網(wǎng)站滲透測試實(shí)戰(zhàn)入門

定　價：￥39.00

作　者：	陳明照
出版社：	機(jī)械工業(yè)出版社
叢編項(xiàng)：
標(biāo)　簽：	程序設(shè)計計算機(jī)/網(wǎng)絡(luò) 網(wǎng)站開發(fā)

購買這本書可以去

ISBN：	9787111519065	出版時間：	2015-12-01	包裝：	平裝
開本：	16開	頁數(shù)：	170	字?jǐn)?shù)：

內(nèi)容簡介

　　用戶將系統(tǒng)部署到網(wǎng)站上時可能會遭到惡意攻擊，因此系統(tǒng)從開始規(guī)劃就必須注重相關(guān)的安全防護(hù)，但一組系統(tǒng)的成型需要經(jīng)過多人的手，如何保證每個人都盡到安全防護(hù)的責(zé)任？又應(yīng)該怎么驗(yàn)證？況且每天都有新的弱點(diǎn)、漏洞被發(fā)現(xiàn)，要如何得知原本安全的系統(tǒng)，是否也存在新發(fā)現(xiàn)的漏洞？要發(fā)現(xiàn)這些漏洞就需要依靠良性的測試，也就是所謂的“滲透測試”。本書將告訴用戶滲透測試操作的步驟，并介紹一些免費(fèi)的的工具給讀者參考，即使沒有深厚的理論基礎(chǔ)，只要照著本書的步驟練習(xí)，也能輕松學(xué)習(xí)。

作者簡介

暫缺《網(wǎng)站滲透測試實(shí)戰(zhàn)入門》作者簡介

圖書目錄

目錄
序
第1章關(guān)于滲透測試 1
滲透測試的目的 2
了解入侵者可能利用的途徑 2
了解系統(tǒng)及網(wǎng)絡(luò)的安全強(qiáng)度 3
了解弱點(diǎn)、強(qiáng)化安全 3
理論中的滲透測試 3
我眼中的滲透測試 4
滲透測試的入門知識 5
為什么只在網(wǎng)站中進(jìn)行滲透測試 6
本書的目的 7
重點(diǎn)提示 8
第2章滲透測試的基本程序 9
執(zhí)行步驟 10
測試程序的PDCA 13
重點(diǎn)提示 14
第3章滲透測試的練習(xí)環(huán)境 15
在線提供的滲透測試網(wǎng)站 16
自建模擬測試環(huán)境 19
安裝WebGoat環(huán)境 19
安裝DVWA環(huán)境 24
安裝Mutillidae 30
使用真實(shí)的網(wǎng)站環(huán)境 35
準(zhǔn)備滲透工具的執(zhí)行環(huán)境 35
重點(diǎn)提示 37
第4章網(wǎng)站弱點(diǎn)概述 38
OWASP TOP 10 39
A1——Injection（注入攻擊） 39
A2——Broken Authentication and Session Management
（失效的驗(yàn)證與會話管理） 41
A3——Cross-Site Scripting（XSS，跨站腳本攻擊） 41
A4——Insecure Direct Object References（不安全的直接對象引用） 43
A5——Security Misconfiguration（不當(dāng)?shù)陌踩O(shè)置） 44
A6——Sensitive Data Exposure（敏感數(shù)據(jù)暴露） 46
A7——Missing Function Level Access Control
（訪問控制缺乏權(quán)限分級功能） 47
A8——Cross Site Request Forgery（CSRF，跨站冒名請求） 48
A9——Using Components with Known Vulnerabilities
（使用存在已知漏洞的組件） 49
A10——Unvalidated Redirects and Forwards（未經(jīng)驗(yàn)證的重定向與轉(zhuǎn)送） 49
其他常見的網(wǎng)頁程序弱點(diǎn) 51
B1——過度信息揭露 51
B2——robots.txt 泄漏網(wǎng)站架構(gòu) 51
B3——文件上傳機(jī)制 52
B4——AJAX機(jī)制 52
B5——Cross Frame Scripting（XFS，跨框架腳本攻擊） 53
B6——?dú)埓鎮(zhèn)浞菸募騻浞菽夸?56
補(bǔ)充說明 57
關(guān)于Blind SQL Injection 57
關(guān)于Cross Site Scripting（XSS） 58
關(guān)于Session Hijacking 59
關(guān)于Clickjacking 60
重點(diǎn)提示 60
第5章信息搜集 61
nslookup 62
whois 63
SiteDigger 66
theHarvester.py 67
HTTrack 69
DirBuster 72
在線漏洞數(shù)據(jù)庫 75
archive.org（網(wǎng)址：https://web.archive.org） 75
WooYun.org（網(wǎng)址：http://www.wooyun.org） 77
重點(diǎn)提示 78
第6章網(wǎng)站探測及弱點(diǎn)評估 79
NMAP 80
OWASP ZAP 84
w3af 89
調(diào)校w3af 93
其他輔助型的 Plugin 94
MSBSA 95
Wfetch 97
重點(diǎn)提示 102
第7章網(wǎng)站滲透 103
關(guān)于Local Proxy 104
WebScarab 107
WebScarab的基礎(chǔ)操作 107
為什么攔截 111
調(diào)整攔截結(jié)果 114
ZAP 116
BurpSuite 121
thc-hydra 130
hydra選項(xiàng) 132
利用hydra猜測賬號 134
SQLmap 135
重點(diǎn)提示 141
第8章離線密碼破解 143
在線破解 145
RainbowCrack 146
建立自己的彩虹表 147
排序彩虹表 149
使用彩虹表 150
John the Ripper 151
簡單模式 153
密碼字典模式 153
暴力猜解模式 153
關(guān)于john.pot 156
暫時中斷執(zhí)行 157
重點(diǎn)提示 158
第9章滲透測試報告 159
準(zhǔn)備好滲透測試記錄 160
撰寫滲透測試報告書 160
報告書的撰寫建議 161
重點(diǎn) 162
圖表重于文字 162
結(jié)果與建議 162
重點(diǎn)提示 162
第10章持續(xù)精進(jìn)技巧 164
延伸閱讀 166
重點(diǎn)提示 168
附錄 169