Web安全簡明實(shí)驗教程

基 礎(chǔ) 篇
實(shí)驗1 We點(diǎn)配置與搭建 2
1.1 實(shí)驗?zāi)康?2
1.2 實(shí)驗內(nèi)容 3
1.3 實(shí)驗原理 3
1.3.1 Web簡介 3
1.3.2 Web架構(gòu) 3
1.3.3 網(wǎng)站類型 4
1.3.4 Web框架LAMP 6
1.4 實(shí)驗步驟 7
1.4.1 實(shí)驗環(huán)境搭建與配置 7
1.4.2 基于虛擬主機(jī)的多站點(diǎn)部署與訪問 9
1.4.3 靜態(tài)網(wǎng)站的部署 12
1.4.4 動態(tài)網(wǎng)站的部署 12
1.4.5 利用CMS實(shí)現(xiàn)動態(tài)網(wǎng)站的部署 17
1.5 實(shí)驗報告要求 20
《We點(diǎn)配置與搭建》實(shí)驗報告 21
參考文獻(xiàn) 27
實(shí)驗2 Web基礎(chǔ)工作機(jī)制探究 28
2.1 實(shí)驗?zāi)康?28
2.2 實(shí)驗內(nèi)容 28
2.3 實(shí)驗原理 29
2.3.1 HTTP請求 29
2.3.2 Web會話與Cookie機(jī)制 31
2.3.3 瀏覽器緩存機(jī)制 33
2.4 實(shí)驗步驟 34
2.4.1 實(shí)驗環(huán)境搭建與配置 34
2.4.2 了解HTTP請求 36
2.4.3 Cookie的基本機(jī)制 38
2.4.4 瀏覽器緩存機(jī)制 41
2.5 實(shí)驗報告要求 43
《Web基礎(chǔ)工作機(jī)制探究》實(shí)驗報告 44
參考文獻(xiàn) 49
實(shí)驗3 滲透測試工具Burp Suite 50
3.1 實(shí)驗?zāi)康?50
3.2 實(shí)驗內(nèi)容 51
3.3 實(shí)驗原理 51
3.3.1 Burp Suite工具 51
3.3.2 網(wǎng)絡(luò)代理 51
3.4 實(shí)驗步驟 51
3.4.1 實(shí)驗環(huán)境搭建與配置 51
3.4.2 Target模塊 56
3.4.3 Proxy模塊 58
3.4.4 Repeater模塊和Comparer模塊 62
3.4.5 Intruder模塊 65
3.4.6 Decoder模塊 68
3.5 實(shí)驗報告要求 68
《滲透測試工具Burp Suite》實(shí)驗報告 69
參考文獻(xiàn) 74
進(jìn) 階 篇
實(shí)驗4 Web常見攻擊――Cookie相關(guān)攻擊與SQL注入攻擊 76
4.1 實(shí)驗?zāi)康?76
4.2 實(shí)驗內(nèi)容 77
4.3 實(shí)驗原理 77
4.3.1 Cookie相關(guān)攻擊 77
4.3.2 SQLi攻擊 80
4.4 實(shí)驗步驟 82
4.4.1 實(shí)驗環(huán)境搭建與配置 82
4.4.2 Cookie相關(guān)攻擊 83
4.4.3 SQLi攻擊 87
4.5 實(shí)驗報告要求 89
《Web常見攻擊――Cookie相關(guān)攻擊與SQL注入攻擊》實(shí)驗報告 90
參考文獻(xiàn) 95
實(shí)驗5 Web常見攻擊――XSS攻擊 96
5.1 實(shí)驗?zāi)康?96
5.2 實(shí)驗內(nèi)容 96
5.3 實(shí)驗原理 97
5.3.1 反射型XSS攻擊 97
5.3.2 存儲型XSS攻擊 98
5.3.3 基于DOM的XSS攻擊 99
5.3.4 XSS攻擊的防御 99
5.4 實(shí)驗步驟 100
5.4.1 實(shí)驗環(huán)境搭建與配置 100
5.4.2 反射型XSS攻擊 102
5.4.3 存儲型XSS攻擊 103
5.4.4 防御措施 105
5.5 實(shí)驗報告要求 105
《Web常見攻擊――XSS攻擊》實(shí)驗報告 107
參考文獻(xiàn) 113
實(shí)驗6 Web常見攻擊――緩存投毒攻擊 114
6.1 實(shí)驗?zāi)康?114
6.2 實(shí)驗內(nèi)容 114
6.3 實(shí)驗原理 115
6.4 實(shí)驗步驟 116
6.4.1 實(shí)驗環(huán)境搭建與配置 116
6.4.2 搭建惡意站點(diǎn) 118
6.4.3 實(shí)施中間人攻擊 118
6.4.4 瀏覽器緩存投毒 120
6.5 實(shí)驗報告要求 122
《Web常見攻擊――緩存投毒攻擊》實(shí)驗報告 123
參考文獻(xiàn) 127
實(shí)驗7 Web常見攻擊――點(diǎn)擊劫持攻擊 128
7.1 實(shí)驗?zāi)康?128
7.2 實(shí)驗內(nèi)容 129
7.3 實(shí)驗原理 129
7.4 實(shí)驗步驟 130
7.4.1 實(shí)驗環(huán)境搭建與配置 130
7.4.2 點(diǎn)擊劫持攻擊 131
7.4.3 點(diǎn)擊劫持攻擊防御 133
7.5 實(shí)驗報告要求 135
《Web常見攻擊――點(diǎn)擊劫持攻擊》實(shí)驗報告 136
參考文獻(xiàn) 142
實(shí)驗8 Web漏洞識別與利用 143
8.1 實(shí)驗?zāi)康?143
8.2 實(shí)驗內(nèi)容 143
8.3 實(shí)驗原理 143
8.3.1 參數(shù)污染 143
8.3.2 文件包含 144
8.3.3 遠(yuǎn)程代碼執(zhí)行 144
8.4 實(shí)驗步驟 144
8.4.1 實(shí)驗環(huán)境搭建與配置 144
8.4.2 漏洞說明 145
8.5 實(shí)驗報告要求 145
《Web漏洞識別與利用》實(shí)驗報告 147
參考文獻(xiàn) 154
實(shí)驗9 We點(diǎn)CVE漏洞復(fù)現(xiàn) 155
9.1 實(shí)驗?zāi)康?155
9.2 實(shí)驗內(nèi)容 155
9.3 實(shí)驗原理 156
9.4 實(shí)驗步驟 156
9.4.1 實(shí)驗環(huán)境搭建與配置 156
9.4.2 復(fù)現(xiàn)CVE-2019-16219 157
9.4.3 復(fù)現(xiàn)CVE-2019-9787 161
9.4.4 復(fù)現(xiàn)其他CVE漏洞 162
9.5 實(shí)驗報告要求 162
《We點(diǎn)CVE漏洞復(fù)現(xiàn)》實(shí)驗報告 164
參考文獻(xiàn) 169
綜 合 篇
實(shí)驗10 基于Cookie的第三方追蹤機(jī)制的實(shí)現(xiàn)及防御 172
10.1 問題背景 172
10.2 實(shí)驗內(nèi)容與要求 173
10.3 前沿問題思考 174
10.4 實(shí)驗報告要求與模板 174
參考文獻(xiàn) 175
實(shí)驗11 Web代碼注入的攻擊與防御 176
11.1 問題背景 176
11.2 實(shí)驗內(nèi)容與要求 177
11.3 前沿問題思考 177
11.4 實(shí)驗報告要求與模板 178
參考文獻(xiàn) 178
實(shí)驗12 iframe的安全使用 179
12.1 問題背景 179
12.2 實(shí)驗內(nèi)容與要求 180
12.3 前沿問題思考 180
12.4 實(shí)驗報告要求與模板 180
參考文獻(xiàn) 181
實(shí)驗13 基于瀏覽器擴(kuò)展的隱私推演 182
13.1 問題背景 182
13.2 實(shí)驗內(nèi)容與要求 182
13.3 前沿問題思考 183
13.4 實(shí)驗報告要求與模板 183
參考文獻(xiàn) 184
實(shí)驗14 瀏覽器對緩存的安全管理 185
14.1 問題背景 185
14.2 實(shí)驗內(nèi)容與要求 185
14.3 前沿問題思考 186
14.4 實(shí)驗報告要求與模板 186
參考文獻(xiàn) 187
實(shí)驗15 點(diǎn)擊劫持攻擊的分析和防御 188
15.1 問題背景 188
15.2 實(shí)驗內(nèi)容與要求 188
15.3 前沿問題思考 189
15.4 實(shí)驗報告要求與模板 189
參考文獻(xiàn) 189
實(shí)驗16 Web應(yīng)用程序側(cè)信道攻擊的檢測和防御 191
16.1 問題背景 191
16.2 實(shí)驗內(nèi)容與要求 191
16.3 前沿問題思考 192
16.4 實(shí)驗報告要求與模板 192
參考文獻(xiàn) 192