《网络空间**技术》力图从系统设计、产品代码、软件测试与运营维护多个角度全方位介绍网络空间**的产品体系。《网络空间**技术》介绍了网络空间**中的各种技术原理、常见**攻击及正确防护方法。不仅介绍了国内外在网络空间**领域的法律法规,还介绍了人工智能、大数据、云计算和物联网等技术发展对网络空间**的影响。 《网络空间**技术》各章不仅介绍了经典攻击案例供读者练习,还有国内外已经发生的同类**漏洞披露,让读者体会到网络空间**就在身边。《网络空间**技术》同时配有扩展训练习题,指导读者进行深入学习。 《网络空间**技术》既可作为高等院校计算机类、信息类、电子商务类、工程和管理类专业网络**相关课程的教材,也可作为软件开发工程师、软件测试工程师、信息**工程师和信息**架构师等相关专业人员的参考书籍或培训指导书籍。

前言 **篇 安 全 技 术 第1章 网络空间**技术1 1.1 网络空间**1 1.1.1 网络空间**提出的背景1 1.1.2 网络空间**的研究领域2 1.2 技术发展3 1.2.1 国际视野看网络空间**发展3 1.2.2 网络空间**技术发展态势4 1.3 世界各国网络空间**战略分析6 1.3.1 世界各国网络**战略简要分析6 1.3.2 我国网络**战略基本内容7 1.4 世界各国网络空间**政策 法规12 1.4.1 美国12 1.4.2 欧盟13 1.4.3 德国14 1.4.4 英国14 1.4.5 中国14 1.4.6 其他**15 1.5 新形势下的网络空间**15 1.5.1 人工智能与网络空间**15 1.5.2 大数据与网络空间**16 1.5.3 云计算与网络空间**16 1.5.4 物联网与网络空间**17 1.6 习题18 第2章 Web技术19 2.1 HTML技术19 2.2 JavaScript技术20 2.3 CSS技术21 2.4 jQuery技术22 2.5 HTML5技术23 2.6 AngularJS技术25 2.7 Bootstrap技术25 2.8 近期Web技术相关**漏洞披露26 2.9 习题27 第3章 服务器技术28 3.1 服务器操作系统28 3.1.1 Windows Server28 3.1.2 NetWare29 3.1.3 UNIX30 3.1.4 Linux31 3.2 三个开源Linux操作系统31 3.2.1 CentOS32 3.2.2 Ubuntu33 3.2.3 Debian33 3.3 六大Web服务器34 3.3.1 Apache HTTP Server34 3.3.2 IIS36 3.3.3 GFE37 3.3.4 Nginx37 3.3.5 Lighttpd39 3.3.6 Tomcat39 3.4 Web服务器技术41 3.4.1 PHP41 3.4.2 JSP43 3.4.3 ASP/ASP.NET43 3.4.4 CGI44 3.4.5 Servlet44 3.5 近期服务器相关漏洞披露46 3.6 习题46 第4章 数据库技术47 4.1 数据库相关知识47 4.1.1 数据库基础知识47 4.1.2 数据库典型攻击方法48 4.2 常见数据库系统49 4.2.1 Oracle49 4.2.2 DB251 4.2.3 SQL Server52 4.2.4 MySQL53 4.2.5 PostgreSQL54 4.2.6 SQLite55 4.3 数据库技术新动态56 4.3.1 键值对存储Redis56 4.3.2 列存储Hbase57 4.3.3 文档数据库存储MongoDB58 4.4 近期数据库攻击披露59 4.5 习题60 第5章 身份认证技术61 5.1 身份认证相关概念61 5.1.1 静态密码61 5.1.2 智能卡61 5.1.3 短信密码62 5.1.4 动态口令62 5.1.5 数字签名62 5.1.6 生物识别63 5.2 Web常见5种认证方式63 5.2.1 HTTP Basic Auth63 5.2.2 OAuth263 5.2.3 Cookie-Session Auth64 5.2.4 Token Auth64 5.2.5 JWT65 5.3 服务器与客户端常见认证方式65 5.4 REST API常见认证方式66 5.4.1 HTTP Digest66 5.4.2 API KEY67 5.4.3 OAuth267 5.4.4 HMAC68 5.5 近期身份认证攻击披露68 5.6 习题69 第6章 编码与加解密技术70 6.1 编码技术70 6.1.1 字符编码70 6.1.2 图像编码71 6.1.3 音频编码72 6.1.4 视频编码73 6.1.5 Web编码73 6.2 加解密技术75 6.2.1 对称加密75 6.2.2 非对称加密77 6.3 散列技术78 6.3.1 MD579 6.3.2 HMAC79 6.3.3 SHA80 6.4 加解密与散列攻击技术80 6.4.1 字典攻击81 6.4.2 彩虹表碰撞81 6.5 近期加密算法攻击披露81 6.6 习题82 第7章 计算机网络技术83 7.1 计算机网络83 7.1.1 计算机网络发展83 7.1.2 OSI七层网络模型84 7.1.3 TCP/IP协议簇85 7.1.4 TCP三次握手86 7.1.5 TCP四次挥手87 7.1.6 SYN Flood洪泛攻击87 7.1.7 Socket88 7.2 HTTP/HTTPS/SSL/TLS/Heartbleed 协议88 7.2.1 HTTP/HTTPS88 7.2.2 SSL/TLS89 7.2.3 Heartbleed心血漏洞90 7.3 TCP/UDP91 7.3.1 TCP91 7.3.2 UDP91 7.4 语音传输协议92 7.4.1 VOIP92 7.4.2 RTP/RTCP93 7.4.3 SRTP93 7.5 视频传输协议94 7.5.1 RTMP94 7.5.2 RTSP94 7.5.3 HLS95 7.5.4 SRT95 7.5.5 NDI96 7.6 近期网络攻击披露96 7.7 习题97 第二篇 安 全 攻 击 第8章 注入攻击98 8.1 SQL注入攻击98 8.1.1 SQL注入攻击方法98 8.1.2 SQL注入攻击防护方法99 8.2 HTML注入攻击100 8.2.1 HTML注入攻击方法101 8.2.2 HTML注入攻击防护方法101 8.3 CRLF注入攻击101 8.3.1 CRLF注入攻击方法101 8.3.2 CRLF注入攻击防护方法102 8.4 XPath注入攻击102 8.4.1 XPath注入攻击方法102 8.4.2 XPath注入攻击防护方法103 8.5 Template注入攻击103 8.5.1 Template注入攻击方法104 8.5.2 Template注入攻击防护方法104 8.6 实例:Testfire网站存在SQL 注入攻击风险104 8.7 近期注入攻击披露105 8.8 习题106 第9章 XSS与XXE攻击107 9.1 XSS攻击107 9.1.1 XSS攻击方法107 9.1.2 XSS攻击防护方法108 9.1.3 富文本的XSS攻击方法109 9.1.4 富文本的XSS攻击防护方法109 9.2 XXE攻击111 9.2.1 XXE攻击方法111 9.2.2 XXE攻击防护方法111 9.3 实例:Webscantest网站存在 XSS攻击危险111 9.4 近期XSS与XXE攻击披露112 9.5 习题113 第10章 认证与授权攻击114 10.1 认证与授权攻击与防护114 10.1.1 认证与授权攻击方法114 10.1.2 认证与授权攻击防护方法115 10.1.3 认证与授权总体防护思想116 10.1.4 常见授权类型118 10.1.5 认证与授权*佳实践118 10.2 实例:CTF Postbook用户A 能修改用户B数据119 10.3 近期认证与授权攻击披露120 10.4 习题121 第11章 开放重定向与IFrame钓鱼 攻击122 11.1 开放重定向攻击122 11.1.1 开放重定向攻击方法122 11.1.2 开放重定向攻击防护方法123 11.2 IFrame框架钓鱼攻击124 11.2.1 IFrame框架钓鱼攻击方法124 11.2.2 IFrame框架钓鱼攻击防护方法125 11.3 实例:Testasp网站未经认证的 跳转125 11.4 近期开放重定向与IFrame框架 钓鱼攻击披露126 11.5 习题127 第12章 CSRF/SSRF与RCE攻击128 12.1 CSRF攻击128 12.1.1 CSRF攻击方法128 12.1.2 CSRF攻击防护方法130 12.2 SSRF攻击131 12.2.1 SSRF攻击方法131 12.2.2 SSRF攻击防护方法132 12.3 RCE攻击133 12.3.1 RCE攻击方法133 12.3.2 RCE攻击防护方法133 12.4 实例:新浪微博存在CSRF攻击 漏洞135 12.5 近期CSRF/SSRF与RCE攻击 披露135 12.6 习题136 第13章 不**配置与路径遍历攻击137 13.1 不**配置攻击137 13.1.1 不**配置攻击方法137 13.1.2 不**配置攻击防护方法137 13.2 路径遍历攻击139 13.2.1 路径遍历攻击方法139 13.2.2 路径遍历攻击常见变种139 13.2.3 路径遍历攻击防护方法140 13.3 实例:Testphp网站目录列表 暴露141 13.4 近期不**配置与路径遍历攻击 披露141 13.5 习题142 第14章 不**的直接对象引用与应用 层逻辑漏洞攻击143 14.1 不**的直接对象引用攻击143 14.1.1 不**的直接对象引用攻击方法143 14.1.2 不**的直接对象引用攻击防护 方法144 14.2 应用层逻辑漏洞攻击144 14.2.1 应用层逻辑漏洞攻击方法145 14.2.2 应用层逻辑漏洞攻击防护方法146 14.3 实例:Testphp网站数据库结构 泄露147 14.4 近期不**的直接对象引用与 应用层逻辑漏洞攻击披露148 14.5 习题149 第15章 客户端绕行与文件上传攻击150 15.1 客户端绕行攻击150 15.1.1 客户端绕行攻击方法150 15.1.2 客户端绕行攻击防护方法151 15.2 文件上传攻击152 15.2.1 文件上传攻击方法153 15.2.2 文件上传攻击防护方法153 15.3 实例:Oricity网站JS前端控制 被绕行攻击156 15.4 近期客户端绕行与文件上传攻击 披露157 15.5 习题157 第16章 弱/不**的加密算法与暴力 破解攻击158 16.1 弱/不**的加密算法攻击158 16.1.1 弱/不**的加密算法攻击方法158 16.1.2 弱/不**的加密算法攻击防护 方法158 16.2 暴力破解攻击159 16.2.1 暴力破解攻击方法160 16.2.2 暴力破解攻击防护方法161 16.3 实例:CTF Postbook删除论坛文章 不**加密算法攻击164 16.4 近期弱/不**加密算法与暴力 破解攻击披露165 16.5 习题166 第17章 HTTP参数污染/篡改与缓存 溢出攻击167 17.1 HTTP参数污染攻击167 17.1.1 HTTP参数污染攻击方法167 17.1.2 HTTP参数污染攻击防护方法168 17.2 HTTP参数篡改攻击168 17.2.1 HTTP参数篡改攻击方法168 17.2.2 HTTP参数篡改攻击防护方法168 17.3 缓存溢出攻击169 17.3.1 缓存溢出攻击方法169 17.3.2 缓存溢出攻击防护方法170 17.4 实例:CTF Cody's First Blog 网站admin篡改绕行171 17.5 近期HTTP 参数污染/篡改与缓存 溢出攻击披露172 17.6 习题173 第三篇 安 全 防 护 第18章 **防护策略变迁174 18.1 网络边界防护174 18.1.1 提出原因与常见攻击174 18.1.2 **理念175 18.1.3 防护技术175 18.1.4 保护网络边界**的设备176 18.2 纵深防御178 18.2.1 提出原因178 18.2.2 **理念178 18.2.3 防护技术179 18.3 连续监测179 18.3.1 提出原因180 18.3.2 **理念180 18.3.3 防护技术180 18.4 主动防御181 18.4.1 网络空间防御现状181 18.4.2 提出原因181 18.4.3 国内外应对措施181 18.4.4 **理念183 18.4.5 核心技术183 18.5 习题184 第19章 **开发生命周期(SDL)185 19.1 SDL**开发流程概述185 19.1.1 微软SDL185 19.1.2 思科SDL188 19.2 **设计189 19.2.1 总体框架190 19.2.2 输入有效性验证190 19.2.3 身份验证与授权191 19.2.4 Session管理192 19.2.5 监控与审计193 19.2.6 HTTP Header**194 19.3 **基准线195 19.4 威胁建模195 19.5 第三方库**195 19.6 代码**与静态扫描SAST196 19.7 应用**与动态扫描DAST197 19.8 交互式应用**测试IAST198 19.9 渗透攻击测试Pen Test199 19.10 习题200 第20章 网络空间**新动向201 20.1 人工智能与网络空间**201 20.1.1 人工智能技术的发展201 20.1.2 人工智能时代网络空间**的 发展202 20.1.3 人工智能在网络空间**领域的 应用203 20.1.4 人工智能应用于网络系统**203 20.1.5 人工智能应用于网络内容**204 20.2 大数据与网络空间**204 20.2.1 大数据背景与发展前景204 20.2.2