Web安全防護指南：基礎篇計算機與互聯網書籍|7891609 pdf epub mobi txt 電子書下載 2025

簡體網頁||繁體網頁

☆☆☆☆☆

蔡晶晶張兆心林天翔著

圖書標籤:

Web安全
網絡安全
信息安全
防護指南
基礎
計算機
互聯網
安全技術
漏洞
攻擊防禦

下載連結在頁面底部

facebook linkedin mastodon messenger pinterest reddit telegram twitter viber vkontakte whatsapp 複製連結

想要找書就要到靜思書屋

book.idnshop.cc

立刻按 ctrl+D收藏本頁

你會得到大驚喜!!

店鋪：互動齣版網圖書專營店

齣版社：機械工業齣版社

ISBN：9787111587767

商品編碼：27965249803

叢書名：網絡空間安全技術叢書

齣版時間：2018-05-01

頁數：376

具體描述

書名：	Web安全防護指南：基礎篇\|7891609
圖書定價：	79元
圖書作者：	蔡晶晶張兆心林天翔
齣版社：	機械工業齣版社
齣版日期：	2018/5/1 0:00:00
ISBN號：	9787111587767
開本：	16開
頁數：	376
版次：	1-1

內容簡介

web安全與防護技術是當前安全界關注的熱點，本書嘗試針對各類漏洞的攻防技術進行體係化整理，從漏洞的原理到整體攻防技術演進過程進行詳細講解，從而形成對漏洞和web安全的體係化的認識。本書包括五個部分，第一部分為基礎知識，這些知識對Web攻防技術理解有著極大幫助。第二部分重點講解各類基本漏洞的原理及攻防技術對抗方法，並針對個漏洞的測試方法及防護思路進行整理。第三部分重點講解Web應用的業務邏輯層麵安全，但由於各類Web應用的不同，因此重點通過Web應用的用戶管理功能入手，講解在用戶權限的獲取、分配、利用方麵的各項細節問題。第四部分從Web應用整體視角提供攻防對抗過程中的技術細節，這在實際運維過程中有很大的作用。第五部分介紹Web安全防護體係建設的基本方法，包含常見的防護設備、Web防護體係建議、滲透測試方法及快速代碼審計實踐，深入瞭解在Web安全防護體係中的各部分基礎內容及開展方式。

推薦序
前言
第一部分基礎知識
第1章 Web安全基礎 2
1.1 Web安全的核心問題 2
1.2 HTTP協議概述 5
1.2.1 HTTP請求頭的內容 6
1.2.2 HTTP協議響應頭的內容 9
1.2.3 URL的基本格式 11
1.3 HTTPS協議的安全性分析 12
1.3.1 HTTPS協議的基本概念 13
1.3.2 HTTPS認證流程 14
1.3.3 HTTPS協議的特點總結 16
1.4 Web應用中的編碼與加密 16
1.4.1 針對字符的編碼 16
1.4.2 傳輸過程的編碼 18
1.4.3 Web係統中的加密措施 20
1.5 本章小結 22
第二部分網絡攻擊的基本防護方法
第2章 XSS攻擊 24
2.1 XSS攻擊的原理 24
2.2 XSS攻擊的分類 25
2.2.1 反射型XSS 26
2.2.2 存儲型XSS 26
2.2.3 基於DOM的XSS 26
2.3 XSS攻擊的條件 26
2.4 漏洞測試的思路 27
2.4.1 基本測試流程 28
2.4.2 XSS進階測試方法 30
2.4.3 測試流程總結 40
2.5 XSS攻擊的利用方式 40
2.5.1 竊取Cookie 40
2.5.2 網絡釣魚 42
2.5.3 竊取客戶端信息 44
2.6 XSS漏洞的標準防護方法 45
2.6.1 過濾特殊字符 45
2.6.2 使用實體化編碼 50
2.6.3 HttpOnly 52
2.7 本章小結 52
第3章請求僞造漏洞與防護 53
3.1 CSRF攻擊 54
3.1.1 CSRF漏洞利用場景 58
3.1.2 針對CSRF的防護方案 58
3.1.3 CSRF漏洞總結 61
3.2 SSRF攻擊 61
3.2.1 SSRF漏洞利用場景 62
3.2.2 針對SSRF的防護方案 65
3.2.3 SSRF漏洞總結 66
3.3 本章小結 66
第4章 SQL注入 67
4.1 SQL注入攻擊的原理 67
4.2 SQL注入攻擊的分類 72
4.3 迴顯注入攻擊的流程 72
4.3.1 SQL手工注入的思路 73
4.3.2 尋找注入點 73
4.3.3 通過迴顯位確定字段數 74
4.3.4 注入並獲取數據 76
4.4 盲注攻擊的流程 78
4.4.1 尋找注入點 79
4.4.2 注入獲取基本信息 81
4.4.3 構造語句獲取數據 84
4.5 常見防護手段及繞過方式 86
4.5.1 參數類型檢測及繞過 86
4.5.2 參數長度檢測及繞過 88
4.5.3 危險參數過濾及繞過 90
4.5.4 針對過濾的繞過方式匯總 95
4.5.5 參數化查詢 99
4.5.6 常見防護手段總結 100
4.6 本章小結 101
第5章文件上傳攻擊 102
5.1 上傳攻擊的原理 103
5.2 上傳的標準業務流程 103
5.3 上傳攻擊的條件 106
5.4 上傳檢測繞過技術 107
5.4.1 客戶端檢測及繞過 107
5.4.2 服務器端MIME檢測及繞過 110
5.4.3 服務器端文件擴展名檢測及繞過 113
5.4.4 服務器端文件內容檢測及繞過 118
5.4.5 上傳流程安全防護總結 122
5.5 文件解析攻擊 123
5.5.1 .htaccess攻擊 123
5.5.2 Web服務器解析漏洞攻擊 125
5.6 本章小結 127
第6章 Web木馬的原理 128
6.1 Web木馬的特點 129
6.2 一句話木馬 130
6.2.1 一句話木馬的原型 130
6.2.2 一句話木馬的變形技巧 131
6.2.3 安全建議 135
6.3 小馬與大馬 136
6.3.1 文件操作 137
6.3.2 列舉目錄 139
6.3.3 端口掃描 139
6.3.4 信息查看 140
6.3.5 數據庫操作 142
6.3.6 命令執行 143
6.3.7 批量掛馬 144
6.4 本章小結 145
第7章文件包含攻擊 146
7.1 漏洞原理 146
7.2 服務器端功能實現代碼 147
7.3 漏洞利用方式 148
7.3.1 上傳文件包含 148
7.3.2 日誌文件包含 148
7.3.3 敏感文件包含 150
7.3.4 臨時文件包含 151
7.3.5 PHP封裝協議包含 151
7.3.6 利用方式總結 151
7.4 防護手段及對應的繞過方式 152
7.4.1 文件名驗證 152
7.4.2 路徑限製 154
7.4.3 中間件安全配置 156
7.5 本章小結 158
第8章命令執行攻擊與防禦 159
8.1 遠程命令執行漏洞 159
8.1.1 利用係統函數實現遠程命令
執行 159
8.1.2 利用漏洞獲取webshell 163
8.2 係統命令執行漏洞 167
8.3 有效的防護方案 169
8.3.1 禁用部分係統函數 169
8.3.2 嚴格過濾關鍵字符 169
8.3.3 嚴格限製允許的參數類型 169
8.4 本章小結 170
第三部分業務邏輯安全
第9章業務邏輯安全風險存在的前提 172
9.1 用戶管理的基本內容 173
9.2 用戶管理涉及的功能 174
9.3 用戶管理邏輯的漏洞 175
9.4 本章小結 176
第10章用戶管理功能的實現 177
10.1 客戶端保持方式 177
10.1.1 Cookie 178
10.1.2 Session 179
10.1.3 特定應用環境實例 180
10.2 用戶基本登錄功能實現及安全情況分析 186
10.3 本章小結 189
第11章用戶授權管理及安全分析 190
11.1 用戶注冊階段安全情況 191
11.1.1 用戶重復注冊 191
11.1.2 不校驗用戶注冊數據 192
11.1.3 無法阻止的批量注冊 193
11.2 用戶登錄階段的安全情況 194
11.2.1 明文傳輸用戶名/密碼 194
11.2.2 用戶憑證（用戶名/密碼）可被暴力破解 198
11.2.3 萬能密碼 199
11.2.4 登錄過程中的安全問題及防護手段匯總 202
11.3 密碼找迴階段的安全情況 203
11.3.1 驗證步驟可跳過 204
11.3.2 平行

現代數字世界的基石：互聯網與計算機科學入門在這個信息爆炸、科技飛速發展的時代，計算機與互聯網已經不再是少數專業人士的專屬領域，而是深入滲透到我們生活的方方麵麵，成為現代社會正常運轉不可或缺的基石。從個人通信、娛樂休閑到商業運營、科學研究，再到國傢治理、國際交往，計算機和互聯網的作用無處不在，深刻地改變著我們的生活方式、思維模式乃至整個社會的形態。理解計算機的基本原理，掌握互聯網的運行機製，已成為每個現代公民必備的核心素養。本書旨在為廣大讀者，特彆是對計算機科學與互聯網技術感興趣的初學者，提供一個全麵、深入且易於理解的學習路徑。我們力求剝離復雜的技術術語，以清晰的邏輯和生動的案例，層層遞進地解析這些看似神秘的技術背後蘊藏的科學奧秘，幫助讀者建立起紮實的理論基礎，為進一步的學習和探索打下堅實的地基。第一部分：計算機——數字世界的創造者在深入探討互聯網之前，我們必須首先理解其根基——計算機。計算機，作為信息處理和計算的強大工具，其發展曆程本身就是一部科技進步的史詩。計算機的起源與發展：迴溯曆史，從機械式計算器到電子計算機的誕生，再到集成電路、微處理器和個人電腦的普及，計算機的發展經曆瞭無數次的飛躍。我們將探討早期計算的瓶頸，以及圖靈機等理論模型的齣現如何為現代計算機奠定理論基礎。瞭解這些曆史脈絡，有助於我們理解計算機設計的演進邏輯和未來的發展方嚮。計算機硬件的核心組成：計算機並非一個黑箱，而是由一係列精密的硬件組件協同工作而成。本書將詳細介紹計算機的“大腦”——中央處理器（CPU），它負責執行指令和進行運算；“記憶”——內存（RAM）和外存（硬盤、SSD），它們負責存儲數據和程序；以及輸入/輸齣設備（鍵盤、鼠標、顯示器、打印機等），它們是人機交互的橋梁。我們會深入分析CPU的工作原理，如指令集、流水綫技術；探討不同存儲介質的特性、讀寫速度和容量的差異；並解析各種I/O設備如何將物理世界的信息轉化為數字信號，或將數字信息呈現給用戶。計算機軟件的靈魂：硬件是軀體，而軟件則是賦予計算機生命和智慧的靈魂。我們將區分硬件和軟件的概念，並重點介紹操作係統的作用。操作係統是計算機最基礎的軟件，它負責管理硬件資源（CPU、內存、存儲設備等），提供用戶接口，並為應用程序的運行提供平颱。我們將介紹主流操作係統的發展曆程（如Windows, macOS, Linux），以及它們在資源調度、進程管理、文件係統等方麵的核心功能。數據錶示與編碼：計算機隻能理解二進製（0和1）的語言。本書將闡述計算機如何使用二進製來錶示各種類型的數據，包括數字、文本、圖像、聲音等。我們將介紹二進製、十進製、十六進製之間的轉換，以及ASCII、Unicode等字符編碼標準，理解這些編碼方式是理解計算機如何處理和存儲信息的關鍵。程序設計基礎：計算機之所以能完成各種復雜的任務，都離不開程序的指令。我們將初步介紹程序設計的基本概念，包括算法（解決問題的步驟）、數據結構（組織數據的方式）以及編程語言（人與計算機溝通的工具）。我們將簡要介紹不同類型的編程語言（如編譯型、解釋型），以及它們在開發不同應用中的作用。雖然本書不深入代碼編寫，但瞭解程序設計的基本邏輯，能幫助讀者更好地理解軟件的運作機製。第二部分：互聯網——連接世界的網絡在掌握瞭計算機的基本原理後，我們便能更好地理解互聯網，這個由無數計算機組成的、遍布全球的巨大網絡。互聯網的齣現，極大地拓展瞭人類的信息獲取能力、溝通方式和協作模式。互聯網的誕生與演進：從最初的軍事和科研用途（如ARPANET），到萬維網（World Wide Web）的齣現，再到移動互聯網和物聯網的興起，互聯網的發展經曆瞭深刻的變革。我們將追溯互聯網從概念到實現的曆程，理解其在信息共享、資源互聯方麵的革命性貢獻。網絡通信的基礎：互聯網通信並非無跡可尋，而是遵循著一係列嚴格的網絡協議。本書將重點介紹TCP/IP協議族，這是互聯網的基石。我們將解釋IP地址和域名的作用，它們如同網絡世界的門牌號和地址簿，使得數據包能夠準確地在不同設備之間傳輸。我們將深入淺齣地講解TCP（傳輸控製協議）和UDP（用戶數據報協議）的區彆，以及它們在保證數據可靠性或傳輸速度方麵的不同側重。互聯網的架構與組成：互聯網不是一個單一的實體，而是由眾多相互連接的網絡組成。我們將介紹互聯網的基本構成，包括路由器、交換機、服務器等網絡設備的作用，以及它們如何協同工作，構建起龐大而復雜的網絡拓撲。我們將解釋客戶端-服務器模型（Client-Server Model），這是互聯網應用最常見的模式，用戶通過客戶端（如瀏覽器）嚮服務器（如網站服務器）請求信息。萬維網（World Wide Web）：我們每天都在使用的瀏覽器和網站，構成瞭萬維網。本書將介紹萬維網的核心技術，如HTML（超文本標記語言），它用於構建網頁的結構；CSS（層疊樣式錶），它用於控製網頁的樣式和布局；以及JavaScript，它用於實現網頁的動態交互。理解這些技術，能幫助讀者更深入地理解網頁的呈現和互動過程。互聯網服務與應用：互聯網承載著豐富多樣的服務和應用，從電子郵件、即時通訊，到搜索引擎、社交媒體，再到在綫購物、流媒體播放，它們極大地豐富瞭我們的數字生活。我們將分析這些常見互聯網應用的運行原理，以及它們如何利用底層的網絡協議和技術來實現其功能。互聯網的未來趨勢：隨著技術的不斷進步，互聯網也在持續演進。我們將展望未來可能齣現的趨勢，如5G/6G通信技術帶來的更高速度和更低延遲，物聯網（IoT）連接萬物帶來的智能生活，人工智能（AI）與互聯網的深度融閤，以及雲計算和邊緣計算對計算模式的重塑。結語掌握計算機與互聯網的基本知識，不僅能讓我們更高效地利用現有的數字工具，更能培養我們的科學思維和批判性分析能力，從而更好地適應快速變化的數字時代。本書緻力於提供一個嚴謹而易懂的入門學習體驗，希望它能點燃您對計算機科學與互聯網技術的好奇心，開啓您在廣闊數字世界中的探索之旅。理解這些基礎知識，將為您在未來深入學習更高級的技術，應對更復雜的挑戰，以及把握更多的機遇，打下堅實而不可或缺的基礎。

用戶評價

評分☆☆☆☆☆

我最近入手瞭一本關於Web安全的書，書名是《Web安全防護指南：基礎篇》，本來是想快速提升自己的網絡安全知識，應對工作中日益嚴峻的挑戰。然而，這本書的內容讓我有些哭笑不得。它花瞭相當多的篇幅去介紹互聯網是如何運作的，包括TCP/IP協議棧的各個層級，DNS解析的流程，以及各種網絡設備的扮演的角色。這部分內容對於我這樣已經工作瞭好幾年的開發者來說，有些過於基礎瞭。我更希望的是能夠深入瞭解那些可以直接影響Web應用安全性的技術和實踐，比如如何防範常見的Web漏洞，如何進行安全編碼，以及一些常用的安全工具的使用。這本書在講解網絡基礎概念時，確實做到瞭詳細，但這種詳細程度，對於目標讀者群體來說，可能更像是一種“全景式”的介紹，而不是“聚焦式”的深入。當然，我並沒有因此放棄，我仍然在努力地消化這些內容，因為我明白，隻有理解瞭底層的原理，纔能更好地理解上層的安全問題。隻是，在閱讀過程中，我常常會感覺時間被拉長瞭，很多我期待看到的關於Web應用攻擊和防禦的具體例子，被分散在瞭對網絡基礎知識的冗長描述之中。有時候，我甚至會懷疑，這本書的“基礎篇”是否過於“基礎”瞭。

評分☆☆☆☆☆

這是一本從頭到尾都透著“紮實”二字的書，書名《Web安全防護指南：基礎篇》倒是挺貼切的。我花瞭好幾個晚上纔把前麵的部分看完，主要是它花瞭很多篇幅去講計算機網絡的基礎知識，比如OSI七層模型、TCP/UDP協議的詳解，還有IP地址和子網掩碼的劃分。說實話，作為一名在互聯網行業摸爬滾打瞭幾年的從業者，這些內容我或多或少都有接觸過，但這本書的講解方式非常細緻，幾乎是把每一個概念都拆解開來，一點一點地剖析。我理解作者的意圖是為瞭讓讀者建立起一個牢固的計算機基礎，畢竟Web安全是建立在網絡基礎之上的。但是，對於我這種已經有瞭基本網絡概念，並且迫切希望瞭解Web應用本身的安全漏洞和防護措施的讀者來說，這種“由錶及裏”的講解方式，有時候會讓我覺得節奏有點慢。我非常期待能早點看到關於SQL注入、XSS、CSRF這些實實在在的Web攻擊技術，以及相應的防禦手段。這本書在這些方麵的介紹確實有，但對比前麵大篇幅的網絡基礎知識，就顯得略微“精煉”瞭。我隻能說，這是一本適閤那些想從零開始，或者想係統性梳理計算機網絡知識，並以此為基礎來理解Web安全的朋友。

評分☆☆☆☆☆

我最近一直在看一本名為《Web安全防護指南：基礎篇》的書，這本書的體積不算小，我花瞭不少時間纔初步瀏覽完。我最初購買這本書的目的是想學習如何在Web開發中構建更安全的應用程序，畢竟現在黑客攻擊的手段層齣不窮，作為開發者，我感覺有必要充實這方麵的知識。然而，這本書給我最大的感受是，它將Web安全的概念建立在瞭極其廣泛和基礎的計算機科學知識之上。例如，它詳細地講解瞭操作係統的進程管理、內存分配，以及文件係統的權限控製。雖然這些內容對於理解計算機的整體運行機製至關重要，但我總覺得，對於我來說，這些內容與我當下最迫切需要解決的Web安全問題，似乎還有一定的距離。我更期待的是能夠立刻接觸到關於HTTP協議的漏洞利用、跨站腳本攻擊（XSS）的防範策略，或者SQL注入的原理和防禦方法。這本書在這方麵的講解，雖然也有涉及，但似乎是被大量的基礎計算機理論所“稀釋”瞭。我花瞭很多精力去理解那些與具體Web安全實踐看似不太直接相關的概念，這讓我感覺在學習路徑上有些迂迴。不過，我也承認，理解瞭這些底層原理，對於更深入地理解Web安全問題，可能會有長遠的好處，隻是，學習過程中的那種“不夠直接”的感覺，是無法忽視的。

評分☆☆☆☆☆

我最近終於下定決心，開始研讀《Web安全防護指南：基礎篇》。這本書的裝幀設計很專業，封麵和紙張的質感都很好，拿在手裏就有一種“乾貨滿滿”的感覺。我本身對網絡安全領域非常感興趣，尤其是在工作之餘，想要瞭解更多關於Web端潛在的風險和防護策略。當我翻開書本，我看到瞭大量的關於互聯網發展曆程、早期網絡協議以及一些經典安全事件的介紹。這部分內容讀起來像是一部“網絡安全史”，讓我對這個領域有瞭更宏觀的認識。然而，我原以為會直接深入到各種Web攻擊技術和防禦方法的講解，卻發現這本書的“基礎篇”似乎更側重於構建一個廣闊的知識背景。例如，它會花很多筆墨去描述早期互聯網的通信模式，以及一些已經被淘汰但曾經具有影響力的安全威脅。雖然這些內容有助於理解Web安全的發展脈絡，但對於我急於掌握當下實用的Web安全防護技能來說，感覺有些“繞遠”。我期待的更像是能夠立刻看到關於HTTPS的工作原理，JSON Web Tokens（JWT）的安全使用，或者OWASP Top 10的詳細解讀。這本書在這些方麵的確有提及，但它們的齣現，似乎是在為前麵更為宏大的背景敘述“鋪路”。總的來說，這本書提供瞭一個很全麵的視角，但對於我這樣想快速切入實際應用場景的讀者而言，需要一些耐心去“穿越”那些背景知識。

評分☆☆☆☆☆

這本書我大概花瞭兩個月的時間纔真正啃完，說實話，過程並不是一帆風順。一開始我帶著滿滿的期待，想著能係統地瞭解Web安全，畢竟在當今這個信息爆炸的時代，網絡安全幾乎滲透到生活的方方麵麵，從我們日常的網購、社交，到更深層次的企業數據保護，都離不開它。這本書的書名《Web安全防護指南：基礎篇》確實給我留下瞭深刻的印象，它似乎承諾瞭一份清晰、易懂的學習路徑。然而，當我翻開第一頁，迎接我的卻是大量關於基礎計算機原理的介紹，比如二進製、內存管理、操作係統的工作方式等等。我理解這些內容對於理解更深層次的安全概念是必要的，但坦白講，對於一個已經對計算機有一些基礎瞭解，並且更側重於“Web安全”這個方嚮的讀者來說，這部分的篇幅顯得有些冗長。我期待的是能立刻進入到HTTP協議的漏洞，SQL注入的原理，XSS攻擊的防範等等，但這本書卻像是一位循循善誘的老師，不厭其煩地從最基礎的“ABC”開始教起。雖然有些章節的內容與我最初的預期有些偏差，但我依然認真地閱讀瞭，因為我知道，紮實的基礎是構建高樓大廈的關鍵。隻是，在閱讀過程中，我確實會時不時地問自己：“我真的需要花這麼多時間去理解CPU的工作流程，纔能學習如何防範CSRF攻擊嗎？”這種略微脫節的感覺，是貫穿我閱讀大部分內容時的感受。