網(wǎng)絡(luò)安全評(píng)估（中級(jí)）

第 1章　網(wǎng)絡(luò)安全導(dǎo)論 1
1.1 網(wǎng)絡(luò)安全概述 2
1.1.1 網(wǎng)絡(luò)安全基礎(chǔ) 2
1.1.2 網(wǎng)絡(luò)安全體系 4
1.1.3 網(wǎng)絡(luò)安全事件分析 5
1.2 網(wǎng)絡(luò)安全法律法規(guī) 7
1.2.1 網(wǎng)絡(luò)安全觀念與意識(shí) 7
1.2.2 國(guó)內(nèi)外法律法規(guī)介紹 8
1.2.3 網(wǎng)絡(luò)安全等級(jí)保護(hù)制度 10
1.3 小結(jié) 12
1.4 習(xí)題 13
第 2章　網(wǎng)絡(luò)安全評(píng)估準(zhǔn)備工作 14
2.1 網(wǎng)絡(luò)安全評(píng)估基礎(chǔ) 15
2.1.1 網(wǎng)絡(luò)安全評(píng)估概述 15
2.1.2 安全評(píng)估報(bào)告 19
2.2 工作環(huán)境和工具介紹 21
2.2.1 虛擬機(jī)環(huán)境 21
2.2.2 網(wǎng)絡(luò)協(xié)議評(píng)估工具介紹 22
2.2.3 Web安全評(píng)估工具介紹 23
2.2.4 PHP代碼評(píng)估工具介紹 23
2.3 項(xiàng)目1：網(wǎng)絡(luò)安全評(píng)估工作環(huán)境搭建 29
2.3.1 任務(wù)1：虛擬機(jī)安裝和配置 29
2.3.2 任務(wù)2：系統(tǒng)基礎(chǔ)環(huán)境準(zhǔn)備 36
2.4 項(xiàng)目2：主機(jī)和網(wǎng)絡(luò)安全評(píng)估工具準(zhǔn)備 40
2.4.1 任務(wù)1：網(wǎng)絡(luò)協(xié)議評(píng)估工具配置及調(diào)試 40
2.4.2 任務(wù)2：Web評(píng)估工具配置及調(diào)試 45
2.4.3 任務(wù)3：PHP代碼評(píng)估工具配置及調(diào)試 52
2.5 小結(jié) 57
2.6 習(xí)題 58
第3章　主機(jī)及網(wǎng)絡(luò)系統(tǒng)安全評(píng)估實(shí)踐 59
3.1 主機(jī)及網(wǎng)絡(luò)系統(tǒng)安全評(píng)估基礎(chǔ) 60
3.1.1 網(wǎng)絡(luò)協(xié)議安全評(píng)估基礎(chǔ) 60
3.1.2 主機(jī)系統(tǒng)安全評(píng)估基礎(chǔ) 65
3.1.3 中間件安全評(píng)估基礎(chǔ) 66
3.2 項(xiàng)目1：網(wǎng)絡(luò)協(xié)議安全評(píng)估實(shí)施 68
3.2.1 任務(wù)1：網(wǎng)絡(luò)故障優(yōu)化協(xié)議安全評(píng)估 69
3.2.2 任務(wù)2：拒絕服務(wù)攻擊流量安全評(píng)估 72
3.2.3 任務(wù)3：惡意代碼攻擊流量安全評(píng)估 74
3.3 項(xiàng)目2：主機(jī)系統(tǒng)安全評(píng)估實(shí)施 76
3.3.1 任務(wù)1：Linux主機(jī)系統(tǒng)安全配置核查 76
3.3.2 任務(wù)2：Linux主機(jī)系統(tǒng)安全加固 86
3.4 項(xiàng)目3：中間件安全評(píng)估實(shí)施 92
3.4.1 任務(wù)1：Tomcat任意文件上傳漏洞安全評(píng)估與驗(yàn)證 93
3.4.2 任務(wù)2：FastCGI任意命令執(zhí)行漏洞安全評(píng)估與驗(yàn)證 98
3.4.3 任務(wù)3：PHP-CGI任意命令執(zhí)行漏洞安全評(píng)估與驗(yàn)證 108
3.4.4 任務(wù)4：Nginx目錄穿越漏洞安全評(píng)估與驗(yàn)證 110
3.5 小結(jié) 113
3.6 習(xí)題 113
3.6.1　實(shí)操題 113
3.6.2　思考題 113
第4章　Web系統(tǒng)安全評(píng)估實(shí)踐 114
4.1　Web系統(tǒng)安全評(píng)估基礎(chǔ) 115
4.1.1 Web系統(tǒng)基礎(chǔ)知識(shí) 115
4.1.2 Web系統(tǒng)安全評(píng)估 123
4.1.3 任務(wù)：Web系統(tǒng)安全評(píng)估目標(biāo)環(huán)境搭建 124
4.2 項(xiàng)目1：Web站點(diǎn)信息探測(cè) 130
4.2.1 信息收集定義和分類 130
4.2.2 任務(wù)1：存活主機(jī)探測(cè)和端口掃描 132
4.2.3 任務(wù)2：Web站點(diǎn)基本信息收集 135
4.2.4 任務(wù)3：Web站點(diǎn)WAF識(shí)別 137
4.2.5 任務(wù)4：Web站點(diǎn)目錄掃描 138
4.3 項(xiàng)目2：Web系統(tǒng)SQL注入漏洞安全評(píng)估 141
4.3.1 SQL注入漏洞安全評(píng)估概述 141
4.3.2 任務(wù)1：SQL注入漏洞安全評(píng)估 143
4.3.3 任務(wù)2：Union注入漏洞安全評(píng)估 148
4.3.4 任務(wù)3：SQL盲注漏洞安全評(píng)估 154
4.3.5 任務(wù)4：HTTP文件頭注入漏洞安全評(píng)估 158
4.3.6 任務(wù)5：Cookie注入漏洞安全評(píng)估 161
4.3.7 任務(wù)6：二次注入漏洞安全評(píng)估 164
4.4 項(xiàng)目3：Web系統(tǒng)XSS漏洞安全評(píng)估 166
4.4.1 XSS漏洞安全評(píng)估概述 166
4.4.2 任務(wù)：XSS漏洞安全評(píng)估實(shí)施 168
4.5 項(xiàng)目4：Web系統(tǒng)其他漏洞安全評(píng)估 175
4.5.1 任務(wù)1：CSRF漏洞安全評(píng)估 175
4.5.2 任務(wù)2：SSRF漏洞安全評(píng)估 178
4.5.3 任務(wù)3：邏輯漏洞安全評(píng)估 182
4.5.4 任務(wù)4：文件上傳漏洞安全評(píng)估 186
4.5.5 任務(wù)5：文件包含漏洞安全評(píng)估 189
4.5.6 任務(wù)6：命令執(zhí)行漏洞安全評(píng)估 194
4.6 小結(jié) 196
4.7 習(xí)題 196
4.7.1 簡(jiǎn)答題 196
4.7.2 實(shí)操題 196
第5章　軟件代碼安全評(píng)估實(shí)踐 197
5.1　軟件代碼安全評(píng)估基礎(chǔ) 198
5.1.1　軟件代碼安全評(píng)估概述 198
5.1.2　軟件代碼安全評(píng)估流程 198
5.1.3　PHP基礎(chǔ)知識(shí) 201
5.2　項(xiàng)目：PHP代碼安全評(píng)估實(shí)施 205
5.2.1　任務(wù)1：PHP代碼安全評(píng)估 205
5.2.2　任務(wù)2：軟件代碼安全評(píng)估工作報(bào)告 224
5.3　小結(jié) 227
5.4　習(xí)題 227
5.4.1　實(shí)操題 227
5.4.2　思考題 227
第6章　企業(yè)網(wǎng)絡(luò)安全建設(shè)實(shí)踐 228
6.1　企業(yè)安全建設(shè)基礎(chǔ) 228
6.1.1　等級(jí)保護(hù)基本要求 229
6.1.2　網(wǎng)絡(luò)安全設(shè)備 232
6.2　項(xiàng)目1：安全區(qū)域邊界搭建 235
6.2.1　任務(wù)1：防火墻部署與管理 236
6.2.2　任務(wù)2：VPN部署與管理 239
6.2.3　任務(wù)3：WAF部署與管理 249
6.3　項(xiàng)目2：安全管理中心搭建 253
6.3.1　任務(wù)1：堡壘機(jī)部署與管理 253
6.3.2　任務(wù)2：終端管理系統(tǒng)部署與管理 256
6.4　小結(jié) 262
6.5　習(xí)題 263
6.5.1　簡(jiǎn)答題 263
6.5.2　實(shí)操題 263
附錄 網(wǎng)絡(luò)安全評(píng)估工具列表 264
參考資料 267