网络安全渗透测试
全新正版 极速发货
¥
73.85
5.9折
¥
125
全新
库存6件
作者苗春雨 著
出版社电子工业出版社
ISBN9787121418679
出版时间2021-08
装帧平装
开本16开
定价125元
货号1202500596
上书时间2024-06-02
商品详情
- 品相描述:全新
- 商品描述
-
作者简介
苗春雨,博士,硕士生导师,杭州安恒信息技术股份有限公司副总裁、网络空间安全学院院长,长期从事网络安全技术研究和人才培养工作,具备CISI(注册信息安全讲师)、CISP(注册信息安全专家)和CCSSP(注册云安全专家)等资质,曾任浙江某高校网络空间安全一流学科和特色专业执行负责人,近5年发表学术论文和教学研究论文20余篇,专著1部,多次获得浙江省计算机教育及应用学会年会优秀论文奖,参与多个网络安全人才联盟或产业联盟工作。
目录
目录
第1章渗透测试基础
1.1 渗透测试概述2
1.1.1 渗透测试标准 2
1.1.2 渗透测试流程 5
1.1.3 渗透测试方法 8
1.1.4 渗透测试原则 9
1.1.5 渗透测试报告10
1.2 安全政策法规标准11
1.2.1 网络安全法律法规11
1.2.2 网络安全政策标准12
1.3 本章小结 13
第2章渗透测试环境
2.1 渗透测试平台16
2.2 渗透测试工具18
2.2.1 Burp Suite 18
2.2.2 Nmap 24
2.2.3 AWVS27
2.2.4 Nessus32
2.2.5 MetaSploit 36
2.3 渗透测试实例40
2.4 本章小结48
第3章信息收集原理与实践
3.1 搜索引擎50
3.1.1 Google Hacking 50
3.1.2 物联网搜索引擎53
3.2 域名信息收集56
3.2.1 Whois查询57
3.2.2 备案信息查询 57
3.2.3 子域名信息收集58
3.3 服务器信息收集59
3.3.1 真实 IP 探测 59
3.3.2 端口信息探测 62
3.3.3 操作系统类型探测 66
3.4 Web 信息收集 67
3.4.1 Web 指纹识别67
3.4.2 敏感目录扫描 70
3.4.3 旁站和C段信息收集71
3.5 其他信息收集72
3.5.1 GitHub 信息收集72
3.5.2 邮箱信息收集 73
3.6 本章小结 74
第4章Web攻防原理剖析
4.1 文件上传漏洞78
4.1.1 漏洞简介78
4.1.2 漏洞利用78
4.1.3 漏洞实战80
4.2 文件下载漏洞90
4.2.1 漏洞简介90
4.2.2 漏洞利用91
4.2.3 漏洞实战93
4.3 文件包含漏洞96
4.3.1 漏洞简介96
4.3.2 漏洞利用96
4.3.3 漏洞实战101
4.4 SQL 注入漏洞104
4.4.1 漏洞简介104
4.4.2 漏洞利用105
4.4.3 漏洞实战113
4.5 命令执行漏洞117
4.5.1 漏洞简介117
4.5.2 漏洞利用117
4.5.3 漏洞实战119
4.6 XSS 跨站脚本攻击122
4.6.1 漏洞简介122
4.6.2 漏洞利用123
4.6.3 漏洞实战127
4.7 CSRF 跨站请求伪造130
4.7.1 漏洞简介130
4.7.2 漏洞利用130
4.7.3 漏洞实战132
4.8 XXE XML 实体注入134
4.8.1 漏洞简介134
4.8.2 漏洞实战135
4.9 SSRF 服务端请求伪造136
4.9.1 漏洞简介136
4.9.2 漏洞利用137
4.9.3 漏洞实战139
4.10 业务逻辑漏洞142
4.10.1验证码安全142
4.10.2 支付漏洞146
4.10.3 账户越权149
4.10.4 密码重置153
4.11 本章小结157
第5章中间件安全
5.1 中间件概述160
5.1.1 中间件简介160
5.1.2 中间件分类161
5.1.3 Web中间件161
5.2 Apache 安全162
5.2.1 Apache 权限配置要点163
5.2.2 Apache 文件解析漏洞165
5.2.3 Apache 安全配置166
5.2.4 Apache 安全配置实验168
5.3 IIS 安全172
5.3.1 IIS 文件解析漏洞172
5.3.2 IIS 写权限漏洞174
5.3.3 IIS 安全配置 175
5.3.4 IIS 解析漏洞利用实验176
5.3.5 IIS 安全配置实验179
5.4 Tomcat 安全182
5.4.1 Tomcat典型漏洞182
5.4.2 Tomcat安全配置185
5.4.3 Tomcat弱口令爆破实验185
5.4.4 Tomcat安全配置实验191
5.5 WebLogic安全195
5.5.1 WebLogic典型漏洞195
5.5.2 WebLogic XMLDecoder反序列化实验196
5.5.3 WebLogic安全配置197
5.6 本章小结199
第6章操作系统安全
6.1 操作系统安全机制202
6.1.1 标识与鉴别机制203
6.1.2 访问控制机制203
6.1.3 最小特权管理205
6.1.4 可信通路机制206
6.1.5 安全审计机制206
6.2 Windows系统安全206
6.2.1 Windows系统安全配置207
6.2.2 Windows典型系统漏洞218
6.2.3 Windows安全基线管理227
6.3 Linux 系统安全 237
6.3.1 Linux系统安全机制 237
6.3.2 Linux系统安全配置 242
6.3.3 Linux典型系统漏洞 245
6.3.4 Linux安全基线管理 246
6.4 本章小结254
第7章数据库安全
7.1 数据库安全概述258
7.1.1 数据库概述258
7.1.2 数据库安全风险259
7.1.3 数据库安全防护260
7.2 SQL Server 数据库安全263
7.2.1 SQL Server 安全风险 264
7.2.2 SQL Server 漏洞利用 264
7.2.3 SQL Server 安全加固 266
7.2.4 SQL Server 安全加固实验 267
7.3 MySQL 数据库安全 272
7.3.1 MySQL 安全风险 272
7.3.2 MySQL 漏洞利用 273
7.3.3 MySQL 安全加固 273
7.3.4 MySQL弱口令后台Getshell 实验274
7.4 Oracle 数据库安全278
7.4.1 Oracle 安全风险278
7.4.2 Oracle 漏洞利用280
7.4.3 Oracle 安全加固281
7.5 其他数据库安全283
7.5.1 Redis 安全283
7.5.2 MongoDB 安全285
7.6 本章小结286
第8章高级渗透技术
8.1 WebShell 查杀技术290
8.1.1 WebShell原理290
8.1.2 WebShell查杀292
8.1.3 WebShell免杀293
8.2 WAF 鉴别与探测303
8.2.1 WAF原理 303
8.2.2 WAF安全规则 304
8.2.3 WAF探测 305
8.2.4 WAF绕过 309
8.3 反弹Shell323
8.3.1 反弹Shell 原理324
8.3.2 反弹Shell 方法324
8.3.3 反弹Shell 实践325
8.4 提权技术326
8.4.1 系统提权概述 327
8.4.2 Windows系统提权327
8.4.3 Linux系统提权 330
8.4.4 数据库提权333
8.5 本章小结335
第9章企业综合实战案例
9.1 企业综合网络渗透案例一338
9.1.1 企业综合网络拓扑 338
9.1.2 综合渗透思路 339
9.1.3 综合渗透实践 339
9.1.4 网络安全防护方案 356
9.2 企业综合网络渗透案例二358
9.2.1 企业综合网络拓扑 358
9.2.2 综合渗透思路 359
9.2.3 综合渗透实践 359
9.2.4 网络安全防护方案 363
9.3 本章小结365
内容摘要
本书是中国网络安全审查技术与认证中心注册渗透测试人员认证(LicensedPenetrationTester,LPT)考试的配套教材,深入浅出地全面介绍了渗透测试的完整流程、原理知识和实用技术,涵盖信息收集、Web系统渗透、中间件、操作系统和数据库系统安全测试的要点,并简明扼要地介绍了常用的高级渗透技术,最后以实战导向的综合案例对渗透测试相关知识和技术进行整合应用。书中除了对常用渗透测试工具进行了详细的介绍以外,还为参加认证培训的人员提供了进行实践操作和考核的线上平台,力求 使读者能够做到理论与实际相结合、学以致用。 本书也可以作为大专院校网络安全相关专业的教材,或作为从事网络安全相关领域的专业人员之技术读本和工具书。
主编推荐
"网络安全工作从业者推荐阅读、网络安全渗透测试方向认证考试指导
"
— 没有更多了 —
以下为对购买帮助不大的评价