Web基础渗透与防护（第2版）.pptxVIP

教材简介与序言;教材简介;教材简介;序言;序言;项目一认识WEB安全基础;1.1当前WEB安全形势;1.1当前WEB安全形势;1.1当前WEB安全形势;1.1当前WEB安全形势;1.1当前WEB安全形势;1.1当前WEB安全形势;1.1当前WEB安全形势;1.1当前WEB安全形势;1.1当前WEB安全形势;1.1当前WEB安全形势;1.1当前WEB安全形势;1.1当前WEB安全形势;1.1当前WEB安全形势;1.1当前WEB安全形势;1.1当前WEB安全形势;1.1当前WEB安全形势;1.2WEB安全防护技术;1.2WEB安全防护技术;1.2WEB安全防护技术;1.2WEB安全防护技术;1.2WEB安全防护技术;1.2WEB安全防护技术;1.2WEB安全防护技术;1.2WEB安全防护技术;1.2WEB安全防护技术;1.2WEB安全防护技术;1.2WEB安全防护技术;1.2WEB安全防护技术;1.2WEB安全防护技术;1.2WEB安全防护技术;1.2WEB安全防护技术;1.2WEB安全防护技术;1.3Web?安全发展趋势;1.3Web?安全发展趋势;1.3Web?安全发展趋势;1.3Web?安全发展趋势;1.3Web?安全发展趋势;1.3Web?安全发展趋势;项目二熟悉信息安全法律法规;自党的十八大以来，习近平在我国信息安全方面做了重要的指示，“我国互联网发展和治理不断开创新局面，网络空间日渐清朗，信息化成果惠及亿万群众，网络安全保障能力不断增强，网络空间命运共同体主张获得国际社会广泛认同”。

网络安全是一把双刃剑，在掌握网络安全方法的同时，也掌握了网络安全破坏性的方法，因此从事网络安全的人员需要熟悉相应的法律法规，从而约束自己的行为，设置自己的底线，不要因为一些小利而后悔终生。

;2.1信息安全法律法规;2.1信息安全法律法规;2.1信息安全法律法规;2.1信息安全法律法规;2.1信息安全法律法规;2.1信息安全法律法规;2.2案例分析;2.2案例分析;2.2案例分析;2.2案例分析;2.2案例分析;2.2案例分析;2.2案例分析;项目三命令注入攻击与防御;项目描述;项目分析;项目分析;项目分析;项目相关知识点;项目相关知识点;项目相关知识点;项目相关知识点;项目相关知识点;项目相关知识点;项目相关知识点;项目相关知识点;项目相关知识点;项目相关知识点;项目相关知识点;项目相关知识点;项目相关知识点;项目训练;项目训练;项目训练;项目训练;项目训练;项目训练;项目训练;项目训练;项目训练;项目训练;项目训练;项目训练;项目训练;项目训练;项目训练;项目训练;项目训练;项目训练;项目训练;项目训练;项目训练;项目训练;项目训练;项目训练;项目训练;项目训练;项目训练;项目训练;项目训练;项目训练;项目训练;项目训练;项目训练;项目训练;项目训练;项目训练;项目训练;项目训练;项目训练;项目训练;项目训练;项目训练;项目小结;项目小结;实训任务;实训任务;实训任务;项目四文件上传攻击与防御;项目4文件上传攻击与防御

;在项目描述中，攻击者向服务器上传恶意文件，以达到在服务器中执行恶意文件的目的，进而达到恶意攻击服务器甚至控制服务器的目的。针对上述情况，本项目的任务布置如下所?示。;;1、文件上传漏洞

（1）文件上传漏洞简介

如果程序里面有这种漏洞那么恶意攻击者可以直接向程序所在服务器上传一个webshell(又称ASP木马、PHP木马等，即利用服务器端的文件操作语句写成的动态网页，可以用来编辑服务器上的文件)，从而控制整个网站或者是服务器。

一般对于上传漏洞的概念定义如下：由于程序员在对用户文件上传部分的控制不足或者处理缺陷，而导致的用户可以越过其本身权限向服务器上传可执行的动态脚本文件。例如，如果使用windows服务器并且以asp作为服务器端的动态网站环境，那么在网站的上传功能处，就一定不能让用户上传asp类型的文件，否则他上传一个webshell，服务器上的文件就可以被他任意更改了。

相对于跨站漏洞，上传漏洞对于网站的危害是致命的，那么上传漏洞是如何产生的呢。在WEB中进行文件上传的原理是通过将表单设为multipart/form-data，同时加入文件域，而后通过HTTP协议将文件内容发送到服务器，服务器端读取这个分段(multipart)的数据信息，并将其中的文件内容提取出来并保存。通常，在进行文件保存的时候，服务器端会读取文件的原始文件名，并从这个原始文件名中