本書根據新工科人才培養(yǎng)要求與新技術發(fā)展現(xiàn)狀�,結合國家對“雙創(chuàng)”課程教學的要求,對Web安全課程的實驗知識點進行系統(tǒng)性重構�,形成“基礎驗證型、應用強化型��、綜合創(chuàng)新型”層次化Web安全實驗內容體系。全書內容包含3篇共16個實驗�。第1篇為基礎篇,包括實驗1~3��,帶領讀者從無到有構建Web站點�,理解Web基礎工作機制與工具;第2篇為進階篇��,包括實驗4~9��,引導讀者學習常見Web安全漏洞利用��,理解攻擊原理與防護措施�,進行典型生產環(huán)境中的自主性探索;第3篇為綜合篇�,包括實驗10~16,聚焦前沿Web安全主題��,進行綜合創(chuàng)新實驗設計與實現(xiàn)�。相關知識單元和知識點符合教育部高等學校網絡空間安全專業(yè)教學指導委員會編制的《高等學校信息安全專業(yè)指導性專業(yè)規(guī)范(第2版)》的要求。本書既可以作為高等學校網絡空間安全��、信息安全��、密碼學�、通信工程、計算機科學與技術等專業(yè)高年級本科生和研究生的教材�,也可以作為網絡安全工程師、網絡安全管理員等的參考書或培訓教材�。
毛劍,北京航空航天大學網絡空間安全學院�,系主任。IEEE會員�、ACM會員、SCI期刊IJSNet編委等�。曾獲北京市教學成果二等獎、北京航空航天大學教學成果一等獎2項�、二等獎1項、北京航空航天大學研究生課程卓越教學獎�、北航研究生精品課程建設項目《Web安全》課程負責人、北航一流本科課程《網絡安全創(chuàng)新實驗》課程負責人�。曾出版《網絡安全概論(第2版)》。
基 礎 篇
實驗1 Web站點配置與搭建 2
1.1 實驗目的 2
1.2 實驗內容 3
1.3 實驗原理 3
1.3.1 Web簡介 3
1.3.2 Web架構 3
1.3.3 網站類型 4
1.3.4 Web框架LAMP 6
1.4 實驗步驟 7
1.4.1 實驗環(huán)境搭建與配置 7
1.4.2 基于虛擬主機的多站點部署與訪問 9
1.4.3 靜態(tài)網站的部署 12
1.4.4 動態(tài)網站的部署 12
1.4.5 利用CMS實現(xiàn)動態(tài)網站的部署 17
1.5 實驗報告要求 20
《Web站點配置與搭建》實驗報告 21
參考文獻 27
實驗2 Web基礎工作機制探究 28
2.1 實驗目的 28
2.2 實驗內容 28
2.3 實驗原理 29
2.3.1 HTTP請求 29
2.3.2 Web會話與Cookie機制 31
2.3.3 瀏覽器緩存機制 33
2.4 實驗步驟 34
2.4.1 實驗環(huán)境搭建與配置 34
2.4.2 了解HTTP請求 36
2.4.3 Cookie的基本機制 38
2.4.4 瀏覽器緩存機制 41
2.5 實驗報告要求 43
《Web基礎工作機制探究》實驗報告 44
參考文獻 49
實驗3 滲透測試工具Burp Suite 50
3.1 實驗目的 50
3.2 實驗內容 51
3.3 實驗原理 51
3.3.1 Burp Suite工具 51
3.3.2 網絡代理 51
3.4 實驗步驟 51
3.4.1 實驗環(huán)境搭建與配置 51
3.4.2 Target模塊 56
3.4.3 Proxy模塊 58
3.4.4 Repeater模塊和Comparer模塊 62
3.4.5 Intruder模塊 65
3.4.6 Decoder模塊 68
3.5 實驗報告要求 68
《滲透測試工具Burp Suite》實驗報告 69
參考文獻 74
進 階 篇
實驗4 Web常見攻擊——Cookie相關攻擊與SQL注入攻擊 76
4.1 實驗目的 76
4.2 實驗內容 77
4.3 實驗原理 77
4.3.1 Cookie相關攻擊 77
4.3.2 SQLi攻擊 80
4.4 實驗步驟 82
4.4.1 實驗環(huán)境搭建與配置 82
4.4.2 Cookie相關攻擊 83
4.4.3 SQLi攻擊 87
4.5 實驗報告要求 89
《Web常見攻擊——Cookie相關攻擊與SQL注入攻擊》實驗報告 90
參考文獻 95
實驗5 Web常見攻擊——XSS攻擊 96
5.1 實驗目的 96
5.2 實驗內容 96
5.3 實驗原理 97
5.3.1 反射型XSS攻擊 97
5.3.2 存儲型XSS攻擊 98
5.3.3 基于DOM的XSS攻擊 99
5.3.4 XSS攻擊的防御 99
5.4 實驗步驟 100
5.4.1 實驗環(huán)境搭建與配置 100
5.4.2 反射型XSS攻擊 102
5.4.3 存儲型XSS攻擊 103
5.4.4 防御措施 105
5.5 實驗報告要求 105
《Web常見攻擊——XSS攻擊》實驗報告 107
參考文獻 113
實驗6 Web常見攻擊——緩存投毒攻擊 114
6.1 實驗目的 114
6.2 實驗內容 114
6.3 實驗原理 115
6.4 實驗步驟 116
6.4.1 實驗環(huán)境搭建與配置 116
6.4.2 搭建惡意站點 118
6.4.3 實施中間人攻擊 118
6.4.4 瀏覽器緩存投毒 120
6.5 實驗報告要求 122
《Web常見攻擊——緩存投毒攻擊》實驗報告 123
參考文獻 127
實驗7 Web常見攻擊——點擊劫持攻擊 128
7.1 實驗目的 128
7.2 實驗內容 129
7.3 實驗原理 129
7.4 實驗步驟 130
7.4.1 實驗環(huán)境搭建與配置 130
7.4.2 點擊劫持攻擊 131
7.4.3 點擊劫持攻擊防御 133
7.5 實驗報告要求 135
《Web常見攻擊——點擊劫持攻擊》實驗報告 136
參考文獻 142
實驗8 Web漏洞識別與利用 143
8.1 實驗目的 143
8.2 實驗內容 143
8.3 實驗原理 143
8.3.1 參數污染 143
8.3.2 文件包含 144
8.3.3 遠程代碼執(zhí)行 144
8.4 實驗步驟 144
8.4.1 實驗環(huán)境搭建與配置 144
8.4.2 漏洞說明 145
8.5 實驗報告要求 145
《Web漏洞識別與利用》實驗報告 147
參考文獻 154
實驗9 Web站點CVE漏洞復現(xiàn) 155
9.1 實驗目的 155
9.2 實驗內容 155
9.3 實驗原理 156
9.4 實驗步驟 156
9.4.1 實驗環(huán)境搭建與配置 156
9.4.2 復現(xiàn)CVE-2019-16219 157
9.4.3 復現(xiàn)CVE-2019-9787 161
9.4.4 復現(xiàn)其他CVE漏洞 162
9.5 實驗報告要求 162
《Web站點CVE漏洞復現(xiàn)》實驗報告 164
參考文獻 169
綜 合 篇
實驗10 基于Cookie的第三方追蹤機制的實現(xiàn)及防御 172
10.1 問題背景 172
10.2 實驗內容與要求 173
10.3 前沿問題思考 174
10.4 實驗報告要求與模板 174
參考文獻 175
實驗11 Web代碼注入的攻擊與防御 176
11.1 問題背景 176
11.2 實驗內容與要求 177
11.3 前沿問題思考 177
11.4 實驗報告要求與模板 178
參考文獻 178
實驗12 iframe的安全使用 179
12.1 問題背景 179
12.2 實驗內容與要求 180
12.3 前沿問題思考 180
12.4 實驗報告要求與模板 180
參考文獻 181
實驗13 基于瀏覽器擴展的隱私推演 182
13.1 問題背景 182
13.2 實驗內容與要求 182
13.3 前沿問題思考 183
13.4 實驗報告要求與模板 183
參考文獻 184
實驗14 瀏覽器對緩存的安全管理 185
14.1 問題背景 185
14.2 實驗內容與要求 185
14.3 前沿問題思考 186
14.4 實驗報告要求與模板 186
參考文獻 187
實驗15 點擊劫持攻擊的分析和防御 188
15.1 問題背景 188
15.2 實驗內容與要求 188
15.3 前沿問題思考 189
15.4 實驗報告要求與模板 189
參考文獻 189
實驗16 Web應用程序側信道攻擊的檢測和防御 191
16.1 問題背景 191
16.2 實驗內容與要求 191
16.3 前沿問題思考 192
16.4 實驗報告要求與模板 192
參考文獻 192
