Web 滲透測試新手實操詳解

李維峰

  • 出版商: 北京大學
  • 出版日期: 2022-09-01
  • 售價: $474
  • 貴賓價: 9.5$450
  • 語言: 簡體中文
  • 頁數: 248
  • 裝訂: 平裝
  • ISBN: 7301333250
  • ISBN-13: 9787301333259
  • 相關分類: Penetration-test
  • 立即出貨

買這商品的人也買了...

商品描述

滲透測試是檢驗網絡安全的一個重要手段,但滲透測試本身又是一項極具藝術性的工作。
它涉及的知識領域很廣泛,甚至不限於計算機領域。
為了方便讀者掌握這一技術,本書全面講解了滲透測試的相關內容,包括Web滲透測試的本質——冒用身份、
Web滲透測試基礎知識、常用工具介紹、簡單Web滲透測試實驗室搭建指南、
面向服務器的滲透測試、面向客戶端的攻擊、面向通信渠道的攻擊、防禦措施與建議。
本書內容豐富,案例眾多,通俗易懂,適合網絡安全專業的學生、滲透測試工程師、黑客技術愛好者學習使用。

作者簡介

李維峰
中國飛行試驗研究院網絡信息安全高級工程師,主要研究方向為網絡安全、滲透測試,以及網絡風險評估。

目錄大綱

第1章Web滲透測試的本質——冒用身份
1.1 Web概述
1.1.1 Web的概念
1.1.2 Web簡介
1.1.3 Web的中文含義
1.1.4 Web與Web應用程序的區別
1.2 Web應用程序概述
1.2.1 Web應用程序簡介
1.2.2 Web應用程序的簡單結構
1.3 Web應用程序的組件及架構
1.3.1 Web應用程序的組件
1.3.2 Web應用程序的組件模型
1.3.3 Web應用程序的架構
1.3.4 Web應用程序架構的類型
1.3.5 Web應用程序架構的發展趨勢
1.4 Web應用程序的工作原理
1.4.1 典型的Web應用程序的工作流程
1.4.2 一個Web應用程序的工作流程示例
1.5 滲透測試簡介011新手實操詳解
1.5.1 Web應用程序滲透測試的概念
1.5.2 滲透測試階段劃分
1.5.3 滲透測試的重要性
1.6 模型的簡化
1.7 出現頻率較高的Web漏洞
1.8 漏洞的分類與抽象
1.8.1 漏洞的分類
1.8.2 抽象與總結
1.9 漏洞的重新分類
1.9.1 換個視角看漏洞
1.9.2 4種攻擊手段
第2章Web滲透測試基礎知識
2.1 簡明HTTP知識
2.1.1 基本概念
2.1.2 Apache與Tomcat
2.1.3 HTTP的請求和響應消息
2.1.4 HTTP請求方法
2.1.5 使用Cookie進行會話追踪
2.1.6 HTTP與HTML
2.2 簡明Web瀏覽器知識
2.2.1 Web瀏覽器概述
2.2.2 Web瀏覽器簡介
2.2.3 Web瀏覽器的簡單工作過程
2.2.4 使用Cookie保存信息
2.2.5 Web瀏覽器的工作原理
2.3 簡明SSL/TLS知識
2.3.1 SSL的概念
2.3.2 SSL/TLS功能簡介
2.3.3 為什麼SSL/TLS如此重要
2.3.4 SSL與TLS的關係
2.3.5 SSL是否還在更新
2.3.6 SSL證書的概念
2.3.7 SSL證書的類型
2.3.8 SSL/TLS密碼套件
第3章常用工具介紹
3.1 工具的分類
3.2 掃描類
3.2.1 Nmap
3.2.2 Nikto
3.2.3 Wapiti
3.2.4 w3af
3.2.5 Vega
3.2.6 Wget
3.2.7 HTTrack
3.2.8 WebScarab
3.2.9 SSLScan
3.2.10 Wireshark
3.3 破解類
3.3.1 JohntheRipper
3.3.2 hashcat051新手實操詳解
3.3.3 BeEF
3.3.4 SQLMap
3.3.5 THC-Hydra
3.4 綜合類
3.4.1 Firefox瀏覽器
3.4.2 Metasploit
3.4.3 BurpSuite
3.4.4 ZAP
第4章簡單Web滲透測試實驗室搭建指南
4.1 為什麼要搭建實驗室
4.1.1 新手們的擔心
4.1.2 建設原因
4.1.3 虛擬化
4.1.4 虛擬機
4.2 實驗環境中的要素
4.2.1 目標
4.2.2 從易受攻擊的目標開始
4.2.3 目標網絡升級
4.2.4 攻擊機
4.3 搭建Kali攻擊機
4.3.1 KaliLinux簡介
4.3.2 選擇KaliLinux的原因
4.3.3 安裝KaliLinux
4.4 設置攻擊機
4.4.1 安裝並運行OWASPMantra
4.4.2 設置Firefox瀏覽器
4.5 安裝與設置虛擬機
4.5.1 安裝VirtualBox
4.5.2 安裝目標機鏡像
4.5.3 安裝一台客戶端鏡像
4.5.4 設置虛擬機的通信方式
4.5.5 了解目標虛擬機
第5章面向服務器的滲透測試
5.1 偵查
5.1.1 查看源代碼
5.1.2 使用Firebug分析並改變基本行為
5.1.3 獲取和修改Cookie
5.1.4 利用robots.txt
5.1.5 利用CeWL進行密碼分析
5.1.6 利用DirBuster查找文件和文件夾
5.1.7 利用JohntheRipper生成字典
5.1.8 服務掃描與識別
5.1.9 識別Web應用程序防火牆
5.1.10 利用ZAP查詢文件和文件夾
5.2 爬取網站
5.2.1 從爬蟲結果中識別相關的文件和目錄
5.2.2 使用BurpSuite爬取網站
5.2.3 用Burp的中繼器重複請求
5.2.4 下載頁面並使用HTTrack進行離線分析
5.2.5 使用WebScarab
5.2.6 下載頁面以使用Wget進行離線分析
5.2.7 使用ZAP爬蟲
5.3 尋找漏洞
5.3.1 識別跨站腳本漏洞
5.3.2 識別基於錯誤的SQL注入
5.3.3 識別SQL盲注
5.3.4 從Cookie中識別漏洞
5.3.5 尋找文件包含漏洞
5.3.6 使用Hackbar附加組件簡化參數探測
5.3.7 使用瀏覽器插件攔截和修改請求
5.3.8 使用BurpSuite查看和更改請求
5.3.9 使用SSLScan獲取SSL和TLS信息
5.3.10 識別POODLE漏洞
5.3.11 使用ZAP查看和更改請求
5.4 基本破解
5.4.1 濫用文件包含和上傳
5.4.2 利用XML外部實體注入漏洞
5.4.3 基本的SQL注入
5.4.4 利用操作系統命令注入漏洞
5.4.5 使用Burp Suite對登錄頁面進行字典攻擊
5.4.6 使用THC-Hydra暴力破解密碼
5.4.7 使用SQLMap尋找和破解SQL注入漏洞
5.4.8 使用Metasploit獲取Tomcat的密碼
……