Web 滲透測試技術
鄭天明
- 出版商: 清華大學
- 出版日期: 2022-12-01
- 定價: $414
- 售價: 7.9 折 $327
- 語言: 簡體中文
- 頁數: 262
- ISBN: 7302622051
- ISBN-13: 9787302622055
-
相關分類:
Penetration-test
立即出貨
買這商品的人也買了...
-
代碼審計 (企業級Web代碼安全架構)$354$336 -
$403黑客秘笈 : 滲透測試實用指南, 3/e (The Hacker Playbook 3: Practical Guide To Penetration Testing) -
$653sqlmap 從入門到精通 -
$301Web 安全漏洞原理及實戰 -
Python 機器學習 (上), 3/e (Python Machine Learning: Machine Learning and Deep Learning with Python, scikit-learn, and TensorFlow, 3/e)$620$484 -
Python 滲透測試實戰$474$450 -
駭客廝殺不講武德:CTF 強者攻防大戰直擊$1,000$790 -
作業系統, 10/e (授權經銷版)(Silberschatz: Operating System Concepts, 10/e)$910$865 -
$730企業網絡安全建設最佳實踐 -
$254Web 安全漏洞及代碼審計 (微課版) -
WebSecurity 網站滲透測試:Burp Suite 完全學習指南 (iT邦幫忙鐵人賽系列書)$600$468 -
資安這條路:領航新手的 Web Security 指南,以自建漏洞環境學習網站安全(iT邦幫忙鐵人賽系列書)$680$530 -
$638網絡安全滲透測試 -
The Hacker Playbook 3 中文版:滲透測試實戰 (紅隊版)$650$507 -
$560從實踐中學習 sqlmap 數據庫註入測試 -
Web Hacking 現場指南:真實世界抓漏和獵蟲的賞金之旅 (Real-World Bug Hunting: A Field Guide to Web Hacking)$550$363 -
高並發系統實戰派:集群、Redis 緩存、海量存儲、Elasticsearch、RocketMQ、微服務、持續集成等$654$621 -
$963防火牆和VPN技術與實踐 -
$213Web 安全與防護 -
駭客就在你旁邊:內網安全攻防滲透你死我活, 2/e$880$695 -
$556腦洞大開:滲透測試另類實戰攻略 -
親密的駭人 – 堅固網路安全建設從內網開始$880$695 -
$658Web 漏洞解析與攻防實戰 -
Kali Linux 高級滲透測試 (原書第4版)$654$621 -
$779網絡空間攻防技術原理
中文年末書展|繁簡參展書2書75折 詳見活動內容 »
-
75折
為你寫的 Vue Components:從原子到系統,一步步用設計思維打造面面俱到的元件實戰力 (iThome 鐵人賽系列書)$780$585 -
75折
BDD in Action, 2/e (中文版)$960$720 -
75折
看不見的戰場:社群、AI 與企業資安危機$750$563 -
79折
AI 精準提問 × 高效應用:DeepSeek、ChatGPT、Claude、Gemini、Copilot 一本搞定$390$308 -
7折
超實用!Word.Excel.PowerPoint 辦公室 Office 365 省時高手必備 50招, 4/e (暢銷回饋版)$420$294 -
75折
裂縫碎光:資安數位生存戰$550$412 -
日本當代最強插畫 2025 : 150位當代最強畫師豪華作品集$640$576 -
79折
Google BI 解決方案:Looker Studio × AI 數據驅動行銷實作,完美整合 Google Analytics 4、Google Ads、ChatGPT、Gemini$630$498 -
79折
超有料 Plus!職場第一實用的 AI 工作術 - 用對 AI 工具、自動化 Agent, 讓生產力全面進化!$599$473 -
75折
從零開始學 Visual C# 2022 程式設計, 4/e (暢銷回饋版)$690$518 -
75折
Windows 11 制霸攻略:圖解 AI 與 Copilot 應用,輕鬆搞懂新手必學的 Windows 技巧$640$480 -
75折
精準駕馭 Word!論文寫作絕非難事 (好評回饋版)$480$360 -
Sam Yang 的插畫藝術:用 Procreate / PS 畫出最強男友視角 x 女孩美好日常$699$629 -
79折
AI 加持!Google Sheets 超級工作流$599$473 -
78折
想要 SSR? 快使用 Nuxt 吧!:Nuxt 讓 Vue.js 更好處理 SEO 搜尋引擎最佳化(iThome鐵人賽系列書)$780$608 -
78折
超實用!業務.總管.人資的辦公室 WORD 365 省時高手必備 50招 (第二版)$500$390 -
7折
Node-RED + YOLO + ESP32-CAM:AIoT 智慧物聯網與邊緣 AI 專題實戰$680$476 -
79折
「生成式⇄AI」:52 個零程式互動體驗,打造新世代人工智慧素養$599$473 -
7折
Windows APT Warfare:惡意程式前線戰術指南, 3/e$720$504 -
75折
我輩程式人:回顧從 Ada 到 AI 這條程式路,程式人如何改變世界的歷史與未來展望 (We, Programmers: A Chronicle of Coders from Ada to AI)$850$637 -
75折
不用自己寫!用 GitHub Copilot 搞定 LLM 應用開發$600$450 -
79折
Tensorflow 接班王者:Google JAX 深度學習又快又強大 (好評回饋版)$780$616 -
79折
GPT4 會你也會 - 共融機器人的多模態互動式情感分析 (好評回饋版)$700$553 -
79折
技術士技能檢定 電腦軟體應用丙級術科解題教本|Office 2021$460$363 -
75折
Notion 與 Notion AI 全能實戰手冊:生活、學習與職場的智慧策略 (暢銷回饋版)$560$420
相關主題
商品描述
本書為Web滲透測試知識普及與技術推廣教材,不僅能為Web滲透測試技術的初學者提供全面、實用的技術和理論基礎知識,而且能有效培養和提高讀者的Web安全防護能力。本書所有案例均在實驗環境下進行,並配套示例源碼、PPT課件、教學大綱、習題答案、作者答疑服務。 本書共分12章,通過DVWA、Pikachu等靶場以及在線CTF實戰演練平臺,分析Web漏洞原理,掌握漏洞利用方法,並結合CTF實戰演練,使讀者能夠充分掌握Web滲透測試技術。本書重點介紹SQL註入、XSS、CSRF、SSRF、RCE、文件上傳、文件包含、暴力破解、反序列化、Web框架、CMS等常見的Web漏洞及其防禦手段。 本書適合Web滲透測試初學者、Web應用開發人員、Web應用系統設計人員、Web應用安全測試人員,可以作為企事業單位網絡安全從業人員的技術參考用書,也可以作為應用型本科、高職高專網絡空間安全、信息安全類專業的教材。
目錄大綱
目 錄
第1章 Web開發技術概述 1
1.1 Web基本概念 1
1.1.1 HTTP協議 1
1.1.2 Web服務器 5
1.1.3 瀏覽器 7
1.1.4 網絡程序開發體系結構 8
1.2 常見Web開發技術體系 8
1.2.1 PHP體系 9
1.2.2 Java Web體系 11
1.2.3 ASP.NET體系 17
1.2.4 Python體系 20
1.2.5 Node.js體系 21
1.3 本章小結 24
1.4 習題 24
第2章 Web滲透測試技術概述 25
2.1 滲透測試基本概念 25
2.1.1 滲透測試定義 25
2.1.2 常見Web漏洞 25
2.1.3 滲透測試分類 26
2.2 滲透測試基本流程 27
2.3 滲透測試靶場搭建 28
2.3.1 法律 28
2.3.2 DVWA靶場 29
2.3.3 Pikachu靶場 31
2.3.4 Vulhub靶場 32
2.4 CTF實戰演練平臺 36
2.5 滲透測試常用工具 37
2.5.1 Burp Suite 37
2.5.2 Proxy SwitchyOmega插件 39
2.5.3 AWVS 40
2.5.4 Kali Linux 44
2.5.5 MSF 44
2.5.6 CS 49
2.6 本章小結 53
2.7 習題 53
第3章 SQL註入漏洞 54
3.1 漏洞概述 54
3.2 SQL註入常用函數 54
3.2.1 concat函數 54
3.2.2 length函數 55
3.2.3 ascii函數 55
3.2.4 substr函數 55
3.2.5 left、right函數 56
3.2.6 if函數 56
3.2.7 updatexml函數 56
3.3 漏洞分類及利用 57
3.3.1 基於聯合查詢的SQL註入 57
3.3.2 盲註 60
3.3.3 寬字節 66
3.3.4 insert/update/delete註入 66
3.3.5 header註入 69
3.4 sqli-labs訓練平臺 71
3.5 SQLMap 76
3.6 CTF實戰演練 79
3.7 漏洞防禦 83
3.7.1 使用過濾函數 83
3.7.2 預編譯語句 84
3.7.3 輸入驗證 84
3.7.4 WAF 84
3.8 本章小結 84
3.9 習題 85
第4章 RCE漏洞 87
4.1 漏洞概述 87
4.2 漏洞分類 87
4.2.1 管道符 87
4.2.2 命令執行漏洞 88
4.2.3 代碼註入漏洞 89
4.3 漏洞利用 90
4.4 CTF實戰演練 93
4.5 漏洞防禦 96
4.6 本章小結 96
4.7 習題 96
第5章 XSS漏洞 98
5.1 漏洞概述 98
5.2 漏洞分類 98
5.2.1 反射型 98
5.2.2 存儲型 100
5.2.3 DOM型漏洞 101
5.3 漏洞利用 102
5.3.1 盜取Cookie 103
5.3.2 釣魚 104
5.3.3 鍵盤記錄 105
5.4 Beef 107
5.5 繞過XSS漏洞防禦方法 110
5.5.1 大小寫混合 110
5.5.2 利用過濾後返回語句 110
5.5.3 標簽屬性 110
5.5.4 事件 111
5.5.5 利用編碼 111
5.5.6 實例演示 112
5.6 CTF實戰演練 116
5.7 漏洞防禦 120
5.8 本章小結 121
5.9 習題 121
第6章 CSRF漏洞 123
6.1 漏洞概述 123
6.2 漏洞原理 123
6.3 漏洞利用 124
6.3.1 CSRF_GET類型 124
6.3.2 CSRF_POST類型 126
6.4 漏洞防禦 127
6.5 本章小結 128
6.6 習題 128
第7章 SSRF漏洞 129
7.1 漏洞概述 129
7.2 漏洞原理 129
7.2.1 file_get_contents函數 130
7.2.2 fsockopen函數 130
7.2.3 curl_exec函數 130
7.3 漏洞挖掘 131
7.4 偽協議 131
7.4.1 file://協議 131
7.4.2 dict://協議 132
7.4.3 sftp://協議 132
7.4.4 gopher://協議 132
7.5 漏洞利用 132
7.5.1 curl函數 132
7.5.2 file_get_content函數 133
7.6 CTF實戰演練 135
7.7 漏洞防禦 138
7.8 本章小結 139
7.9 習題 139
第8章 文件上傳漏洞 140
8.1 漏洞概述 140
8.2 Web服務器解析漏洞 140
8.2.1 IIS解析漏洞 141
8.2.2 Apache解析漏洞 141
8.2.3 Nginx解析漏洞 141
8.3 漏洞測試 141
8.4 文件上傳驗證 145
8.4.1 白名單和黑名單規則 145
8.4.2 前端驗證 145
8.4.3 服務端防禦 146
8.5 文件上傳驗證繞過 147
8.5.1 繞過前端驗證 147
8.5.2 繞過服務端驗證 149
8.6 upload-labs訓練平臺 152
8.7 CTF實戰演練 158
8.8 漏洞防禦 161
8.9 本章小結 161
8.10 習題 161
第9章 文件包含漏洞 164
9.1 漏洞概述 164
9.2 文件包含函數 164
9.3 漏洞利用涉及的偽協議 165
9.3.1 測試模型 165
9.3.2 file://協議 165
9.3.3 http://協議 165
9.3.4 zip://、phar://協議 166
9.3.5 php://協議 167
9.3.6 data://協議 169
9.4 漏洞利用 170
9.4.1 圖片木馬利用 170
9.4.2 Access.log利用 171
9.5 CTF實戰演練 173
9.6 漏洞防禦 177
9.7 本章小結 177
9.8 習題 177
第10章 暴力破解漏洞 179
10.1 漏洞概述 179
10.2 漏洞利用 179
10.2.1 基於表單的暴力破解 179
10.2.2 基於驗證碼繞過(on client) 184
10.2.3 基於驗證碼繞過(on server) 185
10.2.4 基於Token驗證繞過 186
10.3 CTF實戰演練 189
10.4 漏洞防禦 191
10.5 本章小結 191
10.6 習題 191
第11章 其他漏洞 193
11.1 反序列化漏洞 193
11.1.1 基本概念 193
11.1.2 漏洞概述 194
11.1.3 漏洞利用 194
11.1.4 CTF實戰演練 195
11.2 XXE漏洞 196
11.2.1 基本概念 196
11.2.2 漏洞利用 198
11.2.3 CTF實戰演練 199
11.2.4 漏洞防禦 201
11.3 任意文件下載漏洞 201
11.3.1 漏洞概述 201
11.3.2 漏洞利用 201
11.3.3 CTF實戰演練 202
11.3.4 漏洞防禦 204
11.4 越權漏洞 205
11.4.1 漏洞概述 205
11.4.2 漏洞利用 205
11.4.3 漏洞防禦 207
11.5 本章小結 208
11.6 習題 208
第12章 綜合漏洞 209
12.1 CMS漏洞 209
12.1.1 基本概念 209
12.1.2 漏洞案例 209
12.1.3 CTF實戰演練 220
12.2 Web框架漏洞 230
12.2.1 基本概念 230
12.2.2 漏洞案例 230
12.3 Web第三方組件漏洞 240
12.3.1 基本概念 240
12.3.2 漏洞案例 240
12.4 Web服務器漏洞 246
12.5 CTF實戰演練 253
12.6 本章小結 262
12.7 習題 262
