网站渗透测试实战入门

图书标准信息

• 作者 陈明照 著；卞诚君 译
• 出版社 机械工业出版社
• 出版时间 2015-12
• 版次 1
• ISBN 9787111519065
• 定价 39.00元
• 装帧 平装
• 开本 16开
• 纸张 胶版纸
• 页数 170页

【内容简介】

　　用户将系统部署到网站上时可能会遭到恶意攻击，因此系统从开始规划就必须注重相关的安全防护，但一组系统的成型需要经过多人的手，如何保证每个人都尽到安全防护的责任？又应该怎么验证？况且每天都有新的弱点、漏洞被发现，要如何得知原本安全的系统，是否也存在新发现的漏洞？要发现这些漏洞就需要依靠良性的测试，也就是所谓的“渗透测试”。本书将告诉用户渗透测试操作的步骤，并介绍一些免费的的工具给读者参考，即使没有深厚的理论基础，只要照着本书的步骤练习，也能轻松学习。

【目录】

序
第1章  关于渗透测试1
渗透测试的目的2
了解入侵者可能利用的途径2
了解系统及网络的安全强度3
了解弱点、强化安全3
理论中的渗透测试3
我眼中的渗透测试4
渗透测试的入门知识5
为什么只在网站中进行渗透测试6
本书的目的7
重点提示8
第2章  渗透测试的基本程序9
执行步骤10
测试程序的PDCA13
重点提示14
第3章  渗透测试的练习环境15
在线提供的渗透测试网站16
自建模拟测试环境19
安装WebGoat环境19
安装DVWA环境24
安装Mutillidae30
使用真实的网站环境35
准备渗透工具的执行环境35
重点提示37
第4章  网站弱点概述38
OWASP TOP 1039
A1——Injection（注入攻击）39
A2——Broken Authentication and Session Management
（失效的验证与会话管理）41
A3——Cross-Site Scripting（XSS，跨站脚本攻击）41
A4——Insecure Direct Object References（不安全的直接对象引用）43
A5——Security Misconfiguration（不当的安全设置）44
A6——Sensitive Data Exposure（敏感数据暴露）46
A7——Missing Function Level Access Control
（访问控制缺乏权限分级功能）47
A8——Cross Site Request Forgery（CSRF，跨站冒名请求）48
A9——Using Components with Known Vulnerabilities
（使用存在已知漏洞的组件）49
A10——Unvalidated Redirects and Forwards（未经验证的重定向与转送）49
其他常见的网页程序弱点51
B1——过度信息揭露51
B2——robots.txt 泄漏网站架构51
B3——文件上传机制52
B4——AJAX机制52
B5——Cross Frame Scripting（XFS，跨框架脚本攻击）53
B6——残存备份文件或备份目录56
补充说明57
关于Blind SQL Injection57
关于Cross Site Scripting（XSS）58
关于Session Hijacking59
关于Clickjacking60
重点提示60
第5章  信息搜集61
nslookup62
whois63
SiteDigger66
theHarvester.py67
HTTrack69
DirBuster72
在线漏洞数据库75
archive.org（网址：https://web.archive.org）75
WooYun.org（网址：http://www.wooyun.org）77
重点提示78
第6章  网站探测及弱点评估79
NMAP80
OWASP ZAP84
w3af89
调校w3af93
其他辅助型的 Plugin94
MSBSA95
Wfetch97
重点提示102
第7章  网站渗透103
关于Local Proxy104
WebScarab107
WebScarab的基础操作107
为什么拦截111
调整拦截结果114
ZAP116
BurpSuite121
thc-hydra130
hydra选项132
利用hydra猜测账号134
SQLmap135
重点提示141
第8章  离线密码破解143
在线破解145
RainbowCrack146
建立自己的彩虹表147
排序彩虹表149
使用彩虹表150
John the Ripper151
简单模式153
密码字典模式153
暴力猜解模式153
关于john.pot156
暂时中断执行157
重点提示158
第9章  渗透测试报告159
准备好渗透测试记录160
撰写渗透测试报告书160
报告书的撰写建议161
重点162
图表重于文字162
结果与建议162
重点提示162
第10章  持续精进技巧164
延伸阅读166
重点提示168
附录169