《漏洞利用及滲透測試基礎(第2版)》是2019年8月清華大學出版社出版的圖書,作者是劉哲理、李進、賈春福。
基本介紹
- 書名:漏洞利用及滲透測試基礎(第2版)
- 作者:劉哲理、李進、賈春福
- ISBN:9787302527046
- 定價:59元
- 出版社:清華大學出版社
- 出版時間:2019年8月
內容簡介,圖書目錄,
內容簡介
本書主要包含三部分內容,第一部分介紹了信息安全的基礎知識,包括堆疊基礎、彙編語言、PE檔案格式、信息安全專業必知必會的基礎工具OllyDBG和IDA Pro等;第二部分通過部分簡單案例深入淺出的介紹了漏洞利用及漏洞挖掘的原理,旨在讓讀者能直觀的認識漏洞的危害性,了解漏洞挖掘的基本思想和流程;第三部分則針對滲透測試及WEB套用安全進行了詳細講解,包括滲透測試框架Metasploit、針對Window XP系統的掃描和滲透、WEB套用開發原理、WEB套用的安全威脅、針對WEB的滲透攻擊等,其中,基於WEB的滲透測試對很多讀者而言很容易上手實踐,通過跟隨本書的案例可以加深對黑客攻防的認識。
本書是南開大學信息安全專業的必修課教材,建議在大二下學期使用。對於信息安全專業的學生而言,這是一本較為基礎、全面的入門級教程;對於非信息安全專業的學生,如果想了解一些軟體安全、WEB安全的知識,甚至僅僅是想知道黑客是怎么煉成的,也非常推薦來讀一讀。
圖書目錄
第1章緒論
1.1病毒和木馬
1.1.1病毒
1.1.2蠕蟲
1.1.3木馬
1.2漏洞危害
1.3滲透測試
1.4實驗環境
1.4.1VMware Workstation的使用
1.4.2認識Kali
第2章基礎知識
2.1堆疊基礎
2.1.1記憶體區域
2.1.2堆區和棧區
2.1.3函式調用
2.1.4常見暫存器與棧幀
2.2彙編語言
2.2.1主要暫存器
2.2.2定址方式
2.2.3主要指令
2.2.4函式調用彙編示例
2.3二進制檔案
2.3.1PE檔案格式
2.3.2虛擬記憶體
2.3.3PE檔案與虛擬記憶體的映射
2.4調試工具
2.4.1OllyDBG
2.4.2IDA
2.4.3OllyDBG示例
第3章漏洞概念
3.1概念及特點
3.1.1概念
3.1.2特點
3.2漏洞分類
3.2.1漏洞分類
3.2.2危險等級劃分
3.3漏洞庫
3.3.1CVE
3.3.2NVD
3.3.3CNNVD
3.3.4CNVD
3.3.5BugTraq
3.3.6其他漏洞庫
3.4第一個漏洞
3.4.1漏洞示例
3.4.2漏洞利用示例
第4章常見漏洞
4.1緩衝區溢出漏洞
4.1.1基本概念
4.1.2棧溢出漏洞
4.1.3其他溢出漏洞
4.2格式化字元串漏洞
4.3整數溢出漏洞
第5章漏洞利用
5.1漏洞利用概念
5.1.1有關概念
5.1.2示例
5.1.3Shellcode編寫
5.2軟體防護技術
5.2.1ASLR
5.2.2GS Stack protection
5.2.3DEP
5.2.4SafeSEH
5.2.5SEHOP
5.3漏洞利用技術
5.3.1地址利用技術
5.3.2繞過DEP保護
第6章漏洞挖掘
6.1靜態檢測
6.1.1靜態檢測方法
6.1.2靜態安全檢測技術的套用
6.1.3靜態安全檢測技術的實踐
6.2動態檢測
6.2.1模糊測試
6.2.2智慧型模糊測試
6.2.3動態污點分析
6.2.4動態檢測實踐
6.3動靜結合檢測
第7章滲透測試基礎
7.1滲透測試過程
7.2Kali Linux基礎
7.2.1常用指令
7.2.2軟體包管理
7.3滲透測試框架
7.3.1認識Metasploit
7.3.2常用命令
第8章滲透測試實踐
8.1信息收集
8.1.1被動信息收集
8.1.2主動信息收集
8.2掃描
8.2.1Nessus準備
8.2.2Nessus掃描
8.3漏洞利用
8.4後滲透攻擊
8.4.1挖掘用戶名和密碼
8.4.2獲取控制權
第9章Web安全基礎
9.1基礎知識
9.1.1HTTP協定
9.1.2HTML
9.1.3JavaScript
9.1.4HTTP會話管理
9.2Web編程環境安裝
9.2.1環境安裝
9.2.2JavaScript實踐
9.3PHP與資料庫編程
9.3.1PHP語言
9.3.2第一個Web程式
9.3.3連線資料庫
9.3.4查詢數據
9.3.5一個完整的示例
9.3.6Cookie實踐
9.4Web安全威脅
第10章Web滲透實戰基礎
10.1檔案上傳漏洞
10.1.1WebShell
10.1.2檔案上傳漏洞
10.2跨站腳本攻擊
10.2.1腳本的含義
10.2.2跨站腳本的含義
10.2.3跨站腳本攻擊的危害
10.3SQL注入漏洞
10.3.1SQL語法
10.3.2注入原理
10.3.3尋找注入點
10.3.4SQLMap
10.3.5SQL注入實踐
10.3.6SQL注入盲注
10.3.7SQL注入防禦措施
第11章Web滲透實戰進階
11.1檔案包含漏洞
11.1.1檔案包含
11.1.2本地檔案包含漏洞
11.1.3遠程檔案包含漏洞
11.1.4PHP偽協定
11.2反序列化漏洞
11.2.1序列化與反序列化
11.2.2PHP魔術方法
11.2.3PHP反序列化漏洞
11.3整站攻擊案例
第12章軟體安全開發
12.1軟體開發生命周期
12.1.1軟體開發生命周期
12.1.2軟體開發生命周期模型
12.2軟體安全開發
12.2.1建立安全威脅模型
12.2.2安全設計
12.2.3安全編程
12.2.4安全測試
12.3軟體安全開發生命周期
樣題
參考文獻
