 150
7.3.4 临时文件包含 151
7.3.5 PHP封装协议包含 151
7.3.6 利用方式总结 151
7.4 防护手段及对应的绕过方式 152
7.4.1 文件名验证 152
7.4.2 路径限制 154
7.4.3 中间件安全配置 156
7.5 本章小结 158
第8章命令执行攻击与防御 159
8.1 远程命令执行漏洞 159
8.1.1 利用系统函数实现远程命令
执行 159
8.1.2 利用漏洞获取webshell 163
8.2 系统命令执行漏洞 167
8.3 有效的防护方案 169
8.3.1 禁用部分系统函数 169
8.3.2 严格过滤关键字符 169
8.3.3 严格限制允许的参数类型 169
8.4 本章小结 170
第三部分业务逻辑安全
第9章业务逻辑安全风险存在的前提 172
9.1 用户管理的基本内容 173
9.2 用户管理涉及的功能 174
9.3 用户管理逻辑的漏洞 175
9.4 本章小结 176
第10章用户管理功能的实现 177
10.1 客户端保持方式 177
10.1.1 Cookie 178
10.1.2 Session 179
10.1.3 特定应用环境实例 180
10.2 用户基本登录功能实现及安全情况分析 186
10.3 本章小结 189
第11章用户授权管理及安全分析 190
11.1 用户注册阶段安全情况 191
11.1.1 用户重复注册 191
11.1.2 不校验用户注册数据 192
11.1.3 无法阻止的批量注册 193
11.2 用户登录阶段的安全情况 194
11.2.1 明文传输用户名/密码 194
11.2.2 用户凭证（用户名/密码）可被暴力破解 198
11.2.3 万能密码 199
11.2.4 登录过程中的安全问题及防护手段汇总 202
11.3 密码找回阶段的安全情况 203
11.3.1 验证步骤可跳过 204
11.3.2 平行

现代数字世界的基石：互联网与计算机科学入门在这个信息爆炸、科技飞速发展的时代，计算机与互联网已经不再是少数专业人士的专属领域，而是深入渗透到我们生活的方方面面，成为现代社会正常运转不可或缺的基石。从个人通信、娱乐休闲到商业运营、科学研究，再到国家治理、国际交往，计算机和互联网的作用无处不在，深刻地改变着我们的生活方式、思维模式乃至整个社会的形态。理解计算机的基本原理，掌握互联网的运行机制，已成为每个现代公民必备的核心素养。本书旨在为广大读者，特别是对计算机科学与互联网技术感兴趣的初学者，提供一个全面、深入且易于理解的学习路径。我们力求剥离复杂的技术术语，以清晰的逻辑和生动的案例，层层递进地解析这些看似神秘的技术背后蕴藏的科学奥秘，帮助读者建立起扎实的理论基础，为进一步的学习和探索打下坚实的地基。第一部分：计算机——数字世界的创造者在深入探讨互联网之前，我们必须首先理解其根基——计算机。计算机，作为信息处理和计算的强大工具，其发展历程本身就是一部科技进步的史诗。计算机的起源与发展：回溯历史，从机械式计算器到电子计算机的诞生，再到集成电路、微处理器和个人电脑的普及，计算机的发展经历了无数次的飞跃。我们将探讨早期计算的瓶颈，以及图灵机等理论模型的出现如何为现代计算机奠定理论基础。了解这些历史脉络，有助于我们理解计算机设计的演进逻辑和未来的发展方向。计算机硬件的核心组成：计算机并非一个黑箱，而是由一系列精密的硬件组件协同工作而成。本书将详细介绍计算机的“大脑”——中央处理器（CPU），它负责执行指令和进行运算；“记忆”——内存（RAM）和外存（硬盘、SSD），它们负责存储数据和程序；以及输入/输出设备（键盘、鼠标、显示器、打印机等），它们是人机交互的桥梁。我们会深入分析CPU的工作原理，如指令集、流水线技术；探讨不同存储介质的特性、读写速度和容量的差异；并解析各种I/O设备如何将物理世界的信息转化为数字信号，或将数字信息呈现给用户。计算机软件的灵魂：硬件是躯体，而软件则是赋予计算机生命和智慧的灵魂。我们将区分硬件和软件的概念，并重点介绍操作系统的作用。操作系统是计算机最基础的软件，它负责管理硬件资源（CPU、内存、存储设备等），提供用户接口，并为应用程序的运行提供平台。我们将介绍主流操作系统的发展历程（如Windows, macOS, Linux），以及它们在资源调度、进程管理、文件系统等方面的核心功能。数据表示与编码：计算机只能理解二进制（0和1）的语言。本书将阐述计算机如何使用二进制来表示各种类型的数据，包括数字、文本、图像、声音等。我们将介绍二进制、十进制、十六进制之间的转换，以及ASCII、Unicode等字符编码标准，理解这些编码方式是理解计算机如何处理和存储信息的关键。程序设计基础：计算机之所以能完成各种复杂的任务，都离不开程序的指令。我们将初步介绍程序设计的基本概念，包括算法（解决问题的步骤）、数据结构（组织数据的方式）以及编程语言（人与计算机沟通的工具）。我们将简要介绍不同类型的编程语言（如编译型、解释型），以及它们在开发不同应用中的作用。虽然本书不深入代码编写，但了解程序设计的基本逻辑，能帮助读者更好地理解软件的运作机制。第二部分：互联网——连接世界的网络在掌握了计算机的基本原理后，我们便能更好地理解互联网，这个由无数计算机组成的、遍布全球的巨大网络。互联网的出现，极大地拓展了人类的信息获取能力、沟通方式和协作模式。互联网的诞生与演进：从最初的军事和科研用途（如ARPANET），到万维网（World Wide Web）的出现，再到移动互联网和物联网的兴起，互联网的发展经历了深刻的变革。我们将追溯互联网从概念到实现的历程，理解其在信息共享、资源互联方面的革命性贡献。网络通信的基础：互联网通信并非无迹可寻，而是遵循着一系列严格的网络协议。本书将重点介绍TCP/IP协议族，这是互联网的基石。我们将解释IP地址和域名的作用，它们如同网络世界的门牌号和地址簿，使得数据包能够准确地在不同设备之间传输。我们将深入浅出地讲解TCP（传输控制协议）和UDP（用户数据报协议）的区别，以及它们在保证数据可靠性或传输速度方面的不同侧重。互联网的架构与组成：互联网不是一个单一的实体，而是由众多相互连接的网络组成。我们将介绍互联网的基本构成，包括路由器、交换机、服务器等网络设备的作用，以及它们如何协同工作，构建起庞大而复杂的网络拓扑。我们将解释客户端-服务器模型（Client-Server Model），这是互联网应用最常见的模式，用户通过客户端（如浏览器）向服务器（如网站服务器）请求信息。万维网（World Wide Web）：我们每天都在使用的浏览器和网站，构成了万维网。本书将介绍万维网的核心技术，如HTML（超文本标记语言），它用于构建网页的结构；CSS（层叠样式表），它用于控制网页的样式和布局；以及JavaScript，它用于实现网页的动态交互。理解这些技术，能帮助读者更深入地理解网页的呈现和互动过程。互联网服务与应用：互联网承载着丰富多样的服务和应用，从电子邮件、即时通讯，到搜索引擎、社交媒体，再到在线购物、流媒体播放，它们极大地丰富了我们的数字生活。我们将分析这些常见互联网应用的运行原理，以及它们如何利用底层的网络协议和技术来实现其功能。互联网的未来趋势：随着技术的不断进步，互联网也在持续演进。我们将展望未来可能出现的趋势，如5G/6G通信技术带来的更高速度和更低延迟，物联网（IoT）连接万物带来的智能生活，人工智能（AI）与互联网的深度融合，以及云计算和边缘计算对计算模式的重塑。结语掌握计算机与互联网的基本知识，不仅能让我们更高效地利用现有的数字工具，更能培养我们的科学思维和批判性分析能力，从而更好地适应快速变化的数字时代。本书致力于提供一个严谨而易懂的入门学习体验，希望它能点燃您对计算机科学与互联网技术的好奇心，开启您在广阔数字世界中的探索之旅。理解这些基础知识，将为您在未来深入学习更高级的技术，应对更复杂的挑战，以及把握更多的机遇，打下坚实而不可或缺的基础。

用户评价

评分☆☆☆☆☆

这是一本从头到尾都透着“扎实”二字的书，书名《Web安全防护指南：基础篇》倒是挺贴切的。我花了好几个晚上才把前面的部分看完，主要是它花了很多篇幅去讲计算机网络的基础知识，比如OSI七层模型、TCP/UDP协议的详解，还有IP地址和子网掩码的划分。说实话，作为一名在互联网行业摸爬滚打了几年的从业者，这些内容我或多或少都有接触过，但这本书的讲解方式非常细致，几乎是把每一个概念都拆解开来，一点一点地剖析。我理解作者的意图是为了让读者建立起一个牢固的计算机基础，毕竟Web安全是建立在网络基础之上的。但是，对于我这种已经有了基本网络概念，并且迫切希望了解Web应用本身的安全漏洞和防护措施的读者来说，这种“由表及里”的讲解方式，有时候会让我觉得节奏有点慢。我非常期待能早点看到关于SQL注入、XSS、CSRF这些实实在在的Web攻击技术，以及相应的防御手段。这本书在这些方面的介绍确实有，但对比前面大篇幅的网络基础知识，就显得略微“精炼”了。我只能说，这是一本适合那些想从零开始，或者想系统性梳理计算机网络知识，并以此为基础来理解Web安全的朋友。

评分☆☆☆☆☆

我最近入手了一本关于Web安全的书，书名是《Web安全防护指南：基础篇》，本来是想快速提升自己的网络安全知识，应对工作中日益严峻的挑战。然而，这本书的内容让我有些哭笑不得。它花了相当多的篇幅去介绍互联网是如何运作的，包括TCP/IP协议栈的各个层级，DNS解析的流程，以及各种网络设备的扮演的角色。这部分内容对于我这样已经工作了好几年的开发者来说，有些过于基础了。我更希望的是能够深入了解那些可以直接影响Web应用安全性的技术和实践，比如如何防范常见的Web漏洞，如何进行安全编码，以及一些常用的安全工具的使用。这本书在讲解网络基础概念时，确实做到了详细，但这种详细程度，对于目标读者群体来说，可能更像是一种“全景式”的介绍，而不是“聚焦式”的深入。当然，我并没有因此放弃，我仍然在努力地消化这些内容，因为我明白，只有理解了底层的原理，才能更好地理解上层的安全问题。只是，在阅读过程中，我常常会感觉时间被拉长了，很多我期待看到的关于Web应用攻击和防御的具体例子，被分散在了对网络基础知识的冗长描述之中。有时候，我甚至会怀疑，这本书的“基础篇”是否过于“基础”了。

评分☆☆☆☆☆

这本书我大概花了两个月的时间才真正啃完，说实话，过程并不是一帆风顺。一开始我带着满满的期待，想着能系统地了解Web安全，毕竟在当今这个信息爆炸的时代，网络安全几乎渗透到生活的方方面面，从我们日常的网购、社交，到更深层次的企业数据保护，都离不开它。这本书的书名《Web安全防护指南：基础篇》确实给我留下了深刻的印象，它似乎承诺了一份清晰、易懂的学习路径。然而，当我翻开第一页，迎接我的却是大量关于基础计算机原理的介绍，比如二进制、内存管理、操作系统的工作方式等等。我理解这些内容对于理解更深层次的安全概念是必要的，但坦白讲，对于一个已经对计算机有一些基础了解，并且更侧重于“Web安全”这个方向的读者来说，这部分的篇幅显得有些冗长。我期待的是能立刻进入到HTTP协议的漏洞，SQL注入的原理，XSS攻击的防范等等，但这本书却像是一位循循善诱的老师，不厌其烦地从最基础的“ABC”开始教起。虽然有些章节的内容与我最初的预期有些偏差，但我依然认真地阅读了，因为我知道，扎实的基础是构建高楼大厦的关键。只是，在阅读过程中，我确实会时不时地问自己：“我真的需要花这么多时间去理解CPU的工作流程，才能学习如何防范CSRF攻击吗？”这种略微脱节的感觉，是贯穿我阅读大部分内容时的感受。

评分☆☆☆☆☆

我最近终于下定决心，开始研读《Web安全防护指南：基础篇》。这本书的装帧设计很专业，封面和纸张的质感都很好，拿在手里就有一种“干货满满”的感觉。我本身对网络安全领域非常感兴趣，尤其是在工作之余，想要了解更多关于Web端潜在的风险和防护策略。当我翻开书本，我看到了大量的关于互联网发展历程、早期网络协议以及一些经典安全事件的介绍。这部分内容读起来像是一部“网络安全史”，让我对这个领域有了更宏观的认识。然而，我原以为会直接深入到各种Web攻击技术和防御方法的讲解，却发现这本书的“基础篇”似乎更侧重于构建一个广阔的知识背景。例如，它会花很多笔墨去描述早期互联网的通信模式，以及一些已经被淘汰但曾经具有影响力的安全威胁。虽然这些内容有助于理解Web安全的发展脉络，但对于我急于掌握当下实用的Web安全防护技能来说，感觉有些“绕远”。我期待的更像是能够立刻看到关于HTTPS的工作原理，JSON Web Tokens（JWT）的安全使用，或者OWASP Top 10的详细解读。这本书在这些方面的确有提及，但它们的出现，似乎是在为前面更为宏大的背景叙述“铺路”。总的来说，这本书提供了一个很全面的视角，但对于我这样想快速切入实际应用场景的读者而言，需要一些耐心去“穿越”那些背景知识。

评分☆☆☆☆☆

我最近一直在看一本名为《Web安全防护指南：基础篇》的书，这本书的体积不算小，我花了不少时间才初步浏览完。我最初购买这本书的目的是想学习如何在Web开发中构建更安全的应用程序，毕竟现在黑客攻击的手段层出不穷，作为开发者，我感觉有必要充实这方面的知识。然而，这本书给我最大的感受是，它将Web安全的概念建立在了极其广泛和基础的计算机科学知识之上。例如，它详细地讲解了操作系统的进程管理、内存分配，以及文件系统的权限控制。虽然这些内容对于理解计算机的整体运行机制至关重要，但我总觉得，对于我来说，这些内容与我当下最迫切需要解决的Web安全问题，似乎还有一定的距离。我更期待的是能够立刻接触到关于HTTP协议的漏洞利用、跨站脚本攻击（XSS）的防范策略，或者SQL注入的原理和防御方法。这本书在这方面的讲解，虽然也有涉及，但似乎是被大量的基础计算机理论所“稀释”了。我花了很多精力去理解那些与具体Web安全实践看似不太直接相关的概念，这让我感觉在学习路径上有些迂回。不过，我也承认，理解了这些底层原理，对于更深入地理解Web安全问题，可能会有长远的好处，只是，学习过程中的那种“不够直接”的感觉，是无法忽视的。