網(wǎng)絡(luò)安全評估（中級）

第 1章　網(wǎng)絡(luò)安全導(dǎo)論 1
1.1 網(wǎng)絡(luò)安全概述 2
1.1.1 網(wǎng)絡(luò)安全基礎(chǔ) 2
1.1.2 網(wǎng)絡(luò)安全體系 4
1.1.3 網(wǎng)絡(luò)安全事件分析 5
1.2 網(wǎng)絡(luò)安全法律法規(guī) 7
1.2.1 網(wǎng)絡(luò)安全觀念與意識 7
1.2.2 國內(nèi)外法律法規(guī)介紹 8
1.2.3 網(wǎng)絡(luò)安全等級保護(hù)制度 10
1.3 小結(jié) 12
1.4 習(xí)題 13
第 2章　網(wǎng)絡(luò)安全評估準(zhǔn)備工作 14
2.1 網(wǎng)絡(luò)安全評估基礎(chǔ) 15
2.1.1 網(wǎng)絡(luò)安全評估概述 15
2.1.2 安全評估報告 19
2.2 工作環(huán)境和工具介紹 21
2.2.1 虛擬機(jī)環(huán)境 21
2.2.2 網(wǎng)絡(luò)協(xié)議評估工具介紹 22
2.2.3 Web安全評估工具介紹 23
2.2.4 PHP代碼評估工具介紹 23
2.3 項目1：網(wǎng)絡(luò)安全評估工作環(huán)境搭建 29
2.3.1 任務(wù)1：虛擬機(jī)安裝和配置 29
2.3.2 任務(wù)2：系統(tǒng)基礎(chǔ)環(huán)境準(zhǔn)備 36
2.4 項目2：主機(jī)和網(wǎng)絡(luò)安全評估工具準(zhǔn)備 40
2.4.1 任務(wù)1：網(wǎng)絡(luò)協(xié)議評估工具配置及調(diào)試 40
2.4.2 任務(wù)2：Web評估工具配置及調(diào)試 45
2.4.3 任務(wù)3：PHP代碼評估工具配置及調(diào)試 52
2.5 小結(jié) 57
2.6 習(xí)題 58
第3章　主機(jī)及網(wǎng)絡(luò)系統(tǒng)安全評估實踐 59
3.1 主機(jī)及網(wǎng)絡(luò)系統(tǒng)安全評估基礎(chǔ) 60
3.1.1 網(wǎng)絡(luò)協(xié)議安全評估基礎(chǔ) 60
3.1.2 主機(jī)系統(tǒng)安全評估基礎(chǔ) 65
3.1.3 中間件安全評估基礎(chǔ) 66
3.2 項目1：網(wǎng)絡(luò)協(xié)議安全評估實施 68
3.2.1 任務(wù)1：網(wǎng)絡(luò)故障優(yōu)化協(xié)議安全評估 69
3.2.2 任務(wù)2：拒絕服務(wù)攻擊流量安全評估 72
3.2.3 任務(wù)3：惡意代碼攻擊流量安全評估 74
3.3 項目2：主機(jī)系統(tǒng)安全評估實施 76
3.3.1 任務(wù)1：Linux主機(jī)系統(tǒng)安全配置核查 76
3.3.2 任務(wù)2：Linux主機(jī)系統(tǒng)安全加固 86
3.4 項目3：中間件安全評估實施 92
3.4.1 任務(wù)1：Tomcat任意文件上傳漏洞安全評估與驗證 93
3.4.2 任務(wù)2：FastCGI任意命令執(zhí)行漏洞安全評估與驗證 98
3.4.3 任務(wù)3：PHP-CGI任意命令執(zhí)行漏洞安全評估與驗證 108
3.4.4 任務(wù)4：Nginx目錄穿越漏洞安全評估與驗證 110
3.5 小結(jié) 113
3.6 習(xí)題 113
3.6.1　實操題 113
3.6.2　思考題 113
第4章　Web系統(tǒng)安全評估實踐 114
4.1　Web系統(tǒng)安全評估基礎(chǔ) 115
4.1.1 Web系統(tǒng)基礎(chǔ)知識 115
4.1.2 Web系統(tǒng)安全評估 123
4.1.3 任務(wù)：Web系統(tǒng)安全評估目標(biāo)環(huán)境搭建 124
4.2 項目1：Web站點信息探測 130
4.2.1 信息收集定義和分類 130
4.2.2 任務(wù)1：存活主機(jī)探測和端口掃描 132
4.2.3 任務(wù)2：Web站點基本信息收集 135
4.2.4 任務(wù)3：Web站點WAF識別 137
4.2.5 任務(wù)4：Web站點目錄掃描 138
4.3 項目2：Web系統(tǒng)SQL注入漏洞安全評估 141
4.3.1 SQL注入漏洞安全評估概述 141
4.3.2 任務(wù)1：SQL注入漏洞安全評估 143
4.3.3 任務(wù)2：Union注入漏洞安全評估 148
4.3.4 任務(wù)3：SQL盲注漏洞安全評估 154
4.3.5 任務(wù)4：HTTP文件頭注入漏洞安全評估 158
4.3.6 任務(wù)5：Cookie注入漏洞安全評估 161
4.3.7 任務(wù)6：二次注入漏洞安全評估 164
4.4 項目3：Web系統(tǒng)XSS漏洞安全評估 166
4.4.1 XSS漏洞安全評估概述 166
4.4.2 任務(wù)：XSS漏洞安全評估實施 168
4.5 項目4：Web系統(tǒng)其他漏洞安全評估 175
4.5.1 任務(wù)1：CSRF漏洞安全評估 175
4.5.2 任務(wù)2：SSRF漏洞安全評估 178
4.5.3 任務(wù)3：邏輯漏洞安全評估 182
4.5.4 任務(wù)4：文件上傳漏洞安全評估 186
4.5.5 任務(wù)5：文件包含漏洞安全評估 189
4.5.6 任務(wù)6：命令執(zhí)行漏洞安全評估 194
4.6 小結(jié) 196
4.7 習(xí)題 196
4.7.1 簡答題 196
4.7.2 實操題 196
第5章　軟件代碼安全評估實踐 197
5.1　軟件代碼安全評估基礎(chǔ) 198
5.1.1　軟件代碼安全評估概述 198
5.1.2　軟件代碼安全評估流程 198
5.1.3　PHP基礎(chǔ)知識 201
5.2　項目：PHP代碼安全評估實施 205
5.2.1　任務(wù)1：PHP代碼安全評估 205
5.2.2　任務(wù)2：軟件代碼安全評估工作報告 224
5.3　小結(jié) 227
5.4　習(xí)題 227
5.4.1　實操題 227
5.4.2　思考題 227
第6章　企業(yè)網(wǎng)絡(luò)安全建設(shè)實踐 228
6.1　企業(yè)安全建設(shè)基礎(chǔ) 228
6.1.1　等級保護(hù)基本要求 229
6.1.2　網(wǎng)絡(luò)安全設(shè)備 232
6.2　項目1：安全區(qū)域邊界搭建 235
6.2.1　任務(wù)1：防火墻部署與管理 236
6.2.2　任務(wù)2：VPN部署與管理 239
6.2.3　任務(wù)3：WAF部署與管理 249
6.3　項目2：安全管理中心搭建 253
6.3.1　任務(wù)1：堡壘機(jī)部署與管理 253
6.3.2　任務(wù)2：終端管理系統(tǒng)部署與管理 256
6.4　小結(jié) 262
6.5　習(xí)題 263
6.5.1　簡答題 263
6.5.2　實操題 263
附錄 網(wǎng)絡(luò)安全評估工具列表 264
參考資料 267