Web服务器渗透实战技术
全新正版 极速发货
¥ 31.47 5.8折 ¥ 54 全新
库存3件
广东广州
认证卖家担保交易快速发货售后保障
作者陈小兵,祝烈煌,周湧凯主编
出版社西安电子科技大学出版社
ISBN9787560653778
出版时间2019-08
装帧平装
开本16开
定价54元
货号1201951625
上书时间2024-06-01
商品详情
- 品相描述:全新
- 商品描述
-
目录
基础篇
第1章 渗透必备基础技术
1.1 搭建DVWA渗透测试平台
1.1.1 Windows下搭建DVWA渗透测试平台
1.1.2 在Kali 2016上安装DVWA渗透测试平台
1.1.3 在Kali 2017上安装DVWA渗透测试平台
1.2 一句话后门利用及操作
1.2.1 中国菜刀使用及管理
1.2.2 有关一句话后门的收集与整理
1.2.3 使用技巧及总结
理论篇
第2章 信息收集
2.1 域名查询技术
2.1.1 域名小知识
2.1.2 域名在渗透中的作用
2.1.3 使用yougetsignal网站查询域名
2.1.4 使用Acunetix Web Vulnerability Scanner查询子域名
2.1.5 旁注域名查询
2.1.6 通过netcraft网站查询
2.2 使用Nmap扫描Web服务器端口
2.2.1 安装与配置Nmap
2.2.2 端口扫描准备工作
2.2.3 Nmap使用参数介绍
2.2.4 Zenmap扫描命令模板
2.2.5 使用Nmap中的脚本进行扫描
2.2.6 Nmap扫描实战
2.2.7 扫描结果分析及处理
2.2.8 扫描后期渗透思路
2.3 使用IIS PUT Scaner扫描常见端口
2.3.1 设置扫描IP地址和扫描端口
2.3.2 查看和保存扫描结果
2.3.3 再次对扫描的结果进行扫描
2.3.4 思路利用及总结
2.4 F12信息收集
2.4.1 注释信息收集
2.4.2 hidden信息收集
2.4.3 相对路径信息收集
2.4.4 Webserver信息收集
2.4.5 JavaScript功能信息收集
2.4.6 总结
实战篇
参考文献
内容摘要
本书从网络安全体系建设的角度,对如何渗透Web服务器的技术进行了研究总结及归纳,是一本网络空问安全实战类书籍。全书共7章,首先介绍Web服务器渗透必备基础技术,包括在渗透中如何进行信息收集,对目标网站进行Web漏洞扫描,对Web常见漏洞进行分析与利用,针对实战中遇到的常见加密与解密方法进行分析;还介绍了Web服务器中较为常见的文件上传漏洞的原理以及实战案例;最后对一些CMS常见漏洞及利用方法进行了详细分析,从信息收集到漏洞的实际利用和防御,形成网络攻防的闭环。本书最大的特色是实用和实战性强,思维灵活,由浅入深地介绍和分析了Web服务器在实际环境中所存在的安全漏洞和这些漏洞的利用方法,结合作者多年的网络安全实践经验给出了相应的安全防范措施,达到通过了解攻击去进行对应的防御的目的。
本书可供网络安全管理及维护、编程等从业人员学习、参考。
精彩内容
最近几年网络安全越来越火,越来越多高校单独开设了网络安全专业,国家也将网络安全列为最高发展战略——没有网络的安全就没有国家的安全!精通网络安全的从业人员待遇也进一步随之提高。现在很多企业都在招聘网络安全人才,但很难招到真正懂实战技术的人。各种社会企业在急需网络安全人才的同时,各大高校也在积极培育网络安全人才,本书的目的是让读者既能学到理论基础,也能获取各种实战经验。在笔者看来,真正的网络攻防是由很多知识点组成的,这些知识点就是技术,就是理论的高度浓缩。渗透技术就是一层纸,需要用知识点去捅破它,才能使读者真正理解其原理,明白漏洞带来的危害和相对应的防御方法,理解攻击就是最好的防御。本书从实战的角度来讨论如何进行Web服务器的渗透,介绍了目前一些主流的攻击手法。北京丁牛等企业安全团队也参与了本书的编写,并从企业的角度对这些攻击手段进行了一一验证,确保读者看到最真实有效的实际攻防案例,这将非常有助于企业构建良好的安全防御系统。书中的知识点也可以在实际渗透测试时用来参考。本书共7章,从渗透实战角度以及渗透基础知识开始,然后介绍了信息收集、漏洞扫描、Web漏洞分析及利用等,按照容易理解的方式对这些内容进行了分类和总结,每一小节都是精心编写,既有基础理论,也有实战技巧和案例总结,做到了理论与实战相结合。章是Web渗透必备基础技术,主要针对Web服务器渗透过程中一些必备的基础技术进行介绍。第2章是信息收集,主要介绍了域名查询、端口信息收集、指纹识别以及一些常见的信息收集方法、工具和思路。第3章是Web漏洞扫描,主要介绍了如何对漏洞进行扫描,对Web目录、Windows系统账号、3389口令等进行扫描,同时还介绍了常见的一些Web漏洞扫描工具。第4章是Web常见漏洞分析与利用,主要介绍了如何对各种漏洞进行有效利用和分析。本章中选择具有代表意义的信息泄露漏洞、SQL注入漏洞、各种后台账号的利用和远程溢出漏洞等技术来进行介绍和分析,在实际渗透过程中要灵活运用,善于根据已有漏洞来再现漏洞利用和利用漏洞扩展权限。第5章是实战中常见的加密与解密,目前在绝大部分的CMS系统中都会对涉及用户名和密码的部分进行全加密或者半加密,有的甚至使用了变异加密,如果想要获取更多的信息,就必须对这些密码进行解密。本章精选了在渗透实战中会碰到的一些加密场景,并针对这些场景进行解密,通过这些场景可以快速掌握Web服务器渗透中涉及的加解密技术。第6章是常见文件上传漏洞及利用,精选了各种典型上传渗透漏洞渗透实例并进行了介绍和分析,通过这些案例可以快速掌握Web渗透中的上传漏洞利用技术。第7章是CMS常见漏洞及其利用,主要介绍了一些常见的CMS系统出现的SQL注入漏洞、缓冲包含、命令执行等漏洞。资源下载书中提到的所有相关资源,可到北京丁牛科技有限公司网站(http://www.digapis.cn/?book/webpenetest.html)下载。该公司为本书提供了大量的素材、实战案例和实验环境等,多次对Web服务器渗透相关技术进行了探讨和深入研究。特别声明本书的目的绝不是为那些怀有不良动机的人提供理论和技术支持,也不承担因为技术被滥用所产生的连带责任。本书的目的在于优选限度地引起人们对网络安全的重视,并希望相关部门能够采取相应的安全措施,从而减少由网络安全问题而带来的经济损失,让个人、企业和国家的网络更加安全。由于作者水平有限,加之时间仓促,书中疏漏之处在所难免,恳请广大读者批评指正,在本书的后续再版中,我们将不断完善有关Web服务器渗透实战机器防御技术体系的深度和广度。问题反馈与提问读者在阅读本书的过程中若有任何问题或者意见,可以发邮件至365028876@qq.com;或加入QQ群(436519159)进行沟通和交流。作者的个人博客是:http://blog.51cto.com/simeon。
— 没有更多了 —
以下为对购买帮助不大的评价