网络安全攻防技术:WEB安全篇
全新正版 极速发货
¥
51.68
6.5折
¥
79
全新
库存7件
作者罗永龙
出版社科学出版社
ISBN9787030787538
出版时间2024-06
装帧平装
开本其他
定价79元
货号1203307365
上书时间2024-09-05
商品详情
- 品相描述:全新
- 商品描述
-
目录
目录
第1章 网络安全攻防绪论1
1.1 网络安全概念1
1.1.1 主要特性1
1.1.2 预防措施3
1.1.3 发展方向6
1.2 网络安全的背景与现状6
1.3 网络安全的意义9
本章小结10
第2章 口令认证机制攻击11
2.1 认证技术11
2.1.1 概述11
2.1.2 认证阶段13
2.1.3 常见身份认证技术14
2.2 口令认证机制15
2.2.1 口令15
2.2.2 口令认证的分类16
2.3 口令认证攻击17
2.3.1 弱口令17
2.3.2 暴力破解18
2.4 口令攻击案例22
2.4.1 系统服务攻击22
2.4.2 数据库攻击23
2.4.3 中间件攻击24
2.4.4 Web应用攻击25
本章小结31
第3章 跨站脚本攻击32
3.1 跨站脚本攻击概述32
3.1.1 什么是XSS32
3.1.2 XSS简单演示32
3.2 跨站脚本攻击的危害与分类34
3.2.1 XSS攻击的危害34
3.2.2 XSS攻击的分类34
3.3 跨站脚本攻击的实现过程37
3.3.1 挖掘XSS漏洞38
3.3.2 准备攻击字符串,构造攻击URL41
3.4 跨站脚本攻击的检测与防御51
3.4.1 XSS攻击的检测51
3.4.2 XSS攻击的防御55
3.5 跨站脚本攻击实例分析60
3.5.1 客户端信息探测60
3.5.2 Cookie窃取62
3.5.3 网络钓鱼64
3.5.4 添加管理员69
3.5.5 XSSGetShell72
3.5.6 XSS蠕虫76
3.5.7 其他恶意攻击79
本章小结81
第4章 SQL注入82
4.1 什么是SQL注入82
4.1.1 理解SQL注入82
4.1.2 OWASP82
4.1.3 SQL注入的产生过程83
4.1.4 SQL注入的危害83
4.1.5 SQL注入攻击84
4.1.6 取消友好http错误消息84
4.1.7 寻找SQL注入84
4.1.8 确认注入点85
4.1.9 区分数字和字符串85
4.1.10 内联SQL注入85
4.1.11 字符串内联注入86
4.1.12 数字值内联注入87
4.1.13 终止式SQL注入88
4.1.14 数据库注释语法88
4.1.15 使用注释89
4.1.16 识别数据库90
4.2 ASP+Access注入91
4.2.1 爆出数据库类型91
4.2.2 猜表名92
4.2.3 猜字段名及字段长度92
4.2.4 猜字段值93
4.2.5 SQL注入中的高效查询——ORDER BY与UNION SELECT93
4.3 ASPX+MsSQL注入94
4.3.1 MsSQL注入点的基本检查94
4.3.2 检查与恢复扩展存储95
4.3.3 xp_cmdshell扩展执行任意命令96
4.3.4 xp_regwrite操作注册表与开启沙盒模式96
4.3.5 利用sp_makewebtash写入一句话木马97
4.3.6 DBowner权限下的扩展攻击利用97
4.3.7 MsSQL注入猜解数据库技术98
4.3.8 查询爆库的另一种方法99
4.3.9 UNION SELECT查询注入技术100
4.3.10 窃取哈希口令102
4.4 PHP+MySQL注入103
4.4.1 MySQL数据库常见注入攻击技术103
4.4.2 MySQL数据库注入攻击基本技术104
4.4.3 LIMIT查询在MySQL5注入中的利用105
4.4.4 LIMIT子句查询指定数据105
4.4.5 LIMIT爆库、爆表与爆字段106
4.4.6 group_concat函数快速实施MySQL注入攻击106
4.4.7 窃取哈希口令107
4.5 JSP+Oracle注入107
4.5.1 Oracle注入点信息基本检测107
4.5.2 利用Oracle系统表爆数据内容109
4.5.3 UTL_HTTP存储过程反弹注入攻击110
4.6 工具介绍111
4.6.1 啊D111
4.6.2 Pangolin113
4.6.3 SQLMap115
4.7 SQL盲注117
4.7.1 寻找并确认SQL盲注117
4.7.2 基于时间技术118
4.8 访问文件系统120
4.8.1 读文件121
4.8.2 写文件122
4.9 SQL注入绕过123
4.9.1 使用大小写123
4.9.2 使用SQL注释123
4.9.3 使用URL编码124
4.9.4 使用动态的查询执行125
4.9.5 使用空字节125
4.9.6 嵌套剥离后的表达式126
4.10 防御SQL注入126
4.10.1 使用参数化语句126
4.10.2 输入验证126
4.10.3 编码输出127
4.10.4 使用存储过程127
本章小结127
第5章 文件上传和文件包含128
5.1 文件上传攻击128
5.1.1 文件上传简介128
5.1.2 文件上传注入攻击146
5.1.3 文件解析漏洞151
5.1.4 编辑器漏洞152
5.2 文件包含攻击160
5.2.1 文件包含概述160
5.2.2 本地文件包含160
5.2.3 远程文件包含170
5.2.4 文件包含防御173
本章小结173
第6章 安全漏洞代码审计175
6.1 代码审计简述175
6.1.1 代码审计的概念175
6.1.2 代码审计发展历程175
6.1.3 代码审计的作用和意义176
6.2 代码审计思路177
6.2.1 准备工作177
6.2.2 一个原则177
6.2.3 三种方法177
6.3 环境搭建177
6.4 审计工具介绍与安装180
6.4.1 TommSearch工具180
6.4.2 CodeXploiter工具181
6.5 自动化挖掘漏洞实验182
6.5.1 SQL注入漏洞实验182
6.5.2 XSS跨站漏洞实验184
6.5.3 文件上传漏洞实验185
6.5.4 命令执行漏洞实验187
6.5.5 代码执行漏洞实验188
6.6 人工挖掘漏洞基础189
6.6.1 常用代码调试函数189
6.6.2 涉及的超全局变量192
6.6.3 引发命令注入的相关函数196
6.6.4 引发代码执行的相关函数201
6.6.5 引发本地包含与远程包含的相关函数204
6.6.6 引发XSS漏洞的相关函数206
6.6.7 引发文件上传漏洞的相关函数209
6.6.8 引发SQL注入的相关函数213
6.7 人工挖掘漏洞进阶技巧216
6.7.1 CSRF漏洞217
6.7.2 动态函数执行与匿名函数执行漏洞219
6.7.3 unserialize反序列化漏洞222
6.7.4 覆盖变量漏洞227
6.7.5 文件操作漏洞229
本章小结231
第7章 服务器提权232
7.1 服务器提权攻击简介232
7.1.1 用户组权限232
7.1.2 文件权限232
7.2 文件权限配置不当提权232
7.2.1 普通提权232
7.2.2 NC反弹提权233
7.2.3 启动项提权233
7.3 第三方软件提权233
7.3.1 Radmin提权233
7.3.2 PcAnywhere提权234
7.3.3 Serv-U提权236
7.3.4 VNC提权237
7.4 数据库提权238
7.4.1 MsSQL:xp_cmdshell提权238
7.4.2 MsSQL:sp_oacreate提权238
7.4.3 MsSQL:映像劫持提权239
7.4.4 MsSQL:沙盒模式提权240
7.4.5 MySQL:UDF提权241
7.4.6 MySQL安装MySQLDLL提权242
7.4.7 Oracle:Java提权242
7.5 服务器溢出提权245
7.5.1 IIS6.0本地溢出提权245
7.5.2 PR提权245
7.5.3 Churrasco提权247
7.5.4 Ms06_040溢出提权248
7.5.5 Ms08_067溢出提权249
7.5.6 Linux提权250
本章小结251
第8章 内网渗透252
8.1 内网渗透基础252
8.1.1 内网概述252
8.1.2 域252
8.1.3 工作组252
8.1.4 AD和DC252
8.2 内网信息收集253
8.2.1 本机信息收集253
8.2.2 扩散信息收集253
8.2.3 常见信息的收集命令254
8.3 内网渗透方法254
8.3.1 内网跨边界255
8.3.2 用户Hash值抓取262
8.3.3 Hash注入与传递264
8.3.4 密码记录工具266
8.3.5 Windows自带的网络服务内网攻击271
8.3.6 Windows系统第三方网络服务渗透攻击279
8.3.7 ARP和DNS攻击285
8.4 内网安全防护286
本章小结287
第9章 恶意代码288
9.1 恶意代码概述288
9.1.1 病毒的危害解析288
9.1.2 木马的原理和行为288
9.1.3 网马解密和免杀原理288
9.1.4 WebShell讲解288
9.1.5 Rootkit后门安装与查杀289
9.1.6 恶意程序的工作原理289
9.2 恶意代码案例289
9.2.1 熊猫烧香病毒案例分析以及手工查杀方法289
9.2.2 QQ号木马查杀293
9.2.3 网马的原理和免杀技术解析296
9.2.4 WebShell讲解302
9.2.5 MaxFix Rootkit后门的安装和查杀307
9.3 恶意代码总结311
9.3.1 计算机中毒的原因和防护311
9.3.2 恶意代码的防治311
9.3.3 计算机中毒的常见典型状况312
本章小结312
内容摘要
本书系统的介绍了Web安全的相关基础理论,通过一些具体的实例介绍了Web攻防的核心技术。本书共9章,第1章主要介绍网络安全的背景、现状、定义以及近些年来网络安全的相关事件。第2章主要介绍弱口令的概念、具体案例以及暴力破解的方法与工具。第3章主要介绍跨站脚本攻击的基本原理、检测及其防御方法,并给出了实例分析。第4章介绍数据库SQL注入的概念、原理、实现过程,介绍了常用的SQL注入方法及其防御技术。第5章介绍文件上传和文件包含攻击与防御的概念与方法。第6章主要从工具和手工两个角度介绍PHP代码审计的实践技术。第7章主要介绍服务器提权攻击的相关技术,包括文件权限配置不当提权、第三方软件提权、数据库提权与服务器溢出提权。第8章主要介绍内网渗透的基础、信息收集、渗透方法与安全防护。第9章介绍恶意代码的基本概念和一些相关的案例。
— 没有更多了 —
以下为对购买帮助不大的评价