前 言
Web信息安全是网络安全,或者说是习近平同志提出的网络空间安全的一个重要组成部分,也是与用户直观交互最多的一个组成部分。为了提高民众的网络安全意识,需要开展网络安全知识教育。网络安全是一个大环境,包含通信设备、安全设备、服务器设备、各种应用软件等方方面面的知识与技术。Web信息安全对普通大众来说,是在网络应用层次上的,与自身关系密切。
在网络空间安全提出之前,从事网络安全工作的人员,都是专业的技术人员,大多从高级程序员、设备驱动程序开发人员转换而来,具有丰富、扎实的软件开发、网络编程等技术知识。因此,目前涉及网络安全基础知识的书籍较少,学生学习网络安全基础知识的入门教材更是难寻。为了方便计算机专业的学生学习Web信息安全的基础知识,以及信息安全爱好人员学习网络安全知识,主编团队特编写了本书。
本书以任务驱动的项目式教学作为编写思路,注重Web信息安全的理论知识和实际项目相结合,具有很强的可操作性,每个项目分为项目描述、项目分析、项目小结、项目训练和实训任务几个模块,既给出了完成项目所需要学习的目标和主要任务,也给出了完成项目所需要的理论知识。本书主要讲解了在Web信息安全中常见的漏洞攻击方法的基本原理与针对性的防御方法。本书针对OWASP每年公布利用率与危害性的TOP10中的Web渗透方法,主要分析了命令注入、文件上传、SQL注入与盲注、暴力破解、文件保护、XSS跨站、CSRF等的方法,结合主流的hacker实验平台DVWA,分析原理、利用方法、加固措施等。Web信息安全是一把双刃剑,在理解攻击原理后,可以针对性地设计加固与防御方案,同时也可以根据原理设计新的攻击方式,因此信息安全从业人员需要守住自己的底线。为了加强安全意识,本书利用一章的篇幅讲解信息安全方面的规章制度与法律法规。为了加强防御方法,本书最后分析了代码审计对软件的必要性。
编者根据多年从事网络安全专业教学的经验,以及多年参与高职院校技能大赛信息安全与评估赛项的技术积累,根据一线信息安全专家的建议,完成了本书的编写工作。在编写过程中得到了江苏天创科技有限公司的大力支持,该公司主要从事网络安全方面的工作,与苏州市政府具有广泛的合作。编者以该公司丰富的实战案例作为依据,对本书的内容方面进行了编写。
本书由苏州市职业大学的王德鹏、谭方勇任主编,苏州市职业大学刘刚、江苏天创科技有限公司张洪璇任副主编,苏州市职业大学高小惠、姒茂新等教师任参编。
由于时间仓促,书中难免存在疏漏和不妥之处,敬请读者批评指正。
编 者
2019年4月