任務驅動： 采用“項目- 任務”編排方式，把學習內容組織成項目并拆分成一個個小任務。

結構新穎： 每個項目都包括理論知識相關的任務和案例實踐相關的任務，理論與實踐相結合，最后通過“項目小結”和“思考與練習”讓讀者總結測試和提高。

案例豐富： 各項目均安排了豐富的實戰案例，并帶領讀者一步步完成案例操作過程。

配套微課： 讀者掃描書中二維碼即可播放微課視頻，進行直觀學習實踐。

前 言

隨著網絡技術的快速發展，尤其是Web技術的發展，基于Web環境的互聯網應用越來越廣泛。網上訂票、購物、銀行轉賬等業務都依賴于互聯網，這也導致越來越多的個人或企業敏感信息通過Web展現給了用戶。一些惡意攻擊者會通過Web竊取重要數據或者攻擊Web服務器，影響人們的工作和生活，Web安全問題日益突出。

本書關注到Web安全人才緊缺這一社會現狀，為培養信息安全人才這一目標而編寫。全書從原理到實戰，由淺入深、循序漸進地介紹了Web安全基本概念及目前常見高危漏洞的原理、攻擊手段和防御策略，幫助初學者從零開始掌握一些基本技能。

項目1認識Web安全：介紹Web安全的基本概念、Web訪問過程、常見的Web瀏覽器和服務器、使用Chrome瀏覽器查看數據交互的方法。

項目2使用HTTP協議傳輸數據：包括HTTP協議和統一資源定位符URL的概念、HTTP請求與HTTP響應的格式、HTTP報文格式，最后分別使用CURL命令和Telnet工具執行HTTP請求。

項目3漏洞環境搭建：搭建常用的漏洞測試環境，包括Linux系統下的LANMP環境、Windows系統下的WAMP環境、DVWA漏洞平臺、SQL注入平臺和XSS測試平臺。

項目4安全工具實踐：對常用的安全工具進行實踐，包括Fiddler、SQLMap、Burp Suite、Nmap和AWVS。

項目5至項目10：對常見的漏洞進行實踐，包括XSS漏洞、CSRF漏洞、SQL注入漏洞、文件上傳漏洞、文件包含漏洞、點擊劫持漏洞、URL跳轉漏洞與釣魚操作和命令執行漏洞。首先介紹這些漏洞的理論知識，然后用實例對這些漏洞進行實踐，并給出漏洞防御建議。

本書具有以下特色：

（1）任務驅動。本書采用“項目－任務”編排方式，把學習內容組織成項目并拆分成一個個小任務，用通俗易懂的語言和豐富多彩的案例詳細介紹Web安全的相關基礎知識和技術。

（2）結構新穎。每個項目都包括理論知識相關的任務和案例實踐相關的任務。首先通過清晰明了的語言介紹項目相關的概念及技術，接著安排與當前知識點和實際應用相結合的實例，讓讀者邊學邊練。每個任務也是先介紹任務相關的理論知識，再緊跟實例實踐過程，理論與實踐相結合。此外，每個項目都有“項目小結”和“思考與練習”，讓讀者完成項目后還能對所學知識和技能進行總結與測試。

（3）案例豐富。為加強讀者的實戰能力，每個項目都安排了豐富的案例，并詳細介紹了案例的操作過程，一步一步帶領讀者完成實踐操作。

（4）配套微課。本書提供微課視頻，便于讀者學習和掌握相關內容。

本書由鄭麗（負責整體規劃和內容組織）、安厚霖、崔俊鵬任主編，李國輝、時瑞鵬任副主編。其中鄭麗、安厚霖、李國輝、時瑞鵬來自天津市職業大學，崔俊鵬來自天津中德應用技術大學。具體分工如下：項目1由安厚霖編寫，項目2、項目5至項目8由鄭麗編寫，項目3、項目4和項目10由崔俊鵬編寫，項目9由李國輝編寫，全書習題由時瑞鵬編寫。在本書編寫過程中，編者參考了許多優秀資源，在此對各位作者的辛勤勞動表示衷心的感謝。

由于編者水平有限，書中不足甚至錯誤之處在所難免，懇請讀者批評指正。

編 者

2021年10月

前言

項目1 認識Web安全 1
項目導讀 1
教學目標 1
任務1 認識Web安全 1
任務2 訪問Web 5
任務3 Chrome瀏覽器查看數據交互 13
項目小結 16
思考與練習 17
項目2 使用HTTP協議傳輸數據 18
項目導讀 18
教學目標 18
任務1 認識HTTP協議 18
任務2 HTTP發送請求與接收響應 23
任務3 查看HTTP報文 29
任務4 使用CURL發送請求 33
任務5 Telnet模擬HTTP請求 36
項目小結 39
思考與練習 39
項目3 漏洞環境搭建 41
項目導讀 41
教學目標 41
任務1 Linux系統下的LANMP環境搭建 41
任務2 Windows系統下的WAMP應用
環境搭建 44
任務3 DVWA漏洞平臺搭建 53
任務4 SQL注入平臺搭建 58
任務5 XSS測試平臺搭建 63
項目小結 75
思考與練習 75
項目4 安全工具實踐 77
項目導讀 77
教學目標 77
任務1 Fiddler工具實踐 77
任務2 SQLMap工具實踐 83
任務3 Burp Suite工具實踐 94
任務4 Nmap掃描工具實踐 111
任務5 AWVS工具實踐 118
項目小結 123
思考與練習 123
項目5 XSS漏洞實踐 125
項目導讀 125
教學目標 125
任務1 認識XSS漏洞 125
任務2 XSS攻擊與繞過 131
任務3 DVWA平臺的XSS攻擊實踐 138
任務4 XSS漏洞防御 141
項目小結 144
思考與練習 144
項目6 CSRF漏洞實踐 145
項目導讀 145
教學目標 145
任務1 認識CSRF漏洞 145
任務2 在DVWA平臺實踐CSRF攻擊 149
任務3 CSRF漏洞防御 156
項目小結 159
思考與練習 159
項目7 SQL注入漏洞實踐 160
項目導讀 160
教學目標 160
任務1 使用Sqli-labs平臺實踐SQL注入 160
任務2 使用DVWA平臺實踐SQL注入 166
任務3 使用DVWA平臺實踐SQL盲注 181
任務4 SQL注入繞過及漏洞防御技術 192
項目小結 193
思考與練習 194
項目8 文件上傳漏洞實踐 195
項目導讀 195
教學目標 195
任務1 使用DVWA平臺實踐文件上傳漏洞 195
任務2 文件上傳漏洞防御 202
任務3 文件上傳繞過方法 209
項目小結 215
思考與練習 216
項目9 文件包含漏洞實踐 217
項目導讀 217
教學目標 217
任務1 認識文件包含漏洞 217
任務2 使用DVWA平臺實踐文件包含漏洞 220
任務3 繞過攻擊及防御建議 225
項目小結 228
思考與練習 228
項目10 其他安全漏洞實踐 229
項目導讀 229
教學目標 229
任務1 點擊劫持 229
任務2 URL跳轉與釣魚 232
任務3 命令執行 235
項目小結 240
思考與練習 240
參考文獻 241

1. 自然語言處理 [主編　馮建周]
2. 新媒體內容創作實務（微課版） [主編　覃思源]
3. 人工智能基礎 [主編 余平 張春陽]
4. 人工智能導論 [主編 王飛 潘立武]
5. Amazing！兒童英語自然拼讀分級教材（全8冊） [王玲　編著]
6. Spark大數據處理技術 [主編　劉仁山　周洪翠　莊新妍]
7. 毫無PS痕跡—你的第一本Photoshop書（第二版） [趙鵬 著]
8. 電視新聞制作（活頁式） [主編 王曉翠 劉傳琳]
9. C語言同步案例習題精解 [主編 肖朝暉]
10. Python程序設計 [李國燕 王新強 劉佳 等編著]
11. 高等數學（下冊） [秦紅兵]
12. 智慧畜牧業技術 [主編 連衛民 張志明 王輝]
13. Python程序設計項目化教程（活頁式） [主編　盧鳳偉]
14. 人工智能算法與實踐 [主編　梁琨　張翼英]
15. 網頁設計與制作 [主編 王瀟 章明珠]
16. Python辦公自動化—玩轉Excel [郝春吉 劉智楊 周永福 黃 詮]
17. 人工智能概論（第二版） [張廣淵　周風余　朱振方　著]
18. 電路與電子技術Ⅲ——模擬電子技術 [主編 劉峰]
19. 線性代數 [主編 惠小健 王震 盧鴻艷]
20. 信息安全技術基礎（第二版） [主編 張浩軍 陳莉 王峰]
21. 電氣與控制工程項目管理 [鄒紅利 滕璇璇 陳德山 編著]
22. 計算機網絡技術項目化教程（微課版） [主編 王艷萍 安華萍]
23. 自然拼讀背單詞：基礎英語4000詞（微課版） [陳雪　編著]
24. 剪枝——庭院常見植物修剪 [［英］大衛·斯夸爾]
25. 電子產品生產與檢測（活頁式） [主編　李恒　楊國輝　練斌]
26. Web前端開發項目化教程（微課版） [主編　郭立文　王洪波]
27. 數據清洗 [黃源　劉智楊　孫大松]
28. 計算機應用基礎與實踐（Windows 7平臺與Office 2016應用） [主編 呂波 何敏]
29. 程序員考前沖刺100題 [黃少年 李竹村 曾哲軍 編著]
30. 辦公自動化高級應用案例教程（微課版） [高海波 張誠 楊順]