全新正版 从实践中学习sqlmap数据库注入测试 编者_朱振方//张鹏|责编_刘立卿 9787111700623 机械工业出版社
本店所售图书,保证正版新书,有个别图片和实书封面不一样,以实书封面为准,最快当天,一般隔天发货。支持7天无理由退换货.开票联系客服
¥ 79.11 7.2折 ¥ 109.8 全新
库存2件
北京西城
认证卖家担保交易快速发货售后保障
作者编者_朱振方//张鹏|责编_刘立卿
出版社机械工业出版社
ISBN9787111700623
出版时间2022-03
装帧平装
开本16开
定价109.8元
货号31397306
上书时间2023-06-08
- 最新上架
商品详情
- 品相描述:全新
- 商品描述
-
作者简介
朱振方博士,教授,博士生导师,“计算机科学与技术”国家级一流专业建设点负责人。现任山东交通学院信息科学与电气工程学院计算机系主任,山东交通学院融媒体智能计算与安全技术研究中心主任。主要研究兴趣有网络信息安全和自然语言处理等。<br><br>张鹏精通Web安全技术,熟悉OWASPTOP10漏洞的原理与修复方案,熟悉渗透测试的步骤、方法和流程。对各类操作系统和应用平台的弱点有较深入的理解。熟悉常见脚本语言,能够进行Web渗透测试,以及恶意代码的检测和分析。
目录
前言<br/>第1篇 测试准备<br/>第1章 sqlmap环境配置2<br/>1.1 sqlmap基础知识2<br/>1.1.1 sqlmap简介2<br/>1.1.2 sqlmap注入流程2<br/>1.2 安装sqlmap3<br/>1.2.1 下载sqlmap安装包3<br/>1.2.2 在Windows中安装sqlmap4<br/>1.2.3 在Linux中安装sqlmap6<br/>1.3 启动sqlmap7<br/>1.3.1 标准模式8<br/>1.3.2 交互模式8<br/>1.3.3 向导模式10<br/>1.3.4 快速模式10<br/>1.4 sqlmap使用技巧10<br/>1.4.1 查看帮助信息11<br/>1.4.2 查看版本信息13<br/>1.4.3 使用短记忆法13<br/>1.4.4 更新sqlmap14<br/>1.4.5 使用INI配置文件15<br/>1.4.6 设置冗余级别16<br/>1.4.7 检查依赖17<br/>第2章 指定目标20<br/>2.1 单个目标20<br/>2.1.1 URL地址格式20<br/>2.1.2 指定目标URL21<br/>2.2 批量测试23<br/>2.2.1 指定多个目标23<br/>2.2.2 发出警报25<br/>2.2.3 检测到注入漏洞时报警26<br/>2.3 日志文件27<br/>2.3.1 捕获日志文件27<br/>2.3.2 指定日志文件35<br/>2.3.3 过滤日志文件中的目标36<br/>2.4 HTTP请求文件37<br/>2.4.1 使用BurpSuite抓包37<br/>2.4.2 指定HTTP请求文件39<br/>2.5 从谷歌搜索引擎中获取目标40<br/>2.5.1 谷歌基础语法40<br/>2.5.2 指定搜索目标42<br/>2.5.3 指定测试页面44<br/>2.6 爬取网站45<br/>2.6.1 指定爬取深度45<br/>2.6.2 排除爬取页面46<br/>2.6.3 设置临时文件目录46<br/>第3章 连接目标48<br/>3.1 设置认证信息48<br/>3.1.1 指定认证类型48<br/>3.1.2 指定认证凭证49<br/>3.1.3 指定私钥文件49<br/>3.2 代理网络50<br/>3.2.1 使用已有的代理服务器50<br/>3.2.2 使用新的代理服务器51<br/>3.2.3 指定代理服务器52<br/>3.2.4 指定代理凭证58<br/>3.2.5 指定代理列表59<br/>3.2.6 忽略系统级代理60<br/>3.3 Tor匿名网络60<br/>3.3.1 搭建Tor匿名网络60<br/>3.3.2 使用Tor匿名网络61<br/>3.3.3 检查Tor匿名网络62<br/>3.3.4 设置Tor代理端口62<br/>3.3.5 设置Tor代理类型63<br/>3.4 处理连接错误63<br/>3.4.1 忽略HTTP错误状态码63<br/>3.4.2 忽略重定向65<br/>3.4.3 忽略连接超时65<br/>3.5 检测WAF/IPS66<br/>3.6 调整连接选项68<br/>第4章 探测注入漏洞及数据库类型69<br/>4.1 探测GET参数69<br/>4.1.1 GET参数简介69<br/>4.1.2 使用sqlmap探测71<br/>4.1.3 手动探测73<br/>4.2 探测POST参数76<br/>4.2.1 POST参数简介76<br/>4.2.2 指定POST参数77<br/>4.2.3 自动搜索POST参数78<br/>4.2.4 从HTTP请求文件中读取POST参数81<br/>4.2.5 手动判断82<br/>4.3 探测Cookie参数85<br/>4.3.1 Cookie参数简介85<br/>4.3.2 指定Cookie参数85<br/>4.3.3 指定包括Cookie的文件88<br/>4.3.4 忽略Set-Cookie值89<br/>4.3.5 加载动态Cookie文件90<br/>4.3.6 手动判断90<br/>4.4 探测UA参数92<br/>4.4.1 UA参数简介92<br/>4.4.2 指定UA参数94<br/>4.4.3 使用随机UA参数96<br/>4.4.4 使用手机UA97<br/>4.4.5 手动判断99<br/>4.5 探测Referer参数101<br/>4.5.1 Referer参数简介101<br/>4.5.2 指定Referer参数101<br/>4.5.3 手动判断103<br/>4.6 添加额外的HTTP头105<br/>4.6.1 指定单个额外的HTTP头105<br/>4.6.2 指定多个额外的HTTP头106<br/>4.7 指定测试参数106<br/>4.7.1 指定可测试的参数106<br/>4.7.2 跳过指定的参数108<br/>4.7.3 跳过测试静态参数109<br/>4.7.4 使用正则表达式排除参数109<br/>4.7.5 指定测试参数的位置109<br/>第2篇 信息获取<br/>第5章 获取MySQL数据库信息112<br/>5.1 MySQL数据库简介112<br/>5.2 获取数据库标识112<br/>5.3 获取服务器主机名113<br/>5.4 获取数据库的用户名115<br/>5.4.1 获取当前连接数据库的用户名115<br/>5.4.2 获取数据库的所有用户名116<br/>5.5 获取数据库用户的密码117<br/>5.5.1 获取用户密码的哈希值118<br/>5.5.2 在线破解哈希值119<br/>5.5.3 使用其他工具破解哈希值121<br/>5.6 获取数据库的名称123<br/>5.6.1 获取当前数据库的名称123<br/>5.6.2 获取所有数据库的名称124<br/>5.7 获取数据表126<br/>5.7.1 获取所有的数据表126<br/>5.7.2 获取指定数据库中的数据表128<br/>5.8 获取数据库架构129<br/>5.8.1 获取所有数据库的架构129<br/>5.8.2 获取指定数据库的架构130<br/>5.8.3 排除系统数据库132<br/>5.9 获取数据表中的列133<br/>5.9.1 获取所有的列133<br/>5.9.2 获取指定数据表的列135<br/>5.10 获取数据表中的内容136<br/>5.10.1 获取数据表中的全部内容136<br/>5.10.2 获取指定的数据表中的内容138<br/>5.10.3 获取所有的数据表中的内容140<br/>5.10.4 过滤数据表中的内容141<br/>5.10.5 获取指定列的数据144<br/>5.10.6 排除指定列的数据145<br/>5.10.7 获取注释信息146<br/>5.10.8 指定导出的数据格式147<br/>5.11 获取数据表的条目数149<br/>5.11.1 获取所有数据表的条目数149<br/>5.11.2 获取指定数据表的条目数151<br/>5.12 获取数据库的所有信息152<br/>5.13 搜索数据库信息152<br/>第6章 获取MSSQL数据库信息158<br/>6.1 获取数据库标识158<br/>6.2 检测是否为DBA用户159<br/>6.3 获取数据库的名称161<br/>6.3.1 获取当前数据库的名称161<br/>6.3.2 获取所有数据库的名称162<br/>6.4 获取数据表的名称163<br/>6.4.1 获取所有数据表的名称164<br/>6.4.2 获取指定数据库中的数据表的名称165<br/>6.5 获取数据库架构167<br/>6.5.1 获取所有数据库的架构167<br/>6.5.2 获取指定数据库的架构169<br/>6.5.3 排除系统数据库171<br/>6.6 获取数据表中的列172<br/>6.6.1 获取所有数据表中的列172<br/>6.6.2 获取指定数据表中的列174<br/>6.7 获取数据表中的内容175<br/>6.7.1 获取指定数据表中的内容175<br/>6.7.2 获取所有数据表中的内容178<br/>6.7.3 获取指定列的内容178<br/>6.7.4 排除指定列的内容179<br/>6.7.5 获取特定内容179<br/>6.7.6 获取数据表的条目数181<br/>6.8 获取数据库用户的权限183<br/>6.9 获取数据库用户和密码184<br/>6.9.1 获取数据库用户184<br/>6.9.2 获取用户密码185<br/>6.9.3 使用hashcat破解MSSQL密码的哈希值187<br/>第7章 获取Access数据库信息189<br/>7.1 Acces数据库简介189<br/>7.2 指纹识别189<br/>7.3 暴力破解数据表名190<br/>7.3.1 数据表的字典列表191<br/>7.3.2 手动暴力破解表名193<br/>7.4 暴力破解数据表中的列194<br/>7.4.1 数据表中的列字典194<br/>7.4.2 手动暴力破解列名196<br/>7.5 导出数据表中的列198<br/>7.5.1 暴力破解列内容198<br/>7.5.2 手动暴力破解200<br/>第8章 获取Oracle数据库信息206<br/>8.1 指纹信息206<br/>8.2 获取数据库服务的主机名207<br/>8.3 获取数据库的用户208<br/>8.3.1 获取当前数据库的用户209<br/>8.3.2 获取所有数据库的用户210<br/>8.4 获取数据库用户的密码211<br/>8.5 获取数据库用户的角色213<br/>8.6 获取数据库用户的权限215<br/>8.6.1 判断是否为DBA权限215<br/>8.6.2 获取用户权限216<br/>8.7 获取数据库的名称217<br/>8.7.1 获取当前连接的数据库的名称218<br/>8.7.2 获取所有的数据库的名称219<br/>8.8 获取数据表221<br/>8.8.1 获取所有的数据表221<br/>8.8.2 获取指定数据库中的数据表223<br/>8.9 获取数据表结构224<br/>8.10 获取数据表信息226<br/>8.10.1 获取数据表列226<br/>8.10.2 获取数据表内容228<br/>8.10.3 获取指定列的数据230<br/>8.10.4 排除指定列的数据231<br/>8.10.5 获取数据表的条目数232<br/>第9章 使用SQL语句获取数据库信息234<br/>9.1 SQL语句234<br/>9.1.1 操作数据库语句234<br/>9.1.2 操作数据表语句235<br/>9.2 数据库变量与内置函数235<br/>9.2.1 全局变量236<br/>9.2.2 内置函数237<br/>9.3 执行SQL语句的方式238<br/>9.3.1 直接执行SQL语句238<br/>9.3.2 交互式SQL Shell模式239<br/>9.3.3 使用SQL文件241<br/>9.4 获取数据库信息242<br/>9.4.1 获取数据库版本243<br/>9.4.2 查询用户243<br/>9.4.3 查询当前操作系统243<br/>9.4.4 查询数据库的安装目录243<br/>9.4.5 查看当前数据库244<br/>9.4.6 查看数据表中的内容244<br/>9.4.7 查看系统文件245<br/>第3篇 高级技术<br/>第10章 注入技术248<br/>10.1 基于布尔的盲注248<br/>10.1.1 判断及指定注入类型248<br/>10.1.2 设置匹配的字符串251<br/>10.1.3 设置不匹配的字符串251<br/>10.1.4 设置匹配的正则表达式251<br/>10.1.5 设置匹配的状态码252<br/>10.2 基于错误的注入252<br/>10.2.1 判断并指定注入类型252<br/>10.2.2 比较网页内容255<br/>10.2.3 比较网页标题255<br/>10.3 基于时间的盲注256<br/>10.3.1 判断并指定注入类型256<br/>10.3.2 设置数据库响应延时259<br/>10.4 联合查询注入259<br/>10.4.1 判断并指定注入类型260<br/>10.4.2 设置UNION列数263<br/>10.4.3 设置UNION字符264<br/>10.4.4 设置UNION查询表266<br/>10.5 堆叠注入267<br/>10.5.1 堆叠注入的局限性267<br/>10.5.2 实施堆叠注入268<br/>10.6 DNS注入270<br/>10.6.1 DNS注入原理270<br/>10.6.2 DNS注入要求271<br/>10.6.3 实施DNS注入272<br/>10.7 二级SQL注入282<br/>10.7.1 二级SQL注入原理282<br/>10.7.2 设置二级响应URL地址283<br/>10.7.3 加载二级SQL注入请求文件284<br/>10.8 自定义注入284<br/>10.8.1 设置问题答案284<br/>10.8.2 使参数值无效286<br/>10.8.3 自定义Payload287<br/>10.8.4 自定义函数注入289<br/>10.8.5 设置风险参数289<br/>第11章 访问后台数据库管理系统290<br/>11.1 连接数据库290<br/>11.1.1 直接连接数据库290<br/>11.1.2 指定数据库291<br/>11.2 执行操作系统命令293<br/>11.2.1 直接执行操作系统命令293<br/>11.2.2 获取交互式Shell295<br/>11.2.3 指定操作系统类型297<br/>11.2.4 指定Web服务器的根目录299<br/>11.3 访问文件系统300<br/>11.3.1 读取文件300<br/>11.3.2 写入文件302<br/>11.3.3 暴力枚举文件304<br/>11.4 访问Windows注册表305<br/>11.4.1 添加注册表项306<br/>11.4.2 读取注册表项307<br/>11.4.3 删除注册表项309<br/>11.4.4 辅助选项310<br/>11.5 建立带外TCP连接311<br/>11.5.1 创建远程会话312<br/>11.5.2 利用远程代码执行漏洞MS08-068315<br/>11.5.3 利用存储过程堆溢出漏洞MS09-004318<br/>11.5.4 提升权限321<br/>第12章 使用sqlmap优化注入325<br/>12.1 跳过低成功率的启发式测试325<b
— 没有更多了 —
以下为对购买帮助不大的评价