Web系统攻防技术与实践 pdf下载

本书从攻击和防护两个角度系统地讲述了WEB安全的相关理论和案例。其中，攻击技术选取了OWASP TOP 10（注:开放式web应用安全项目的十大安全问题）中z常见也是危害z大的几类技术进行讲述，包括：跨站脚本、跨站请求伪造、SQL注入、文件上传和文件包含等，每一类技术除了介绍其基本概念和技术原理外，还通过真实发生的实际案例进行深入分析。防护技术方面，在讲解攻击技术的每一章z后，都会有针对性地讲解此类攻击手段的z有效防护方法和原理。此外，本书还通过两个独立的章节，系统地介绍了WEB日志和主机日志分析的方法，讲解如何通过分析日志文件来发现入侵行为，进而针对安全威胁采取对应的防范措施。

本书由国网湖南省电力公司电力科学研究院组织编写。主编为漆文辉，高工，长期从事电力信息化和信息安全工作，获湖南省公司科技进步一等奖1次，二等奖2次。2014年期负责国网湖南公司信息安全督查工作，完成了信息安全实验室建设、国网湖南公司信息安全红蓝对建设，开展常态化得信息安全督查、渗透测试和安全测评工作。

前言

第一章 Web系统安全概述
第一节 Web系统基础
第二节 Web系统安全技术

第二章 跨站脚本XSS
第一节 XSS原理及危害
第二节 XSS分类
第三节 XSS注入方式
第四节 XSS的过滤与绕过
第五节 XSS渗透实例
第六节 XSS的防御

第三章 跨站请求伪造CSRF
第一节 CSRF原理及危害
第二节 CSRF分类
第三节 CSRF渗透实例
第四节 CSRF的防御

第四章 SQL注入
第一节 SQL注入原理
第二节 手工注入
第三节 工具注入

第五章 文件上传漏洞
第一节 文件上传漏洞原理与危害
第二节 文件类型检查及绕过
第三节 Web服务解析漏洞
第四节 文件上传漏洞渗透实例
第五节 文件上传漏洞的防御

第六章 文件包含漏洞
第一节 概述
第二节 文件包含漏洞的类型
第三节 文件包含漏洞的常见渗透方式
第四节 文件包含漏洞渗透实例
第五节 文件包含漏洞的防御

第七章 Web服务器日志分析
第一节 Web服务器日志介绍
第二节 日志分析方法
第三节 日志分析追踪实例

第八章 主机日志分析
第一节 Windows系统日志介绍
第二节 Windows系统日志分析方法
第三节 Linux系统日志介绍
第四节 Linux主机日志分析方法
第五节 日志分析追踪实例

第九章 网页恶意代码
第一节 网页恶意代码分析
第二节 网页恶意代码防范与检测
参考文献