任務驅動： 采用“項目- 任務”編排方式，把學習內容組織成項目并拆分成一個個小任務。

結構新穎： 每個項目都包括理論知識相關的任務和案例實踐相關的任務，理論與實踐相結合，最后通過“項目小結”和“思考與練習”讓讀者總結測試和提高。

案例豐富： 各項目均安排了豐富的實戰案例，并帶領讀者一步步完成案例操作過程。

配套微課： 讀者掃描書中二維碼即可播放微課視頻，進行直觀學習實踐。

前 言

隨著網絡技術的快速發展，尤其是Web技術的發展，基于Web環境的互聯網應用越來越廣泛。網上訂票、購物、銀行轉賬等業務都依賴于互聯網，這也導致越來越多的個人或企業敏感信息通過Web展現給了用戶。一些惡意攻擊者會通過Web竊取重要數據或者攻擊Web服務器，影響人們的工作和生活，Web安全問題日益突出。

本書關注到Web安全人才緊缺這一社會現狀，為培養信息安全人才這一目標而編寫。全書從原理到實戰，由淺入深、循序漸進地介紹了Web安全基本概念及目前常見高危漏洞的原理、攻擊手段和防御策略，幫助初學者從零開始掌握一些基本技能。

項目1認識Web安全：介紹Web安全的基本概念、Web訪問過程、常見的Web瀏覽器和服務器、使用Chrome瀏覽器查看數據交互的方法。

項目2使用HTTP協議傳輸數據：包括HTTP協議和統一資源定位符URL的概念、HTTP請求與HTTP響應的格式、HTTP報文格式，最后分別使用CURL命令和Telnet工具執行HTTP請求。

項目3漏洞環境搭建：搭建常用的漏洞測試環境，包括Linux系統下的LANMP環境、Windows系統下的WAMP環境、DVWA漏洞平臺、SQL注入平臺和XSS測試平臺。

項目4安全工具實踐：對常用的安全工具進行實踐，包括Fiddler、SQLMap、Burp Suite、Nmap和AWVS。

項目5至項目10：對常見的漏洞進行實踐，包括XSS漏洞、CSRF漏洞、SQL注入漏洞、文件上傳漏洞、文件包含漏洞、點擊劫持漏洞、URL跳轉漏洞與釣魚操作和命令執行漏洞。首先介紹這些漏洞的理論知識，然后用實例對這些漏洞進行實踐，并給出漏洞防御建議。

本書具有以下特色：

（1）任務驅動。本書采用“項目－任務”編排方式，把學習內容組織成項目并拆分成一個個小任務，用通俗易懂的語言和豐富多彩的案例詳細介紹Web安全的相關基礎知識和技術。

（2）結構新穎。每個項目都包括理論知識相關的任務和案例實踐相關的任務。首先通過清晰明了的語言介紹項目相關的概念及技術，接著安排與當前知識點和實際應用相結合的實例，讓讀者邊學邊練。每個任務也是先介紹任務相關的理論知識，再緊跟實例實踐過程，理論與實踐相結合。此外，每個項目都有“項目小結”和“思考與練習”，讓讀者完成項目后還能對所學知識和技能進行總結與測試。

（3）案例豐富。為加強讀者的實戰能力，每個項目都安排了豐富的案例，并詳細介紹了案例的操作過程，一步一步帶領讀者完成實踐操作。

（4）配套微課。本書提供微課視頻，便于讀者學習和掌握相關內容。

本書由鄭麗（負責整體規劃和內容組織）、安厚霖、崔俊鵬任主編，李國輝、時瑞鵬任副主編。其中鄭麗、安厚霖、李國輝、時瑞鵬來自天津市職業大學，崔俊鵬來自天津中德應用技術大學。具體分工如下：項目1由安厚霖編寫，項目2、項目5至項目8由鄭麗編寫，項目3、項目4和項目10由崔俊鵬編寫，項目9由李國輝編寫，全書習題由時瑞鵬編寫。在本書編寫過程中，編者參考了許多優秀資源，在此對各位作者的辛勤勞動表示衷心的感謝。

由于編者水平有限，書中不足甚至錯誤之處在所難免，懇請讀者批評指正。

編 者

2021年10月

前言

項目1 認識Web安全 1
項目導讀 1
教學目標 1
任務1 認識Web安全 1
任務2 訪問Web 5
任務3 Chrome瀏覽器查看數據交互 13
項目小結 16
思考與練習 17
項目2 使用HTTP協議傳輸數據 18
項目導讀 18
教學目標 18
任務1 認識HTTP協議 18
任務2 HTTP發送請求與接收響應 23
任務3 查看HTTP報文 29
任務4 使用CURL發送請求 33
任務5 Telnet模擬HTTP請求 36
項目小結 39
思考與練習 39
項目3 漏洞環境搭建 41
項目導讀 41
教學目標 41
任務1 Linux系統下的LANMP環境搭建 41
任務2 Windows系統下的WAMP應用
環境搭建 44
任務3 DVWA漏洞平臺搭建 53
任務4 SQL注入平臺搭建 58
任務5 XSS測試平臺搭建 63
項目小結 75
思考與練習 75
項目4 安全工具實踐 77
項目導讀 77
教學目標 77
任務1 Fiddler工具實踐 77
任務2 SQLMap工具實踐 83
任務3 Burp Suite工具實踐 94
任務4 Nmap掃描工具實踐 111
任務5 AWVS工具實踐 118
項目小結 123
思考與練習 123
項目5 XSS漏洞實踐 125
項目導讀 125
教學目標 125
任務1 認識XSS漏洞 125
任務2 XSS攻擊與繞過 131
任務3 DVWA平臺的XSS攻擊實踐 138
任務4 XSS漏洞防御 141
項目小結 144
思考與練習 144
項目6 CSRF漏洞實踐 145
項目導讀 145
教學目標 145
任務1 認識CSRF漏洞 145
任務2 在DVWA平臺實踐CSRF攻擊 149
任務3 CSRF漏洞防御 156
項目小結 159
思考與練習 159
項目7 SQL注入漏洞實踐 160
項目導讀 160
教學目標 160
任務1 使用Sqli-labs平臺實踐SQL注入 160
任務2 使用DVWA平臺實踐SQL注入 166
任務3 使用DVWA平臺實踐SQL盲注 181
任務4 SQL注入繞過及漏洞防御技術 192
項目小結 193
思考與練習 194
項目8 文件上傳漏洞實踐 195
項目導讀 195
教學目標 195
任務1 使用DVWA平臺實踐文件上傳漏洞 195
任務2 文件上傳漏洞防御 202
任務3 文件上傳繞過方法 209
項目小結 215
思考與練習 216
項目9 文件包含漏洞實踐 217
項目導讀 217
教學目標 217
任務1 認識文件包含漏洞 217
任務2 使用DVWA平臺實踐文件包含漏洞 220
任務3 繞過攻擊及防御建議 225
項目小結 228
思考與練習 228
項目10 其他安全漏洞實踐 229
項目導讀 229
教學目標 229
任務1 點擊劫持 229
任務2 URL跳轉與釣魚 232
任務3 命令執行 235
項目小結 240
思考與練習 240
參考文獻 241

1. 輸水管線工程風險管理 [張勇 黨亥生 著]
2. 民用航空飛機標準線路施工 [主編　王志敏　陳明]
3. 不息的水脈—大運河講談錄 [趙珩　著]
4. 實用運籌學 [主編　邢育紅　于晉臣]
5. 三峽梯級電站水資源決策支持系統研究與開發 [姚華明 潘紅忠 湯正]
6. 海南黎族民俗文化鑒賞 [龐國華　著]
7. 石墨烯在太赫茲及中紅外頻段電磁器件設計中的應用 [李艷秀 莊華偉 著]
8. 電子技術（第二版） [主編 覃愛娜 李飛]
9. 辦公自動化高級應用 [陳萍 朱曉玉]
10. 信息處理技術員考試32小時通關 [薛大龍]
11. 電子產品設計案例教程（微課版）—基于嘉立創EDA（專業版） [王靜 莫志宏 陳學昌 丁紅]
12. C程序設計實踐教程 [劉衛國]
13. C程序設計（慕課版） [劉衛國]
14. Web技術開發教程（基于.NET開源MVC框架） [王合闖 韓紅玲 王青正 陳海蕊]
15. 商務英語翻譯教程（筆譯）（第四版） [主編 王軍平]
16. 智慧零售技術與應用 [洪旭 著]
17. 建設工程法規實務 [主編 余瀅]
18. 商務秘書理論與實務（第三版） [主編 張同欽]
19. 程序設計基礎實踐教程（C/C++語言版） [張桂芬 葛麗娜]
20. C++案例項目精講 [主編 楊國興]
21. 勞動爭議處理實務 [主編 王秀卿 羅靜]
22. 工程數學 [主編 郭立娟 王海]
23. 語音識別理論與實踐 [主編　莫宏偉]
24. 信息系統項目管理師章節習題與考點特訓（第二版） [主編 薛大龍]
25. 武術基礎教程 [主編 李代勇 謝志民]
26. 計算機網絡實訓教程 [主編 張浩軍 趙玉娟]
27. 畫法幾何與機械制圖習題集（多學時） [主編 趙軍]
28. HCIA-Datacom認證題庫分類精講 [主 編 韓立剛]
29. SwiftUI完全開發 [李智威 著]
30. 網絡規劃設計師備考一本通 [夏杰 編著]