本书主要介绍常见的OWASP TOP10安全漏洞(开放式Web应用程序安全项目发布的应用程序中最严重的十大风险)。全书共分10个单元，内容包括Web安全基础、与Web安全相关的各类常见漏洞的原理分析及防御加固方法，涉及跨站脚本攻击漏洞、请求伪造漏洞、SQL注入漏洞、文件上传漏洞、文件包含漏洞、命令执行漏洞、业务逻辑漏洞、反序列化漏洞、Web框架安全。本书的创作融入了作者多年在网络安全领域教学与实践的经验，每个单元都包含对应漏洞的攻击与防御内容，便于读者通过上机实践加强安全技能。
      本书在内容安排上由浅入深、循序渐进，理论与实践相结合，通过具体实践案例理解和验证理论学习，培养学生独立思考、分析和解决问题的能力，培养高水平Web安全技能型人才。
       本书适合作为高等职业院校信息安全专业的教学用书，也可作为安全漏洞挖掘分析人员的基础读物。

 党的二十大报告中强调：“强化经济、重大基础设施、金融、网络、数据、生物、资源、 核、太空、海洋等安全保障体系建设。”网络安全作为网络强国、数字中国的底座，将  在未来的发展中承担托底的重担，是我国现代化产业体系中不可或缺的部分。为了更多、 更好、更快地培养网络安全人才，很多高校都在建设网络安全相关专业上投入大量资源。 但是网络安全相关专业的建设非一 日之功，这主要是由于网络安全涉及面过于广泛，包  括计算机、密码学、通信、软件等多门学科，而且技术的更新速度极快，产业特性极强， 这对国内网络安全教学师资和课程内容的更新提出了高要求。另外，网络安全人才的培  养还需要有专用的实验实训设备及配套环境的支撑，这也对网络安全相关专业的建设提  出了更高的要求。
        本书在写作过程中融入了作者多年在网络安全领域的实践与教学经验，旨在提升职 业教育中网络安全系列课程中Web 安全部分的教学水平与资源建设。本书将教学内容 以单元进行划分，且每个单元从浅显的实例入手，带动理论学习和应用软件的操作学习， 大幅提升了学生学习的兴趣与效率，培养学生独立探究、勇于开拓进取的能力。从教学  的角度考虑，教师通过本书可更系统地实施教学，将传统知识传授的教学理念转变为以 解决问题为主的多维互动式的教学理念，从而为学生思考、探索、发现和创新提供了开 放的空间，使课堂教学过程充满活跃气氛。
        本书从网络安全实践角度出发，以理论为指导，重点介绍各类常见Web 安全漏洞， 对各种漏洞从技术原理、案例分析、防御方法三个方面进行介绍，从攻防两个角度分析 漏洞机制。全书共分10个单元，第1单元介绍Web 安全基础，第2～10单元讲述与 Web 安全相关的各类常见漏洞的技术原理、利用分析及防御方法，涉及跨站脚本攻击漏 洞、请求伪造漏洞、 SQL 注入漏洞、文件上传漏洞、文件包含漏洞、命令执行漏洞、业 务逻辑漏洞、反序列化漏洞、 Web 框架安全。读者通过学习本书内容，可基本掌握 Web  程序中安全漏洞的黑白盒测试分析方法，熟悉 Web 安全漏洞的防御和加固技巧，建议 学时数为72学时。
当前的很多网络安全教材都无法真正实现“教、学、做”一体化，这主要是因为网 络安全教材往往会受到网络安全领域中各种实践环境的限制，导致教师授课、学生实践都遇到瓶颈，而网络安全领域却又十分注重实践。在学习过程中，只有让学生充分实践 才能理解各种Web 漏洞的分析与防御技巧。因此，本书在教学过程中结合了360安全 人才能力发展中心的教学平台，为教师的网络安全教学提供便利的实验环境，为学生实 践提供详细的实践教程，从而强化网络安全课程的学习，提升对网络安全领域的兴趣。
        本书教学资源系统全面，配套实验环境、 PPT 教学课件、习题答案等电子资源，与 教材完全同步，已部署在https://study.360.net,属于收费内容，如需咨询可以联系360 安全人才能力发展中心，服务专线4000-555-360,电子邮箱 university@360.cn。
        本书由浙江机电职业技术学院现代信息技术学院姜洋教授、天津职业大学电子信息 工程学院主任安厚霖讲师和360安全人才能力发展中心王志威任主编，天津职业大学电 子信息工程学院时瑞鹏副教授、张臻副教授和刘书强副教授任副主编。编写分工：安厚霖编写单元1至单元4、单元6、单元9和单元10,时瑞鹏编写单元7、张臻编写单元5,  刘书强编写单元8,王志威和姜洋共同负责统筹本书结构与内容调整修改。
本书注重所述内容的可操作性和实用性，以网络安全相关专业的在校师生为主要读 者群体，同时兼顾广大网络安全从业人员和计算机网络爱好者的需求，是一本进行Web  安全测试与管理的实用教材和重要参考书。限于编者的知识水平和认知能力，书中难免 存在疏漏与不当之处，恳请读者批评指正。
        严正声明： 本教材是为了进行Web 安全技术学习、培养Web 安全人才而编写的。 为了更好地学习Web 安全防御，需要了解常见的Web 安全攻击方法和手段。读者在学 习过程中进行相关学习、实践时一定要遵守相关法律法规，不得进行非法网络攻击。若出现违法情况，责任自负。

 编 者

2022年12月

单元1 Web安全基础..........1
1.1 Web安全的核心问题 ..........2
1.1.1 Web安全发展史 ..........3
1.1.2 常见Web安全漏洞 ..........3
1.1.3 Web访问流程 ……………………4 
1.2 HTTP概述 ..........6 
1.2.1 HTTP的URL.......... 6 
1.2.2 HTTP的请求 .......... 6 
1.2.3 HTTP的响应..........9 
1.3 HTTPS的安全性分析 .......... 11 
1.3.1 HTTPS的基本概念 .......... 11 
1.3.2 数据传输的对称加密与非对称加密 .......... 12 
1.3.3 HTTPS的安全问题 ..........13 
1.3.4 HTTPS流程..........14 
1.4 Web应用中的编码..........15
1.4.1 常见字符编码 ……………………15
1.4.2 传输过程的编码 ……………………16
1.5 Web安全技术与实操平台 ……………………18
1.5.1 Web安全测试工具 ……………………18
1.5.2 Web平台搭建部署 
小结 ……………………27
习题 ……………………27
单元2跨站脚本攻击漏洞……………29
2.1 跨站脚本攻击漏洞介绍 …………… 29
2.1.1 XSS漏洞的分类 ……………… 30
2.1.2 XSS漏洞条件 ………………… 32
2.1.3 XSS漏洞测试 ………………… 33
2.2 XSS漏洞利用及绕过方法 ………… 39
2.2.1 XSS漏洞利用方法 …………… 39
2.2.2 XSS漏洞绕过方法 …………… 43
2.3 XSS漏洞的防御方法 ……………… 50
2.3.1 过滤特殊字符XSS Filter ……… 50
2.3.2 黑白名单 ……………………… 51
2.3.3 使用实体化编码 ……………………51
2.3.4 其他防御方法 ………………… 52
小结 ……………………………………… 52
习题 ……………………………………… 52
单元3 请求伪造漏洞 ……………………54
3.1 CSRF漏洞介绍 …………………… 54
3.1.1 CSRF攻击流程 ………………… 55
3.1.2 CSRF漏洞利用场景 …………… 56
3.1.3 CSRF漏洞攻击案例 …………… 56
3.2 CSRF漏洞防御方法 ………………59
3.3 CSRF漏洞总结 ……………………61
3.4 SSRF漏洞介绍……………………61
3.4.1 SSRF攻击流程……………………61
3.4.2 SSRF漏洞利用场景 …………………… 62
3.4.3 SSRF漏洞攻击案例 ……………………63
3.5 SSRF漏洞防御方法 ……………………65
3.6 SSRF漏洞总结 ……………………65
小结 ……………………65
习题 ……………………66
单元4 SQL注入漏洞 ……………………67
4.1 SQL注入漏洞介绍 ……………………68
4.1.1 SQL注入漏洞原理 ……………………68
4.1.2 SQL注入漏洞案例 ……………………69
4.1.3 SQL注入攻击分类 ……………………72
4.2 SQL注入漏洞解析 ……………………74
4.2.1 手工回显注入 ……………………74
4.2.2 盲注攻击类型 ……………………79
4.3 SQL注入点 ……………………87
4.3.1 GET与POST注入 ……………………87
4.3.2 Cookie注入 ……………………88
4.3.3 User-Agent注入 ……………………90
4.3.4 Referer注入 ……………………91
4.4 SQL注入防御方法与绕过 ……………………91
4.4.1 数字型与字符型防御与绕过……………………92
4.4.2 参数长度防御与绕过 ……………………95
4.4.3 敏感函数防御与绕过 ……………………95
4.4.4 特殊字符过滤防御与绕过 ……………………97
小结 ……………………98
习题 ……………………99
单元5 文件上传漏洞 ……………………100
5.1 文件上传漏洞概述 ……………………100
5.1.1 文件上传漏洞简介 ……………………100
5.1.2 文件上传漏洞原理 ……………………101
5.1.3 文件上传漏洞条件 ……………………102
5.1.4 文件上传攻击流程 ……………………102
5.1.5 文件上传漏洞工具 ……………………103
5.2 文件上传漏洞绕过 ……………………106
5.2.1 客户端JavaScript绕过 ……………………106
5.2.2 文件扩展名黑名单绕过 ……………………109
5.2.3 文件检测白名单绕过 ……………………111
5.2.4 文件内容检测绕过 ……………………114
5.2.5 竞争条件问题 ……………………117
5.3 文件上传漏洞防御 ……………………118
5.4 文件解析漏洞与防御 ……………………119
5.4.1 .htaccess文件解析与防御 ……………………120
5.4.2 中间件解析漏洞与防御 ……………………120
小结 ……………………122
习题 ……………………123
单元6 文件包含漏洞 ……………………124
6.1 文件包含漏洞介绍 ……………………124
6.1.1 文件包含漏洞流程 ……………………125
6.1.2 文件包含漏洞挖掘 ……………………125
6.1.3 文件包含分类 ……………………126
6.1.4 文件包含漏洞代码 ……………………127
6.2 文件包含漏洞利用 ……………………127
6.2.1 与文件上传连用 ……………………127
6.2.2 日志文件包含 ……………………128
6.2.3 读取敏感文…………………… 130
6.2.4 session文件包含 ……………………130
6.2.5 PHP封装协议包含 ……………………132
6.3 防御手段及绕过方法 ……………………135
6.3.1 文件名验证 ……………………135
6.3.2 目录限制 ……………………136
6.3.3 服务器安全配置 ……………………137
6.3.4 常见绕过方法 ……………………137
小结 ……………………138
习题 ……………………139
单元7 命令执行漏洞 ……………………140
7.1 远程命令执行漏……………………140
7.1.1 利用系统函数执行远程命令 ……………………141
7.1.2 利用漏洞获取Webshell ……………………144
7.2 系统命令执行漏洞 ……………………144
7.2.1 命令执行函数 ……………………145
7.2.2 命令连接符 ……………………146
7.3 命令执行防御方法 ……………………148
7.3.1 禁用部分系统函数 ……………………148
7.3.2 严格过滤关键字符 ……………………148
7.3.3 严格限制允许的参数类型 ……………………149
小结 ……………………149
习题 ……………………150
单元8 业务逻辑漏洞 ……………………151
8.1 业务逻辑漏洞介绍 ……………………151
8.2 授权认证漏洞 ……………………152
8.2.1 Cookie会话安全 ……………………152
8.2.2 session会话安全 ……………………153
8.2.3 权限管理 ……………………156
8.2.4 越权与防御 ……………………156
8.3 密码找回逻辑漏洞 ……………………162
8.3.1 密码找回流程 ……………………162
8.3.2 密码找回安全问题 ……………………162
8.3.3 密码找回漏洞防御 ……………………165
8.4 支付逻辑漏洞 ……………………165
8.4.1 支付逻辑流程 ……………………166
8.4.2 支付逻辑安全 ……………………166
8.4.3 支付逻辑漏洞防御 ……………………168
小结 ……………………168
习题 ……………………168
单元9 反序列化漏洞 ……………………170
9.1 序列化基础 ……………………171
9.1.1 序列化简介 ……………………171
9.1.2 各种类型的序列化 ……………………171
9.2 反序列化基础 ……………………174
9.2.1 反序列化函数 ……………………174
9.2.2 反序列化的魔术方法 ……………………175
9.3 反序列化漏洞 ……………………176
9.3.1 反序列化漏洞案例 ……………………176
9.3.2 反序列漏洞绕过 ……………………177
9.3.3 反序列化的对象注入 ……………………181
9.3.4 反序列字符串逃逸 ……………………181
9.4 反序列漏洞进阶 ……………………184
9.4.1 session反序列化前置知识..184
9.4.2 session反序列化解析漏洞 …… 185
9.4.3 Phar反序列化前置知识 ……………………187
9.4.4 Phar反序列化案例 ……………………188
9.4.5 POP链利用 ……………………189
9.5 反序列化漏洞防御 ……………………192
小结 ……………………192
习题 ……………………193
单元10 Web框架安全 ……………………194
10.1 Web框架概述 ……………………194
10.1.1 常见Web开发框架 ……………………195
10.1.2 MVC框架安全 ……………………196
10.2 Web框架常见安全问题 ……………………197
10.2.1 模板引擎与SSTI防御 ……………………197
10.2.2 模板引擎与XSS防御 ……………………198
10.2.3 Web框架与CSRF防御 ……………………199
10.3 Web框架安全与操作 …....... … 201
10.3.1 Struts2远程代码执行漏洞..201
10.3.2 Spring Data Rest远程命令执行漏洞 ……………………205
10.3.3 Spring Cloud Function SpEL表达式命令注入 ……………………206
10.3.4 Web框架防御 ……………………206
小结 ……………………207
习题 ……………………207
参考文献 …………………………………… 208

      姜洋，浙江机电职业技术学院信息技术中心副主任，有多年的Web开发经验，对信息安全技术有深入研究。

      安厚霖，现任天津职业大学云计算专业教师、兰州大学电子与通信硕士，长期从事计算机网络、云计算技术、信息安全教学工作。

      王志威，网络安全高级专家。10余年安全行业工作经验，资深网络安全从业人员，教育部职业教育教学指导委员会专家委员，网络安全教指委专家委员，中国信息安全认证中心CISAW认证讲师，CISP及CISAW等多门课程高级培训讲师。

本书可作为高职高专院校信息安全相关专业学生的教材，也可作为安全漏洞挖掘分析人员的基础读物。