诺森图书音像专营店
联系客服
扫码下单
基础篇
章 渗透基础技术
1.1 搭建DVWA渗透测试平台
1.1.1 Windows下搭建DVWA渗透测试平台
1.1.2 在Kali 2016上安装DVWA渗透测试平台
1.1.3 在Kali 2017上安装DVWA渗透测试平台
1.2 一句话后门利用及作
1.2.2 有关一句话后门的收集与整理
1.. 使用技巧及总结
理论篇
第2章 信息收集
2.1 域名查询技术
2.1.1 域名小知识
2.1.2 域名在渗透中的作用
2.1.3 使用yougetsignal查询域名
2.1.4 使用Acunetix Web Vulnerability Scanner查询子域名
2.1.5 旁注域名查询
2.1.6 通过netcraft查询
2.2 使用Nmap扫描Web服务器端口
2.2.1 安装与配置Nmap
2.2.2 端口扫描准备工作
2.. Nmap使用参数介绍
2.2.4 Zenmap扫描命令模板
2.2.5 使用Nmap中的脚本进行扫描
2.2.6 Nmap扫描实战
2.2.7 扫描结果分析及处理
2.2.8 扫描后期渗透思路
. 使用IIS PUT Scaner扫描常见端口
..1 设置扫描IP地址和扫描端口
..2 查看和保存扫描结果
.. 再次对扫描的结果进行扫描
..4 思路利用及总结
2.4 F12信息收集
2.4.1 注释信息收集
2.4.2 hidden信息收集
2.4.3 相对路径信息收集
2.4.4 Webserer息收集
2.4.5 JavaScript功能信息收集
2.4.6 总结
实战篇
参考文献
近几年网络安全越来越火,越来越多高校单独开设了网络安全专业,也将网络安全列为发展战略——没有网络的安全就没有安全!精通网络安全的从业人员待遇也进一步随之高。在很多企业都在招聘网络安全人才,但很难招到真正懂实战技术的人。各种社会企业在急需网络安全人才的同时,各大高校也在积极培育网络安全人才,本书的目的是让读者既能学到理论基础,也能获取各种实战经验。在笔者看来,真正的网络攻防是由很多知识点组成的,这些知识点就是技术,就是理论的高度浓缩。渗透技术就是一层纸,需要用知识点去捅破它,才能使读者真正理解其原理,明白漏洞带来的危害和相对应的防御方法,理解攻击就是的防御。本书从实战的角度来讨论如何进行Web服务器的渗透,介绍了目前些主的攻击手法。北京丁牛等企业安全团队也参与了本书的编写,并从企业的角度对这些攻击手段进行了一一验,确保读者看到有效的实际攻防案例,这将有于企业构建良好的安全防御系统。书中的知识点也可以在实际渗透测试时用来参考。本书共7章,从渗透实战角度以及渗透基础知识开始,然后介绍了信息收集、漏洞扫描、Web漏洞分析及利用等,按照容易理解的方式对这些内容进行了分类和总结,每一小节都是精心编写,既有基础理论,也有实战技巧和案例总结,做到了理论与实战相结合。章是Web渗透基础技术,主要针对Web服务器渗透过程中一些的基础技术进行介绍。第2章是信息收集,主要介绍了域名查询、端口信息收集、指纹识别以及一些常见的信息收集方法、工具和思路。第3章是Web漏洞扫描,主要介绍了如何对漏洞进行扫描,对Web目录、Windows系统账号、3389口令等进行扫描,同时还介绍了常见的一些Web漏洞扫描工具。第4章是Web常见漏洞分析与利用,主要介绍了如何对各种漏洞进行有效利用和分析。本章中选择具有代表意义的信息泄露漏洞、SL注入漏洞、各种后台账号的利用和远程溢出漏洞等技术来进行介绍和分析,在实际渗透过程中要灵活运用,善于根据已有漏洞来再现漏洞利用和利用漏洞扩展权限。第5章是实战中常见的加密与解密,目前在绝大部分的CMS系统中都会对涉及用户名和密码的部分进行全加密或者半加密,有的甚至使用了变异加密,如果想要获取更多的信息,就必须对这些密码进行解密。本章精选了在渗透实战中会碰到的一些加密场景,并针对这些场景进行解密,通过这些场景可以快速掌握Web服务器渗透中涉及的加解密技术。第6章是常见文件上传漏洞及利用,精选了各种典型上传渗透漏洞渗透实例并进行了介绍和分析,通过这些案例可以快速掌握Web渗透中的上传漏洞利用技术。第7章是CMS常见漏洞及其利用,主要介绍了一些常见的CMS系统出现的SL注入漏洞、缓冲包含、命令执行等漏洞。资源下载书中提到的所有相关资源,可到北京丁牛科技有限公司(http://www.digapis.cn/?book/webpenetest.html)下载。该公司为本书提供了大量的素材、实战案例和实验环境等,多次对Web服务器渗透相关技术进行了探讨和深入研究。特别声明本书的目的绝不是为那些怀有不良动机的人提供理论和技术支持,也不承担因为技术被滥用所产生的连带责任。本书的目的在于优选限度地引起人们对网络安全的重视,并希望相关部门能够采取相应的安全措施,从而减少由网络安全问题而带来的经济损失,让个人、企业和网络更加安全。由于作者水平有限,加之时间仓促,书中疏漏之处在所难免,恳请广大读者批评指正,在本书的后续再版中,我们将不断完善有关Web服务器渗透实战机器防御技术体系的深度和广度。问题反馈与提问读者在阅读本书的过程中若有任何问题或者意见,可以发邮件至365028876@qq.com;或加入群(436519159)进行沟通和交流。作者的个人博客是:http://blog.51cto.com/simeon。
非常抱歉,您前期未参加预订活动,
无法支付尾款哦!
