網絡安全評估（中級）

《網路安全評估（中級）》是“1+X”網路安全評估（中級）職業技能等級認證官方 教材。全書共6章，包括網路安全導論、網路安全評估準備工作、主機及網路系統安全評估實踐、Web系統安全評估實踐、軟件代碼安全評估實踐、企業網路安全建設實踐。《網路安全評估（中級）》可用於“1+X”證書制度試點工作中的網路安全評估職業技能等級認證的教學和培訓，也適合用作應用型本科、職業院校、技師院校的教材，同時也適合用作從事網路安全評估、網路安全技術開發、網路安全管理和維護、網路安全系統集成等工作的技術人員的參考書。

第1章　網路安全導論 1
1.1 網路安全概述 2
1.1.1 網路安全基礎 2
1.1.2 網路安全體系 4
1.1.3 網路安全事件分析 5
1.2 網路安全法律法規 7
1.2.1 網路安全觀念與意識 7
1.2.2 外法律法規介紹 8
1.2.3 網路安全等級保護制度 10
1.3 小結 12
1.4 習題 13

第2章　網路安全評估準備工作 14
2.1 網路安全評估基礎 15
2.1.1 網路安全評估概述 15
2.1.2 安全評估報告 19
2.2 工作環境和工具介紹 21
2.2.1 虛擬機器環境 21
2.2.2 網路通訊協定評估工具介紹 22
2.2.3 Web安全評估工具介紹 23
2.2.4 PHP代碼評估工具介紹 23
2.3 項目1：網路安全評估工作環境搭建 29
2.3.1 任務1：虛擬機器安裝和配置 29
2.3.2 任務2：系統基礎環境準備 36
2.4 項目2：主機和網路安全評估工具準備 40
2.4.1 任務1：網路通訊協定評估工具配置及調試 40
2.4.2 任務2：Web評估工具配置及調試 45
2.4.3 任務3：PHP代碼評估工具配置及調試 52
2.5 小結 57
2.6 習題 58

第3章　主機及網路系統安全評估實踐 59
3.1 主機及網路系統安全評估基礎 60
3.1.1 網路通訊協定安全評估基礎 60
3.1.2 主機系統安全評估基礎 65
3.1.3 中介軟體安全評估基礎 66
3.2 項目1：網路通訊協定安全評估實施 68
3.2.1 任務1：網路故障優化協定安全評估 69
3.2.2 任務2：拒 服務攻擊流量安全評估 72
3.2.3 任務3：惡意程式碼攻擊流量安全評估 74
3.3 項目2：主機系統安全評估實施 76
3.3.1 任務1：Linux主機系統安全配置核查 76
3.3.2 任務2：Linux主機系統安全加固 86
3.4 項目3：中介軟體安全評估實施 92
3.4.1 任務1：Tomcat任意檔上傳漏洞安全評估與驗證 93
3.4.2 任務2：FastCGI任意命令執行漏洞安全評估與驗證 98
3.4.3 任務3：PHP-CGI任意命令執行漏洞安全評估與驗證 108
3.4.4 任務4：Nginx目錄穿越漏洞安全評估與驗證 110
3.5 小結 113
3.6 習題 113
3.6.1　實操題 113
3.6.2　思考題 113

第4章　Web系統安全評估實踐 114
4.1　Web系統安全評估基礎 115
4.1.1 Web系統基礎知識 115
4.1.2 Web系統安全評估 123
4.1.3 任務：Web系統安全評估目標環境搭建 124
4.2 項目1：Web網站資訊探測 130
4.2.1 資訊收集定義和分類 130
4.2.2 任務1：存活主機探測和埠掃描 132
4.2.3 任務2：Web網站基本資訊收集 135
4.2.4 任務3：Web網站WAF識別 137
4.2.5 任務4：Web網站目錄掃描 138
4.3 項目2：Web系統SQL注入漏洞安全評估 141
4.3.1 SQL注入漏洞安全評估概述 141
4.3.2 任務1：SQL注入漏洞安全評估 143
4.3.3 任務2：Union注入漏洞安全評估 148
4.3.4 任務3：SQL盲注漏洞安全評估 154
4.3.5 任務4：HTTP檔頭注入漏洞安全評估 158
4.3.6 任務5：Cookie注入漏洞安全評估 161
4.3.7 任務6：二次注入漏洞安全評估 164
4.4 項目3：Web系統XSS漏洞安全評估 166
4.4.1 XSS漏洞安全評估概述 166
4.4.2 任務：XSS漏洞安全評估實施 168
4.5 項目4：Web系統其他漏洞安全評估 175
4.5.1 任務1：CSRF漏洞安全評估 175
4.5.2 任務2：SSRF漏洞安全評估 178
4.5.3 任務3：邏輯漏洞安全評估 182
4.5.4 任務4：檔上傳漏洞安全評估 186
4.5.5 任務5：檔包含漏洞安全評估 189
4.5.6 任務6：命令執行漏洞安全評估 194
4.6 小結 196
4.7 習題 196
4.7.1 簡答題 196
4.7.2 實操題 196

第5章　軟件代碼安全評估實踐 197
5.1　軟件代碼安全評估基礎 198
5.1.1　軟件代碼安全評估概述 198
5.1.2　軟件代碼安全評估流程 198
5.1.3　PHP基礎知識 201
5.2　項目：PHP代碼安全評估實施 205
5.2.1　任務1：PHP代碼安全評估 205
5.2.2　任務2：軟件代碼安全評估工作報告 224
5.3　小結 227
5.4　習題 227
5.4.1　實操題 227
5.4.2　思考題 227

第6章　企業網路安全建設實踐 228
6.1　企業安全建設基礎 228
6.1.1　等級保護基本要求 229
6.1.2　網路安全設備 232
6.2　項目1：安全區域邊界搭建 235
6.2.1　任務1：防火牆部署與管理 236
6.2.2　任務2：VPN部署與管理 239
6.2.3　任務3：WAF部署與管理 249
6.3　項目2：安全管理中心搭建 253
6.3.1　任務1：堡壘機部署與管理 253
6.3.2　任務2：終端管理系統部署與管理 256
6.4　小結 262
6.5　習題 263
6.5.1　簡答題 263
6.5.2　實操題 263

附錄 網路安全評估工具清單 264
參考資料 267

楊曄，浙江警官職業學院教師、副教授、四級調研員、省級專業建設帶頭人、資訊安全技術應用專業負責人，主要研究方向為軟件開發、軟件安全、自然語言處理、深度學習等。
 
周家豪，網路安全專家，擁有10餘年網路安全領域從業經驗，主要研究方向為網路安全人才崗位能力模型研究。
 
胡前偉，密碼學碩士，主要研究方向為企業安全管理規劃、Web安全、內網滲透、AI安全、密碼學等，曾為多家 、省級重點企業和組織提供資訊安全專項培訓。