Web滲透測試技術

Web滲透測試技術

《Web滲透測試技術》是清華大學出版社於2022年出版的書籍,作者是鄭天明

基本介紹

  • 書名:Web滲透測試技術
  • 作者:鄭天明
  • 出版社:清華大學出版社
  • 出版時間:2022年12月1日
  • 定價:69 元
  • ISBN:9787302622055
內容簡介,圖書目錄,

內容簡介

本書為Web滲透測試知識普及與技術推廣教材,不僅能為Web滲透測試技術的初學者提供全面、實用的技術和理論基礎知識,而且能有效培養和提高讀者的Web安全防護能力。本書所有案例均在實驗環境下進行,並配套示例源碼、PPT課件、教學大綱、習題答案、作者答疑服務。 本書共分12章,通過DVWA、Pikachu等靶場以及線上CTF實戰演練平台,分析Web漏洞原理,掌握漏洞利用方法,並結合CTF實戰演練,使讀者能夠充分掌握Web滲透測試技術。本書重點介紹SQL注入、XSS、CSRF、SSRF、RCE、檔案上傳、檔案包含、暴力破解、反序列化、Web框架、CMS等常見的Web漏洞及其防禦手段。 本書適合Web滲透測試初學者、Web套用開發人員、Web套用系統設計人員、Web套用安全測試人員,可以作為企事業單位網路安全從業人員的技術參考用

圖書目錄

第1章 Web開發技術概述 1
1.1 Web基本概念 1
1.1.1 HTTP協定 1
1.1.2 Web伺服器 5
1.1.3 瀏覽器 7
1.1.4 網路程式開發體系結構 8
1.2 常見Web開發技術體系 8
1.2.1 PHP體系 9
1.2.2 Java Web體系 11
1.2.3 ASP.NET體系 17
1.2.4 Python體系 20
1.2.5 Node.js體系 21
1.3 本章小結 24
1.4 習題 24
第2章 Web滲透測試技術概述 25
2.1 滲透測試基本概念 25
2.1.1 滲透測試定義 25
2.1.2 常見Web漏洞 25
2.1.3 滲透測試分類 26
2.2 滲透測試基本流程 27
2.3 滲透測試靶場搭建 28
2.3.1 法律 28
2.3.2 DVWA靶場 29
2.3.3 Pikachu靶場 31
2.3.4 Vulhub靶場 32
2.4 CTF實戰演練平台 36
2.5 滲透測試常用工具 37
2.5.1 Burp Suite 37
2.5.2 Proxy SwitchyOmega外掛程式 39
2.5.3 AWVS 40
2.5.4 Kali Linux 44
2.5.5 MSF 44
2.5.6 CS 49
2.6 本章小結 53
2.7 習題 53
第3章 SQL注入漏洞 54
3.1 漏洞概述 54
3.2 SQL注入常用函式 54
3.2.1 concat函式 54
3.2.2 length函式 55
3.2.3 ascii函式 55
3.2.4 substr函式 55
3.2.5 left、right函式 56
3.2.6 if函式 56
3.2.7 updatexml函式 56
3.3 漏洞分類及利用 57
3.3.1 基於聯合查詢的SQL注入 57
3.3.2 盲注 60
3.3.3 寬位元組 66
3.3.4 insert/update/delete注入 66
3.3.5 header注入 69
3.4 sqli-labs訓練平台 71
3.5 SQLMap 76
3.6 CTF實戰演練 79
3.7 漏洞防禦 83
3.7.1 使用過濾函式 83
3.7.2 預編譯語句 84
3.7.3 輸入驗證 84
3.7.4 WAF 84
3.8 本章小結 84
3.9 習題 85
第4章 RCE漏洞 87
4.1 漏洞概述 87
4.2 漏洞分類 87
4.2.1 管道符 87
4.2.2 命令執行漏洞 88
4.2.3 代碼注入漏洞 89
4.3 漏洞利用 90
4.4 CTF實戰演練 93
4.5 漏洞防禦 96
4.6 本章小結 96
4.7 習題 96
第5章 XSS漏洞 98
5.1 漏洞概述 98
5.2 漏洞分類 98
5.2.1 反射型 98
5.2.2 存儲型 100
5.2.3 DOM型漏洞 101
5.3 漏洞利用 102
5.3.1 盜取Cookie 103
5.3.2 釣魚 104
5.3.3 鍵盤記錄 105
5.4 Beef 107
5.5 繞過XSS漏洞防禦方法 110
5.5.1 大小寫混合 110
5.5.2 利用過濾後返回語句 110
5.5.3 標籤屬性 110
5.5.4 事件 111
5.5.5 利用編碼 111
5.5.6 實例演示 112
5.6 CTF實戰演練 116
5.7 漏洞防禦 120
5.8 本章小結 121
5.9 習題 121
第6章 CSRF漏洞 123
6.1 漏洞概述 123
6.2 漏洞原理 123
6.3 漏洞利用 124
6.3.1 CSRF_GET類型 124
6.3.2 CSRF_POST類型 126
6.4 漏洞防禦 127
6.5 本章小結 128
6.6 習題 128
第7章 SSRF漏洞 129
7.1 漏洞概述 129
7.2 漏洞原理 129
7.2.1 file_get_contents函式 130
7.2.2 fsockopen函式 130
7.2.3 curl_exec函式 130
7.3 漏洞挖掘 131
7.4 偽協定 131
7.4.1 file://協定 131
7.4.2 dict://協定 132
7.4.3 sftp://協定 132
7.4.4 gopher://協定 132
7.5 漏洞利用 132
7.5.1 curl函式 132
7.5.2 file_get_content函式 133
7.6 CTF實戰演練 135
7.7 漏洞防禦 138
7.8 本章小結 139
7.9 習題 139
第8章 檔案上傳漏洞 140
8.1 漏洞概述 140
8.2 Web伺服器解析漏洞 140
8.2.1 IIS解析漏洞 141
8.2.2 Apache解析漏洞 141
8.2.3 Nginx解析漏洞 141
8.3 漏洞測試 141
8.4 檔案上傳驗證 145
8.4.1 白名單和黑名單規則 145
8.4.2 前端驗證 145
8.4.3 服務端防禦 146
8.5 檔案上傳驗證繞過 147
8.5.1 繞過前端驗證 147
8.5.2 繞過服務端驗證 149
8.6 upload-labs訓練平台 152
8.7 CTF實戰演練 158
8.8 漏洞防禦 161
8.9 本章小結 161
8.10 習題 161
第9章 檔案包含漏洞 164
9.1 漏洞概述 164
9.2 檔案包含函式 164
9.3 漏洞利用涉及的偽協定 165
9.3.1 測試模型 165
9.3.2 file://協定 165
9.3.3 http://協定 165
9.3.4 zip://、phar://協定 166
9.3.5 php://協定 167
9.3.6 data://協定 169
9.4 漏洞利用 170
9.4.1 圖片木馬利用 170
9.4.2 Access.log利用 171
9.5 CTF實戰演練 173
9.6 漏洞防禦 177
9.7 本章小結 177
9.8 習題 177
第10章 暴力破解漏洞 179
10.1 漏洞概述 179
10.2 漏洞利用 179
10.2.1 基於表單的暴力破解 179
10.2.2 基於驗證碼繞過(on client) 184
10.2.3 基於驗證碼繞過(on server) 185
10.2.4 基於Token驗證繞過 186
10.3 CTF實戰演練 189
10.4 漏洞防禦 191
10.5 本章小結 191
10.6 習題 191
第11章 其他漏洞 193
11.1 反序列化漏洞 193
11.1.1 基本概念 193
11.1.2 漏洞概述 194
11.1.3 漏洞利用 194
11.1.4 CTF實戰演練 195
11.2 XXE漏洞 196
11.2.1 基本概念 196
11.2.2 漏洞利用 198
11.2.3 CTF實戰演練 199
11.2.4 漏洞防禦 201
11.3 任意檔案下載漏洞 201
11.3.1 漏洞概述 201
11.3.2 漏洞利用 201
11.3.3 CTF實戰演練 202
11.3.4 漏洞防禦 204
11.4 越權漏洞 205
11.4.1 漏洞概述 205
11.4.2 漏洞利用 205
11.4.3 漏洞防禦 207
11.5 本章小結 208
11.6 習題 208
第12章 綜合漏洞 209
12.1 CMS漏洞 209
12.1.1 基本概念 209
12.1.2 漏洞案例 209
12.1.3 CTF實戰演練 220
12.2 Web框架漏洞 230
12.2.1 基本概念 230
12.2.2 漏洞案例 230
12.3 Web第三方組件漏洞 240
12.3.1 基本概念 240
12.3.2 漏洞案例 240
12.4 Web伺服器漏洞 246
12.5 CTF實戰演練 253
12.6 本章小結 262
12.7 習題 262

熱門詞條

聯絡我們