Web 滲透測試技術
鄭天明
- 出版商: 清華大學
- 出版日期: 2022-12-01
- 定價: $414
- 售價: 8.5 折 $352
- 語言: 簡體中文
- ISBN: 7302622051
- ISBN-13: 9787302622055
-
相關分類:
Penetration-test
立即出貨 (庫存 < 4)
買這商品的人也買了...
-
$301代碼審計 (企業級Web代碼安全架構) -
黑客秘笈 : 滲透測試實用指南, 3/e (The Hacker Playbook 3: Practical Guide To Penetration Testing)$474$450 -
sqlmap 從入門到精通$768$730 -
$301Web 安全漏洞原理及實戰 -
Python 滲透測試實戰$474$450 -
駭客廝殺不講武德:CTF 強者攻防大戰直擊$1,000$850 -
Web 安全漏洞及代碼審計 (微課版)$299$284 -
WebSecurity 網站滲透測試:Burp Suite 完全學習指南 (iT邦幫忙鐵人賽系列書)$600$468 -
資安這條路:領航新手的 Web Security 指南,以自建漏洞環境學習網站安全(iT邦幫忙鐵人賽系列書)$680$530 -
$638網絡安全滲透測試 -
The Hacker Playbook 3 中文版:滲透測試實戰 (紅隊版)$650$507 -
從實踐中學習 sqlmap 數據庫注入測試$659$626 -
$301Unity3D游戲開發標準教程 -
$301IPv6技術詳解與實踐 -
Web Hacking 現場指南:真實世界抓漏和獵蟲的賞金之旅 (Real-World Bug Hunting: A Field Guide to Web Hacking)$550$429 -
$556高並發系統實戰派:集群、Redis 緩存、海量存儲、Elasticsearch、RocketMQ、微服務、持續集成等 -
防火牆和VPN技術與實踐$1,014$963 -
Unity 手機遊戲開發:從搭建到發布上線全流程實戰$588$559 -
$230Web 安全與防護 -
駭客就在你旁邊:內網安全攻防滲透你死我活, 2/e$880$695 -
$556腦洞大開:滲透測試另類實戰攻略 -
親密的駭人 – 堅固網路安全建設從內網開始$880$695 -
Web 漏洞解析與攻防實戰$774$735 -
Kali Linux 高級滲透測試 (原書第4版)$654$621 -
$662網絡空間攻防技術原理
商品描述
本書為Web滲透測試知識普及與技術推廣教材,不僅能為Web滲透測試技術的初學者提供全面、實用的技術和理論基礎知識,而且能有效培養和提高讀者的Web安全防護能力。本書所有案例均在實驗環境下進行,並配套示例源碼、PPT課件、教學大綱、習題答案、作者答疑服務。 本書共分12章,通過DVWA、Pikachu等靶場以及在線CTF實戰演練平臺,分析Web漏洞原理,掌握漏洞利用方法,並結合CTF實戰演練,使讀者能夠充分掌握Web滲透測試技術。本書重點介紹SQL註入、XSS、CSRF、SSRF、RCE、文件上傳、文件包含、暴力破解、反序列化、Web框架、CMS等常見的Web漏洞及其防禦手段。 本書適合Web滲透測試初學者、Web應用開發人員、Web應用系統設計人員、Web應用安全測試人員,可以作為企事業單位網絡安全從業人員的技術參考用書,也可以作為應用型本科、高職高專網絡空間安全、信息安全類專業的教材。
目錄大綱
目 錄
第1章 Web開發技術概述 1
1.1 Web基本概念 1
1.1.1 HTTP協議 1
1.1.2 Web服務器 5
1.1.3 瀏覽器 7
1.1.4 網絡程序開發體系結構 8
1.2 常見Web開發技術體系 8
1.2.1 PHP體系 9
1.2.2 Java Web體系 11
1.2.3 ASP.NET體系 17
1.2.4 Python體系 20
1.2.5 Node.js體系 21
1.3 本章小結 24
1.4 習題 24
第2章 Web滲透測試技術概述 25
2.1 滲透測試基本概念 25
2.1.1 滲透測試定義 25
2.1.2 常見Web漏洞 25
2.1.3 滲透測試分類 26
2.2 滲透測試基本流程 27
2.3 滲透測試靶場搭建 28
2.3.1 法律 28
2.3.2 DVWA靶場 29
2.3.3 Pikachu靶場 31
2.3.4 Vulhub靶場 32
2.4 CTF實戰演練平臺 36
2.5 滲透測試常用工具 37
2.5.1 Burp Suite 37
2.5.2 Proxy SwitchyOmega插件 39
2.5.3 AWVS 40
2.5.4 Kali Linux 44
2.5.5 MSF 44
2.5.6 CS 49
2.6 本章小結 53
2.7 習題 53
第3章 SQL註入漏洞 54
3.1 漏洞概述 54
3.2 SQL註入常用函數 54
3.2.1 concat函數 54
3.2.2 length函數 55
3.2.3 ascii函數 55
3.2.4 substr函數 55
3.2.5 left、right函數 56
3.2.6 if函數 56
3.2.7 updatexml函數 56
3.3 漏洞分類及利用 57
3.3.1 基於聯合查詢的SQL註入 57
3.3.2 盲註 60
3.3.3 寬字節 66
3.3.4 insert/update/delete註入 66
3.3.5 header註入 69
3.4 sqli-labs訓練平臺 71
3.5 SQLMap 76
3.6 CTF實戰演練 79
3.7 漏洞防禦 83
3.7.1 使用過濾函數 83
3.7.2 預編譯語句 84
3.7.3 輸入驗證 84
3.7.4 WAF 84
3.8 本章小結 84
3.9 習題 85
第4章 RCE漏洞 87
4.1 漏洞概述 87
4.2 漏洞分類 87
4.2.1 管道符 87
4.2.2 命令執行漏洞 88
4.2.3 代碼註入漏洞 89
4.3 漏洞利用 90
4.4 CTF實戰演練 93
4.5 漏洞防禦 96
4.6 本章小結 96
4.7 習題 96
第5章 XSS漏洞 98
5.1 漏洞概述 98
5.2 漏洞分類 98
5.2.1 反射型 98
5.2.2 存儲型 100
5.2.3 DOM型漏洞 101
5.3 漏洞利用 102
5.3.1 盜取Cookie 103
5.3.2 釣魚 104
5.3.3 鍵盤記錄 105
5.4 Beef 107
5.5 繞過XSS漏洞防禦方法 110
5.5.1 大小寫混合 110
5.5.2 利用過濾後返回語句 110
5.5.3 標簽屬性 110
5.5.4 事件 111
5.5.5 利用編碼 111
5.5.6 實例演示 112
5.6 CTF實戰演練 116
5.7 漏洞防禦 120
5.8 本章小結 121
5.9 習題 121
第6章 CSRF漏洞 123
6.1 漏洞概述 123
6.2 漏洞原理 123
6.3 漏洞利用 124
6.3.1 CSRF_GET類型 124
6.3.2 CSRF_POST類型 126
6.4 漏洞防禦 127
6.5 本章小結 128
6.6 習題 128
第7章 SSRF漏洞 129
7.1 漏洞概述 129
7.2 漏洞原理 129
7.2.1 file_get_contents函數 130
7.2.2 fsockopen函數 130
7.2.3 curl_exec函數 130
7.3 漏洞挖掘 131
7.4 偽協議 131
7.4.1 file://協議 131
7.4.2 dict://協議 132
7.4.3 sftp://協議 132
7.4.4 gopher://協議 132
7.5 漏洞利用 132
7.5.1 curl函數 132
7.5.2 file_get_content函數 133
7.6 CTF實戰演練 135
7.7 漏洞防禦 138
7.8 本章小結 139
7.9 習題 139
第8章 文件上傳漏洞 140
8.1 漏洞概述 140
8.2 Web服務器解析漏洞 140
8.2.1 IIS解析漏洞 141
8.2.2 Apache解析漏洞 141
8.2.3 Nginx解析漏洞 141
8.3 漏洞測試 141
8.4 文件上傳驗證 145
8.4.1 白名單和黑名單規則 145
8.4.2 前端驗證 145
8.4.3 服務端防禦 146
8.5 文件上傳驗證繞過 147
8.5.1 繞過前端驗證 147
8.5.2 繞過服務端驗證 149
8.6 upload-labs訓練平臺 152
8.7 CTF實戰演練 158
8.8 漏洞防禦 161
8.9 本章小結 161
8.10 習題 161
第9章 文件包含漏洞 164
9.1 漏洞概述 164
9.2 文件包含函數 164
9.3 漏洞利用涉及的偽協議 165
9.3.1 測試模型 165
9.3.2 file://協議 165
9.3.3 http://協議 165
9.3.4 zip://、phar://協議 166
9.3.5 php://協議 167
9.3.6 data://協議 169
9.4 漏洞利用 170
9.4.1 圖片木馬利用 170
9.4.2 Access.log利用 171
9.5 CTF實戰演練 173
9.6 漏洞防禦 177
9.7 本章小結 177
9.8 習題 177
第10章 暴力破解漏洞 179
10.1 漏洞概述 179
10.2 漏洞利用 179
10.2.1 基於表單的暴力破解 179
10.2.2 基於驗證碼繞過(on client) 184
10.2.3 基於驗證碼繞過(on server) 185
10.2.4 基於Token驗證繞過 186
10.3 CTF實戰演練 189
10.4 漏洞防禦 191
10.5 本章小結 191
10.6 習題 191
第11章 其他漏洞 193
11.1 反序列化漏洞 193
11.1.1 基本概念 193
11.1.2 漏洞概述 194
11.1.3 漏洞利用 194
11.1.4 CTF實戰演練 195
11.2 XXE漏洞 196
11.2.1 基本概念 196
11.2.2 漏洞利用 198
11.2.3 CTF實戰演練 199
11.2.4 漏洞防禦 201
11.3 任意文件下載漏洞 201
11.3.1 漏洞概述 201
11.3.2 漏洞利用 201
11.3.3 CTF實戰演練 202
11.3.4 漏洞防禦 204
11.4 越權漏洞 205
11.4.1 漏洞概述 205
11.4.2 漏洞利用 205
11.4.3 漏洞防禦 207
11.5 本章小結 208
11.6 習題 208
第12章 綜合漏洞 209
12.1 CMS漏洞 209
12.1.1 基本概念 209
12.1.2 漏洞案例 209
12.1.3 CTF實戰演練 220
12.2 Web框架漏洞 230
12.2.1 基本概念 230
12.2.2 漏洞案例 230
12.3 Web第三方組件漏洞 240
12.3.1 基本概念 240
12.3.2 漏洞案例 240
12.4 Web服務器漏洞 246
12.5 CTF實戰演練 253
12.6 本章小結 262
12.7 習題 262
