项目一 Web 安全基础 1__eol__1.1 任务一：Web 技术的发展历程 . 2__eol__1.1.1 Web 1.0 . 3__eol__1.1.2 Web 2.0 . 3__eol__1.1.3 Web 3.0 .. 4__eol__1.2 任务二：Web 安全的核心问题 . 4__eol__1.3 任务三：HTTP 及安全性 . 6__eol__1.3.1 HTTP 概述 .. 6__eol__1.3.2 HTTPS 的安全性分析 11__eol__1.4 任务四：Web 应用中的编码与加密 15__eol__1.4.1 字符编码 16__eol__1.4.2 传输过程的编码 .. 17__eol__1.4.3 Web 系统中的加密方法 .. 19__eol__项目二 安全的登录认证 . 21__eol__2.1 任务一：登录认证功能实现 22__eol__2.1.1 了解登录认证 22__eol__2.1.2 创建登录页面 23__eol__2.1.3 判断登录状态 24__eol__2.1.4 增加验证码 .. 26__eol__2.2 任务二：登录认证漏洞形成原理 . 29__eol__2.2.1 登录认证漏洞的概念 29__eol__2.2.2 登录认证漏洞的分类 29__eol__2.2.3 登录认证漏洞的危害 30__eol__2.3 任务三：登录认证漏洞的检测与验证 .. 30__eol__2.3.1 验证码重放漏洞 .. 30__eol__2.3.2 用户名探测漏洞 .. 36__eol__2.3.3 弱密码漏洞 .. 41__eol__2.4 任务四：登录认证漏洞的修复与防范 .. 43__eol__2.4.1 验证码重放漏洞的修复 .. 43__eol__2.4.2 用户名探测漏洞的修复 .. 50__eol__2.4.3 弱密码漏洞的修复 . 54__eol__项目三 安全的数据库交互 59__eol__3.1 任务一：利用数据库实现动态网页 60__eol__3.1.1 了解数据库 .. 60__eol__3.1.2 使用数据库存储用户的身份信息 . 62__eol__3.1.3 使用数据库存储文章 64__eol__3.1.4 实现文章搜索功能 . 65__eol__3.2 任务二：SQL 注入漏洞的形成原理 66__eol__3.2.1 SQL 注入漏洞的概念 66__eol__3.2.2 SQL 注入漏洞的分类 67__eol__3.2.3 SQL 注入漏洞的危害 67__eol__3.3 任务三：SQL 注入漏洞的检测与验证 .. 68__eol__3.3.1 绕过后台登录漏洞（字符型注入漏洞） . 68__eol__3.3.2 文章页面注入漏洞（数字型注入漏洞） . 72__eol__3.3.3 搜索框注入漏洞 .. 74__eol__3.3.4 SQL 注入漏洞的进阶技巧. 76__eol__3.4 任务四：SQL 注入漏洞的修复与防范 .. 78__eol__3.4.1 参数化查询 .. 78__eol__3.4.2 绕过后台登录漏洞的修复（字符型注入漏洞的修复） . 79__eol__3.4.3 文章页面注入漏洞的修复（数字型注入漏洞的修复） . 81__eol__3.4.4 搜索框注入漏洞的修复（搜索框注入漏洞的修复） .. 84__eol__项目四 安全的用户输入 . 88__eol__4.1 任务一：博客系统相关功能实现 . 89__eol__4.1.1 文章发布相关功能实现 .. 89__eol__4.1.2 评论功能实现 95 __eol__4.2 任务二：跨站脚本攻击的原理 .. 99__eol__4.2.1 反射型 XSS 攻击 . 99__eol__4.2.2 存储型 XSS 攻击 . 99__eol__4.2.3 DOM 型 XSS 攻击 100__eol__4.3 任务三：跨站脚本漏洞检测与验证 . 100__eol__4.3.1 检测跨站脚本漏洞 .. 101__eol__4.3.2 验证跨站脚本漏洞 .. 102__eol__4.4 任务四：跨站脚本漏洞的修复与防范 105__eol__4.4.1 对用户输入进行处理 . 105__eol__4.4.2 使用内容安全策略 .. 106__eol__4.4.3 使用安全 Cookie 106__eol__项目五 安全的个人信息修改. 108__eol__5.1 任务一：博客系统的功能实现 109__eol__5.1.1 创建表单 . 109__eol__5.1.2 处理表单提交 . 109__eol__5.2 任务二：跨站请求伪造攻击的原理 ..110__eol__5.2.1 CSRF 攻击的步骤 .111__eol__5.2.2 CSRF 攻击的特点 .111__eol__5.3 任务三：跨站请求伪造漏洞检测与验证 111__eol__5.4 任务四：跨站请求伪造漏洞修复与防范 113__eol__5.4.1 同源检测 ..114__eol__5.4.2 Samesite Cookie 和 CSRTToken.114__eol__5.4.3 特定情况下的必要验证 .116__eol__项目六 安全的文件上传 .. 118__eol__6.1 任务一：构造简单的文件上传 .119__eol__6.1.1 什么是文件上传 .119__eol__6.1.2 简单的文件上传 120__eol__6.1.3 上传文件的方式 121__eol__6.1.4 文件上传数据的存储 . 122__eol__6.1.5 文件上传的三个阶段 . 123__eol__6.2 任务二：文件上传漏洞 124__eol__6.2.1 文件上传漏洞的原理 . 124__eol__6.2.2 文件上传漏洞的危害 . 126 __eol__6.3 任务三：文件上传漏洞的类型 131__eol__6.3.1 文件类型绕过漏洞 .. 131__eol__6.3.2 文件名绕过漏洞 132__eol__6.3.3 目录遍历漏洞 . 133__eol__6.3.4 二进制文件上传漏洞 . 134__eol__6.3.5 非常规后缀名漏洞 .. 135__eol__6.3.6 内容欺骗漏洞 . 137__eol__6.3.7 Web 服务器的负载均衡 138__eol__6.4 任务四：文件上传漏洞的检测与验证 139__eol__6.4.1 攻击业务流程 . 139__eol__6.4.2 文件上传漏洞的检测流程 .. 140__eol__6.4.3 文件上传漏洞的验证流程 .. 142__eol__6.5 任务五：文件上传漏洞的修复与防范 145__eol__项目七 安全的文件包含 .. 149__eol__7.1 任务一：构造简单的文件包含 150__eol__7.1.1 什么是文件包含 150__eol__7.1.2 简单的文件包含 151__eol__7.1.3 文件包含的业务流程 . 152__eol__7.2 任务二：文件包含漏洞的原理 153__eol__7.2.1 什么是文件包含漏洞 . 153__eol__7.2.2 文件包含漏洞的类型 . 154__eol__7.3 任务三：文件包含漏洞的检测与验证 154__eol__7.3.1 文件包含漏洞的检测流程 .. 154__eol__7.3.2 文件包含漏洞的验证流程 .. 155__eol__7.4 任务四：文件包含漏洞的修复与防范 159__eol__项目八 安全的应用发布 .. 162__eol__8.1 任务一：生产环境搭建 163__eol__8.1.1 LAMP 环境的快速搭建 163__eol__8.1.2 部署博客管理系统 .. 178__eol__8.2 任务二：Apache 安全配置 . 184__eol__8.2.1 禁止目录浏览 . 184__eol__8.2.2 隐藏服务器的头部信息 185__eol__8.2.3 配置网站脚本的解析规则 .. 187 __eol__8.2.4 自定义错误页面 189__eol__8.3 任务三：PHP 安全配置 190__eol__8.3.1 关闭调试模式 . 190__eol__8.3.2 配置 PHP 参数 192__eol__8.4 任务四：MySQL 安全配置 194__eol__8.4.1 配置 MySQL 参数 194__eol__8.4.2 数据库用户降权 195__eol__8.4.3 数据库访问控制 195__eol__项目九 安全的 Web 防护体系建设. 197__eol__9.1 任务一：确定安全设计和编码原则 . 198__eol__9.1.1 Web 应用安全设计原则 198__eol__9.1.2 Web 应用安全编码原则 204__eol__9.2 任务二：建立基本的安全框架 .211__eol__9.2.1 处理用户交互权限 211__eol__9.2.2 处理用户输入参数 .. 212__eol__9.2.3 确认用户应用边界 .. 213__eol__9.2.4 处理流程规范化 213__eol__9.3 任务三：实施安全的开发流程 214__eol__9.3.1 SDL 简介 . 214__eol__9.3.2 SDL 实战经验. 217__eol__9.4 任务