本书介绍了 Web 中高危漏洞的形成原理、利用方法、加固和防御方法。全书共 11 个项目，项目一和项目二为 Web 信息安全基础知识与法律法规，主要论述了当前的信息安全状况、存在的问题。项目三～项目十主要介绍了命令注入、文件上传、SQL 注入、SQL 盲注、暴力破解、文件包含、XSS、CSRF 攻击与防御等漏洞原理、利用方法与针对性加固方法。项目十一为代码审计，主要分析了代码审计的必要性、代码审计的方法，以及代码审计的案例。本书既可以作为高等职业院校计算机网络与信息安全等相关专业的教材，也可以作为信息安全从业人员的学习指导用书。

王德鹏，2018年获得注册信息安全工程师（cisp-cise），2008年8月至今就职于苏州市职业大学，先后担任计算机语言c、计算机语言C#、计算机语言java、计算机语言python、计算机网络基础、网络安全、网络安全实战运维、web安全渗透技术及应用等的专业核心课程授课任务。从2015年至今每年都被评为教学质量优秀。2017年参编《网路安全技术实用教程（第三版）》、2019年主编《web安全基础渗透与防护》、2024年参编《物联网应用技术概论第2版》等教材。参与 BP神经网络在高职高专学生职业生涯专家系统中国的应用研究、绩效考核业绩分配管理系统的设计与实现、E-learning在工学交替中的应用研究；主持信息安全课程教学系统研究等项目。从2014年开始指导学生参加信息安全方面比赛，在江苏省职业院校技能大赛信息安全管理与评估赛项中获得一等奖一次、二等奖三次、其余年份为三等奖。在“领航杯”中获得二等奖一次，三等奖多次，在“金砖”、“一带一路”、“羊城杯”、“网鼎杯”、“强网杯”的信息安全赛项中都有所成绩。在江苏省职业院校技能大赛司法技术赛项中获得一等奖一次、二等奖一次。2025为江苏省技能大赛网络建设与运维赛项裁判员。2022、2023、2024、2025四年被“中共苏州市委网络安全和信息化委员会办公室”特聘为苏州市网络安全志愿讲师。2025年成为国家安全教育讲师团成员。2024年深信服攻防对抗、深育杯中被评为优秀指导教师。

项目一　认识Web安全基础 1
1.1　当前 Web 安全形势 1
1.2　Web 安全防御技术 5
1.3　Web 安全发展趋势 8
项目二　熟悉信息安全法律法规 11
2.1　信息安全相关法律法规 11
2.2　案例分析 16
项目三　命令注入攻击与防御 20
学习目标 20
项目描述 21
项目分析 21
项目相关知识点 22
项目实施 26
3.1　实验环境 26
3.2　命令注入攻击原理分析 27
3.3　利用命令注入漏洞获取信息 30
3.4 命令注入攻击方法分析 34
3.5 防御命令注入攻击 38
项目小结 42
同步练习 43
实训任务 44
项目四　文件上传攻击与防御 46
学习目标 46
项目描述 47
项目分析 47
项目相关知识点 48
项目实施 55
4.1 实验环境 55
4.2 文件上传攻击原理分析 55
4.3 上传木马获取控制权 62
4.4 文件上传攻击方法 67
4.5 文件上传攻击防御方法 69
项目小结 72
同步练习 73
实训任务 74
项目五　SQL注入攻击与防御 75
学习目标 75
项目描述 76
项目分析 76
项目相关知识点 77
项目实施 93
5.1 实验环境 93
5.2 SQL 注入攻击原理分析 93
5.3 文本框输入的 SQL 注入方法 99
5.4 非文本框输入的 SQL 注入方法 105
5.5 固定提示信息的渗透方法 113
5.6 利用 SQL 注入漏洞对文件进行读/写 115
5.7 利用 sqlmap 完成 SQL 注入 118
5.8 防御 SQL 注入攻击 122
项目小结 127
同步练习 128
实训任务 129
项目六　SQL盲注攻击与防御 130
学习目标 130
项目描述 131
项目分析 131
项目相关知识点 132
项目实施 135
6.1 实验环境 135
6.2 基于布尔值的字符注入 136
6.3 基于布尔值的字节注入 142
6.4 基于时间的注入 144
6.5 非文本框输入的 SQL 盲注 150
6.6 固定提示信息的 SQL 盲注 160
6.7 利用 Burp Suite 暴力破解 SQL 盲注 162
6.8 SQL 盲注攻击的防御 171
项目小结 174
同步练习 175
实训任务 177
项目七　暴力破解攻击与防御 178
学习目标 178
项目描述 179
项目分析 179
项目相关知识点 180
项目实施 184
7.1　实验环境 184
7.2　利用万能密码进行暴力破解攻击 184
7.3　利用 Burp Suite 进行暴力破解攻击 189
7.4　在中等、高等安全级别下实施暴力破解攻击 192
7.5　利用 Bruter 实施暴力破解攻击 199
7.6　利用 Hydra 实施暴力破解攻击 201
项目小结 204
同步练习 204
实训任务 206
项目八　文件包含攻击与防御 207
学习目标 207
项目描述 208
项目分析 208
项目相关知识点 209
项目实施 213
8.1　实验环境 213
8.2　文件包含漏洞原理分析 213
8.3　文件包含攻击 219
8.4　文件包含漏洞的绕过 221
8.5　文件包含漏洞的应用 224
8.6　文件包含攻击的防御 225
项目小结 227
同步练习 228
实训任务 229
项目九　XSS攻击与防御 230
学习目标 230
项目描述 231
项目分析 231
项目相关知识点 232
项目实施 239
9.1　实验环境 239
9.2　XSS 攻击原理分析 239
9.3　反射型 XSS 攻击 243
9.4　存储型 XSS 攻击 243
9.5　利用 Cookie 完成 Session 劫持 244
9.6　XSS 钓鱼攻击 246
9.7　防御 XSS 攻击 249
项目小结 252
同步练习 253
实训任务 254
项目十　CSRF攻击与防御 255
学习目标 255
项目描述 256
项目分析 256
项目相关知识点 257
项目实施 263
10.1　实验环境 263
10.2　CSRF 攻击原理分析 263
10.3　显性与隐性攻击 267
10.4　模拟银行转账攻击 269
10.5　防御 CSRF 攻击 274
项目小结 278
同步练习 279
实训任务 280
项目十一　代码审计 281
11.1　代码审计概述 281
11.2　常见代码审计方法 282
11.3　代码审计具体案例 283