项目一　认识Web安全基础 1
1.1　当前 Web 安全形势 1
1.2　Web 安全防御技术 5
1.3　Web 安全发展趋势 8
项目二　熟悉信息安全法律法规 11
2.1　信息安全相关法律法规 11
2.2　案例分析 16
项目三　命令注入攻击与防御 20
学习目标 20
项目描述 21
项目分析 21
项目相关知识点 22
项目实施 26
3.1　实验环境 26
3.2　命令注入攻击原理分析 27
3.3　利用命令注入漏洞获取信息 30
3.4 命令注入攻击方法分析 34
3.5 防御命令注入攻击 38
项目小结 42
同步练习 43
实训任务 44
项目四　文件上传攻击与防御 46
学习目标 46
项目描述 47
项目分析 47
项目相关知识点 48
项目实施 55
4.1 实验环境 55
4.2 文件上传攻击原理分析 55
4.3 上传木马获取控制权 62
4.4 文件上传攻击方法 67
4.5 文件上传攻击防御方法 69
项目小结 72
同步练习 73
实训任务 74
项目五　SQL注入攻击与防御 75
学习目标 75
项目描述 76
项目分析 76
项目相关知识点 77
项目实施 93
5.1 实验环境 93
5.2 SQL 注入攻击原理分析 93
5.3 文本框输入的 SQL 注入方法 99
5.4 非文本框输入的 SQL 注入方法 105
5.5 固定提示信息的渗透方法 113
5.6 利用 SQL 注入漏洞对文件进行读/写 115
5.7 利用 sqlmap 完成 SQL 注入 118
5.8 防御 SQL 注入攻击 122
项目小结 127
同步练习 128
实训任务 129
项目六　SQL盲注攻击与防御 130
学习目标 130
项目描述 131
项目分析 131
项目相关知识点 132
项目实施 135
6.1 实验环境 135
6.2 基于布尔值的字符注入 136
6.3 基于布尔值的字节注入 142
6.4 基于时间的注入 144
6.5 非文本框输入的 SQL 盲注 150
6.6 固定提示信息的 SQL 盲注 160
6.7 利用 Burp Suite 暴力破解 SQL 盲注 162
6.8 SQL 盲注攻击的防御 171
项目小结 174
同步练习 175
实训任务 177
项目七　暴力破解攻击与防御 178
学习目标 178
项目描述 179
项目分析 179
项目相关知识点 180
项目实施 184
7.1　实验环境 184
7.2　利用万能密码进行暴力破解攻击 184
7.3　利用 Burp Suite 进行暴力破解攻击 189
7.4　在中等、高等安全级别下实施暴力破解攻击 192
7.5　利用 Bruter 实施暴力破解攻击 199
7.6　利用 Hydra 实施暴力破解攻击 201
项目小结 204
同步练习 204
实训任务 206
项目八　文件包含攻击与防御 207
学习目标 207
项目描述 208
项目分析 208
项目相关知识点 209
项目实施 213
8.1　实验环境 213
8.2　文件包含漏洞原理分析 213
8.3　文件包含攻击 219
8.4　文件包含漏洞的绕过 221
8.5　文件包含漏洞的应用 224
8.6　文件包含攻击的防御 225
项目小结 227
同步练习 228
实训任务 229
项目九　XSS攻击与防御 230
学习目标 230
项目描述 231
项目分析 231
项目相关知识点 232
项目实施 239
9.1　实验环境 239
9.2　XSS 攻击原理分析 239
9.3　反射型 XSS 攻击 243
9.4　存储型 XSS 攻击 243
9.5　利用 Cookie 完成 Session 劫持 244
9.6　XSS 钓鱼攻击 246
9.7　防御 XSS 攻击 249
项目小结 252
同步练习 253
实训任务 254
项目十　CSRF攻击与防御 255
学习目标 255
项目描述 256
项目分析 256
项目相关知识点 257
项目实施 263
10.1　实验环境 263
10.2　CSRF 攻击原理分析 263
10.3　显性与隐性攻击 267
10.4　模拟银行转账攻击 269
10.5　防御 CSRF 攻击 274
项目小结 278
同步练习 279
实训任务 280
项目十一　代码审计 281
11.1　代码审计概述 281
11.2　常见代码审计方法 282
11.3　代码审计具体案例 283