Web安全与攻防实战从新手到高手（微课超值版）（从新手到高手）

《Web安全与攻防实战从新手到高手：微课超值版》在剖析用户进行黑客防御中迫切需要或想要用到的技术时，力求对其进行实操式讲解，使读者对Web防御技术有一个系统的了解，能够更好地防范黑客的攻击。全书共分为13章，内容如下：Web安全快速入门、搭建Web安全测试环境、Web站点入门基础、Web入侵技术常用命令、信息收集与踩点侦察、SQL注入攻击及防范技术、Wi-Fi技术的攻击与防范、跨站脚本攻击漏洞及利用、缓冲区溢出漏洞入侵与提权、网络欺骗攻击与数据捕获、远程控制在Web入侵中的应用、Web入侵及防范技术的应用、Web入侵痕迹的追踪与清理。

《Web安全与攻防实战从新手到高手：微课超值版》赠送大量学习资源，包括同步教学微视频、精美教学幻灯片、教学大纲、108个黑客工具速查手册、160个常用黑客命令速查手册、180页计算机常见故障维修手册、8大经典密码破解工具电子书、加密与解密技术快速入门电子书、网站入侵与黑客脚本编程电子书、100款黑客攻防工具包，帮助读者掌握黑客防守方方面面的知识。

《Web安全与攻防实战从新手到高手：微课超值版》内容丰富、图文并茂、深入浅出，不仅适用于网络安全从业人员及网络管理员，而且适用于广大网络爱好者，也可作为大、中专院校相关专业的参考书。

网络安全技术联盟，致力于网络安全技术研究和普及，秉承技术自由、技术创新、技术共享、技术进步的原则，为网络安全爱好者提供一个共同进步的平台。

本书特色

★★《Web安全与攻防实战从新手到高手：微课超值版》知识点由浅入深，涵盖了所有Web安全攻防知识点，读者可由浅入深地掌握Web安全攻防方面的技能。

★★《Web安全与攻防实战从新手到高手：微课超值版》除了讲解Web安全的攻防策略外，还把目前市场上流行的数据捕获与安全分析、SQL注入攻击的防范、跨站脚本攻击的防范、网络欺骗攻击的防范、入侵痕迹的追踪与清理等热点融入《Web安全与攻防实战从新手到高手：微课超值版》中。

★★《Web安全与攻防实战从新手到高手：微课超值版》为一线网络安全技术联盟倾心打造、配套教学微视频、精美教学幻灯片、实用教学大纲、100款黑客攻防实用工具软件、108个黑客工具速查手册、160个常用黑客命令速查手册、180页电脑常见故障维修手册、8大经典密码破解工具电子书、加密与解密技术快速入门电子书、网站入侵与黑客脚本编程电子书。

读者人群

《Web安全与攻防实战从新手到高手：微课超值版》内容丰富、图文并茂、深入浅出，不仅适用于网络安全从业人员及网络管理员，而且适用于广大网络爱好者，也可作为大、中专院校相关专业的参考书。

内容简介

《Web安全与攻防实战从新手到高手：微课超值版》在剖析用户进行黑客防御中迫切需要或想要用到的技术时，力求对其进行实操式讲解，使读者对Web防御技术有一个系统的了解，能够更好地防范黑客的攻击。全书共分为13章，内容如下：Web安全快速入门、搭建Web安全测试环境、Web站点入门基础、Web入侵技术常用命令、信息收集与踩点侦察、SQL注入攻击及防范技术、Wi-Fi技术的攻击与防范、跨站脚本攻击漏洞及利用、缓冲区溢出漏洞入侵与提权、网络欺骗攻击与数据捕获、远程控制在Web入侵中的应用、Web入侵及防范技术的应用、Web入侵痕迹的追踪与清理。

《Web安全与攻防实战从新手到高手：微课超值版》赠送大量学习资源，包括同步教学微视频、精美教学幻灯片、教学大纲、108个黑客工具速查手册、160个常用黑客命令速查手册、180页计算机常见故障维修手册、8大经典密码破解工具电子书、加密与解密技术快速入门电子书、网站入侵与黑客脚本编程电子书、100款黑客攻防工具包，帮助读者掌握黑客防守方方面面的知识。

作者简介

网络安全技术联盟，致力于网络安全技术研究和普及，秉承技术自由、技术创新、技术共享、技术进步的原则，为网络安全爱好者提供一个共同进步的平台。

读者人群

《Web安全与攻防实战从新手到高手：微课超值版》内容丰富、图文并茂、深入浅出，不仅适用于网络安全从业人员及网络管理员，而且适用于广大网络爱好者，也可作为大、中专院校相关专业的参考书。

前言

目前Web安全越来越重要，随着网站的普及，很多企业都有自己的官网，但是黑客攻击Web站点也越来越频繁，安全防范就变得尤为重要。为此，《Web安全与攻防实战从新手到高手：微课超值版》除了讲解Web安全的攻防策略外，还把目前市场上流行的数据捕获与安全分析、SQL注入攻击的防范、跨站脚本攻击的防范、网络欺骗攻击的防范、入侵痕迹的追踪与清理等热点融入《Web安全与攻防实战从新手到高手：微课超值版》中。

《Web安全与攻防实战从新手到高手：微课超值版》特色

知识丰富全面。知识点由浅入深，涵盖了所有黑客攻防知识点，由浅入深地掌握黑客 攻防方面的技能。

图文并茂。注重操作，在介绍案例的过程中，每一个操作均有对应的插图。这种图文结合的方式使读者在学习过程中能够直观、清晰地看到操作的过程及效果，便于更快地理解和掌握。

案例丰富。把知识点融汇于系统的案例实训当中，并且结合经典案例进行讲解和拓展，进而达到“知其然，并知其所以然”的效果。

提示技巧、贴心周到。《Web安全与攻防实战从新手到高手：微课超值版》对读者在学习过程中可能会遇到的疑难问题以“提示”的 形式进行了说明，以免读者在学习的过程中走弯路。

超值赠送

《Web安全与攻防实战从新手到高手：微课超值版》将赠送同步教学微视频、精美教学幻灯片、教学大纲、108个黑客工具速查手册、160个常用黑客命令速查手册、180页计算机常见故障维修手册、8大经典密码破解工具电子书、加密与解密技术快速入门电子书、网站入侵与黑客脚本编程电子书及100款黑客攻防工具包等，帮助学习者掌握黑客防守各方面的知识，读者扫描下方二维码获取相关资源。

读者对象

《Web安全与攻防实战从新手到高手：微课超值版》不仅适用于网络安全从业人员及网络管理员，而且适用于广大网络爱好者，也可作为大、中专院校相关专业的参考书。

写作团队

《Web安全与攻防实战从新手到高手：微课超值版》由长期研究网络安全知识的网络安全技术联盟编写。编者尽所能地将自己掌握的知识以较好的讲解方式呈现给读者，但由于编者水平有限，书中难免有疏漏和不妥之处，敬请各位专家学者及读者不吝指正。若您在学习中遇到困难或疑问，或有何建议，请及时联系编者，可获得编者的在线指导和《Web安全与攻防实战从新手到高手：微课超值版》其他学习资源。

编　者

目录

第1章　Web安全快速入门

1.1　什么是Web安全

1.1.1　Web安全概念的提出

1.1.2　Web安全的发展历程

1.1.3　Web安全的发展现状

1.2　网络中的相关概念

1.2.1　互联网与因特网

1.2.2　万维网与浏览器

1.2.3　URL地址与域名

1.2.4　IP地址与MAC地址

1.2.5　上传和下载

1.3　认识网络通信协议

1.3.1　HTTP协议

1.3.2　TCP/IP协议

1.3.3　IP协议

1.3.4　ARP协议

1.3.5　ICMP协议

1.4　网络设备信息的获取

1.4.1　获取IP地址

1.4.2　获取物理地址

1.4.3　查看系统开放的端口

1.4.4　查看系统注册表信息

1.4.5　获取系统进程信息

1.5　实战演练

1.5.1　实战1：查看进程起始程序

1.5.2　实战2：显示系统文件的扩展名

第2章　搭建Web安全测试环境

2.1　认识安全测试环境

2.1.1　什么是虚拟机软件

2.1.2　什么是虚拟系统

2.2　安装与创建虚拟机

2.2.1　下载虚拟机软件

2.2.2　安装虚拟机软件

2.2.3　创建虚拟机系统

2.3　安装Kali Linux操作系统

2.3.1　下载Kali Linux系统

2.3.2　安装Kali Linux系统

2.3.3　更新Kali Linux系统

2.4　安装Windows系统

2.4.1　安装Windows操作系统

2.4.2　安装VMware Tools工具

2.5　实战演练

2.5.1　实战1：关闭开机多余启动项目

2.5.2　实战2：诊断网络不通的问题

第3章　Web站点入门基础

3.1　认识Web站点与Web应用

3.1.1　什么是Web站点

3.1.2　什么是Web应用

3.2　认识网页和网站

3.2.1　什么是网页

3.2.2　什么是网站

3.3　网页中包含的要素

3.3.1　HTML文件

3.3.2　DIV层

3.3.3　CSS定义网页样式

3.3.4　JavaScript设置网页动画

3.3.5　域名与服务器空间

3.4　Web网页制作基础

3.4.1　认识HTML

3.4.2　HTML 的基本标记

3.4.3　网页中的文本

3.4.4　网页中的图片

3.4.5　网页中的表格

3.4.6　网页中的表单

3.5　Web网页布局样式

3.5.1　认识DIV

3.5.2　认识CSS

3.5.3　CSS选择器

3.5.4　盒子模型

3.6　实战演练

3.6.1　实战1：设计一个图文混排网页

3.6.2　实战2：设计一个房产宣传页面

第4章　Web入侵技术常用命令

4.1　认识DOS窗口

4.1.1　使用菜单的形式进入DOS窗口

4.1.2　运用“运行”对话框进入DOS窗口

4.1.3　通过浏览器进入DOS窗口

4.1.4　编辑“命令提示符”窗口中的代码

4.1.5　自定义“命令提示符”窗口的风格

4.2　常见DOS命令的应用

4.2.1　切换当前目录路径的cd命令

4.2.2　列出磁盘目录文件的dir命令

4.2.3　检查计算机连接状态的ping命令

4.2.4　查询网络状态与共享资源的net命令

4.2.5　显示网络连接信息的netstat命令

4.2.6　检查网络路由节点的tracert命令

4.2.7　显示主机进程信息的Tasklist命令

4.3　实战演练

4.3.1　实战1：使用命令清除系统垃圾

4.3.2　实战2：使用命令实现定时关机

第5章　信息收集与踩点侦察

5.1　收集域名信息

5.1.1　Whois查询

5.1.2　DNS查询

5.1.3　备案信息查询

5.1.4　敏感信息查询

5.2　收集子域名信息

5.2.1　使用子域名检测工具

5.2.2　使用搜索引擎查询

5.2.3　使用第三方服务查询

5.3　网络中的踩点侦察

5.3.1　侦察对方是否存在

5.3.2　侦察对方的操作系统

5.3.3　侦察对方的网络结构

5.4　弱口令信息的收集

5.4.1　弱口令扫描概述

5.4.2　制作黑客字典

5.4.3　获取弱口令信息

5.5　实战演练

5.5.1　实战1：开启电脑CPU高性能

5.5.2　实战2：阻止流氓软件自动运行

第6章　SQL注入攻击及防范技术

6.1　什么是SQL注入

6.1.1　认识SQL语言

6.1.2　SQL注入漏洞的原理

6.1.3　注入点可能存在的位置

6.1.4　SQL注入点的类型

6.1.5　SQL注入漏洞的危害

6.2　搭建SQL注入平台

6.2.1　认识SQLi-Labs

6.2.2　搭建开发环境

6.2.3　安装SQLi-Labs

6.2.4　SQL注入演示

6.3　SQL注入攻击的准备

6.3.1　攻击前的准备

6.3.2　寻找攻击入口

6.4　常见的注入工具

6.4.1　NBSI注入工具

6.4.2　Domain注入工具

6.5　SQL注入攻击的防范

6.5.1　对用户输入的数据进行过滤

6.5.2　使用专业的漏洞扫描工具

6.5.3　对重要数据进行验证

6.6　实战演练

6.6.1　实战1：检测网站的安全性

6.6.2　实战2：查看网站的流量

第7章　Wi-Fi技术的攻击与防范

7.1　认识Wi-Fi

7.1.1　Wi-Fi的通信原理

7.1.2　Wi-Fi的主要功能

7.1.3　Wi-Fi的优势

7.2　电子设备Wi-Fi连接

7.2.1　搭建无线网环境

7.2.2　配置无线路由器

7.2.3　将计算机接入Wi-Fi

7.2.4　将手机接入Wi-Fi

7.3　Wi-Fi密码的破解

7.3.1　手机版Wi-Fi万能钥匙

7.3.2　电脑版Wi-Fi万能钥匙

7.3.3　防止Wi-Fi万能钥匙破解密码

7.4　常见Wi-Fi攻击方式

7.4.1　暴力破解

7.4.2　钓鱼陷阱

7.4.3　攻击无线路由器

7.4.4　WPS PIN攻击

7.4.5　内网监听

7.5　Wi-Fi安全防范策略

7.5.1　MAC地址过滤

7.5.2　禁用SSID广播

7.5.3　WPA-PSK加密

7.5.4　修改管理员密码

7.5.5　360路由器卫士

7.6　实战演练

7.6.1　实战1：加密手机WLAN热点

7.6.2　实战2：电脑共享手机的网络

第8章　跨站脚本攻击漏洞及利用

8.1　跨站脚本攻击概述

8.1.1　什么是XSS

8.1.2　XSS的模型

8.1.3　XSS的危害

8.1.4　XSS的分类

8.2　XSS平台搭建

8.2.1　下载源码

8.2.2　配置环境

8.2.3　注册用户

8.2.4　测试使用

8.3　XSS攻击实例分析

8.3.1　搭建XSS攻击

8.3.2　反射型XSS

8.3.3　存储型XSS

8.3.4　基于DOM的XSS

8.4　跨站脚本攻击的防范

8.5　实战演练

8.5.1　实战1：删除Cookie信息

8.5.2　实战2：一招解决弹窗广告

第9章　缓冲区溢出漏洞入侵与提权

9.1　使用RPC服务远程溢出漏洞

9.1.1　认识RPC服务远程溢出漏洞

9.1.2　通过RPC服务远程溢出漏洞提权

9.1.3　修补RPC服务远程溢出漏洞

9.2　使用WebDAV缓冲区溢出漏洞

9.2.1　认识WebDAV缓冲区溢出漏洞

9.2.2　通过WebDAV缓冲区溢出漏洞提权

9.2.3　修补WebDAV缓冲区溢出漏洞

9.3　修补系统漏洞

9.3.1　系统漏洞产生的原因

9.3.2　使用Windows更新修补漏洞

9.3.3　使用电脑管家修补漏洞

9.4　防止缓冲区溢出

9.5　实战演练

9.5.1　实战1：修补蓝牙协议中的漏洞

9.5.2　实战2：修补系统漏洞后手动重启

第10章　网络欺骗攻击与数据捕获

10.1　常见的网络欺骗攻击

10.1.1　ARP欺骗攻击

10.1.2　DNS欺骗攻击

10.1.3　主机欺骗攻击

10.2　网络欺骗攻击的防护

10.2.1　防御ARP攻击

10.2.2　防御DNS欺骗

10.3　信息数据的捕获

10.3.1　捕获的网络数据包

10.3.2　捕获TCP/IP数据包

10.3.3　捕获上下行数据包

10.4　实战演练

10.4.1　实战1：查看ARP缓存表

10.4.2　实战2：在网络邻居中隐藏自己

第11章　远程控制在Web入侵中的应用

11.1　什么是远程控制

11.2　Windows远程桌面功能

11.2.1　开启Windows远程桌面功能

11.2.2　使用远程桌面功能实现远程控制

11.3　QuickIp远程控制工具

11.3.1　设置QuickIp服务器端

11.3.2　设置QuickIp客户端

11.3.3　实现远程控制系统

11.4　RemotelyAnywhere远程控制工具

11.4.1　安装RemotelyAnywhere

11.4.2　连接入侵远程主机

11.4.3　远程操控目标主机

11.5　远程控制入侵的防范

11.5.1　开启Windows系统防火墙

11.5.2　关闭远程注册表管理服务

11.5.3　关闭Windows远程桌面功能

11.6　实战演练

11.6.1　实战1：禁止访问注册表

11.6.2　实战2：清除管理员账户密码

第12章　Web入侵及防范技术的应用

12.1　认识Web入侵技术

12.2　使用防火墙防范Web入侵

12.2.1　什么是防火墙

12.2.2　防火墙的各种类型

12.2.3　启用系统防火墙

12.2.4　使用天网防火墙

12.3　使用入侵检测系统防范Web入侵

12.3.1　认识入侵检测技术

12.3.2　基于网络的入侵检测

12.3.3　基于主机的入侵检测

12.3.4　基于漏洞的入侵检测

12.3.5　萨客嘶入侵检测系统

12.4　实战演练

12.4.1　实战1：设置宽带连接方式

12.4.2　实战2：设置代理服务器

第13章　Web入侵痕迹的追踪与清理

13.1　信息的追踪与防御

13.1.1　定位IP物理地址

13.1.2　追踪路由信息

13.1.3　信息追踪的防御

13.2　黑客留下的脚印——日志

13.2.1　日志的详细定义

13.2.2　为什么要清理日志

13.3　分析系统日志信息

13.3.1　安装日志分析工具

13.3.2　创建日志站点

13.3.3　生成日志报表

13.4　清除服务器入侵日志

13.4.1　删除系统服务日志

13.4.2　批处理清除日志信息

13.4.3　清除WWW和FTP日志信息

13.5　实战演练

13.5.1　实战1：保存系统日志文件

13.5.2　实战2：清理系统盘中的垃圾文件