Web滲透測(cè)試技術(shù)

定　價(jià)：￥69.00

作　者：	鄭天明
出版社：	清華大學(xué)出版社
叢編項(xiàng)：
標(biāo)　簽：	暫缺

購(gòu)買這本書可以去

ISBN：	9787302622055	出版時(shí)間：	2022-12-01	包裝：	平裝-膠訂
開(kāi)本：	16開(kāi)	頁(yè)數(shù)：		字?jǐn)?shù)：

內(nèi)容簡(jiǎn)介

　　本書為Web滲透測(cè)試知識(shí)普及與技術(shù)推廣教材，不僅能為Web滲透測(cè)試技術(shù)的初學(xué)者提供全面、實(shí)用的技術(shù)和理論基礎(chǔ)知識(shí)，而且能有效培養(yǎng)和提高讀者的Web安全防護(hù)能力。本書所有案例均在實(shí)驗(yàn)環(huán)境下進(jìn)行，并配套示例源碼、PPT課件、教學(xué)大綱、習(xí)題答案、作者答疑服務(wù)。本書共分12章，通過(guò)DVWA、Pikachu等靶場(chǎng)以及在線CTF實(shí)戰(zhàn)演練平臺(tái)，分析Web漏洞原理，掌握漏洞利用方法，并結(jié)合CTF實(shí)戰(zhàn)演練，使讀者能夠充分掌握Web滲透測(cè)試技術(shù)。本書重點(diǎn)介紹SQL注入、XSS、CSRF、SSRF、RCE、文件上傳、文件包含、暴力破解、反序列化、Web框架、CMS等常見(jiàn)的Web漏洞及其防御手段。本書適合Web滲透測(cè)試初學(xué)者、Web應(yīng)用開(kāi)發(fā)人員、Web應(yīng)用系統(tǒng)設(shè)計(jì)人員、Web應(yīng)用安全測(cè)試人員，可以作為企事業(yè)單位網(wǎng)絡(luò)安全從業(yè)人員的技術(shù)參考用書，也可以作為應(yīng)用型本科、高職高專網(wǎng)絡(luò)空間安全、信息安全類專業(yè)的教材。

作者簡(jiǎn)介

　　鄭天明，周口師范學(xué)院計(jì)算機(jī)學(xué)院講師、教研室副主任。擁有多年軟件開(kāi)發(fā)、滲透測(cè)試教學(xué)與研究經(jīng)驗(yàn)。希望撰寫此書對(duì)有志于Web滲透測(cè)試的初學(xué)者們有所幫助。

圖書目錄

第1章 Web開(kāi)發(fā)技術(shù)概述 1
1.1 Web基本概念 1
1.1.1 HTTP協(xié)議 1
1.1.2 Web服務(wù)器 5
1.1.3 瀏覽器 7
1.1.4 網(wǎng)絡(luò)程序開(kāi)發(fā)體系結(jié)構(gòu) 8
1.2 常見(jiàn)Web開(kāi)發(fā)技術(shù)體系 8
1.2.1 PHP體系 9
1.2.2 Java Web體系 11
1.2.3 ASP.NET體系 17
1.2.4 Python體系 20
1.2.5 Node.js體系 21
1.3 本章小結(jié) 24
1.4 習(xí)題 24
第2章 Web滲透測(cè)試技術(shù)概述 25
2.1 滲透測(cè)試基本概念 25
2.1.1 滲透測(cè)試定義 25
2.1.2 常見(jiàn)Web漏洞 25
2.1.3 滲透測(cè)試分類 26
2.2 滲透測(cè)試基本流程 27
2.3 滲透測(cè)試靶場(chǎng)搭建 28
2.3.1 法律 28
2.3.2 DVWA靶場(chǎng) 29
2.3.3 Pikachu靶場(chǎng) 31
2.3.4 Vulhub靶場(chǎng) 32
2.4 CTF實(shí)戰(zhàn)演練平臺(tái) 36
2.5 滲透測(cè)試常用工具 37
2.5.1 Burp Suite 37
2.5.2 Proxy SwitchyOmega插件 39
2.5.3 AWVS 40
2.5.4 Kali Linux 44
2.5.5 MSF 44
2.5.6 CS 49
2.6 本章小結(jié) 53
2.7 習(xí)題 53
第3章 SQL注入漏洞 54
3.1 漏洞概述 54
3.2 SQL注入常用函數(shù) 54
3.2.1 concat函數(shù) 54
3.2.2 length函數(shù) 55
3.2.3 ascii函數(shù) 55
3.2.4 substr函數(shù) 55
3.2.5 left、right函數(shù) 56
3.2.6 if函數(shù) 56
3.2.7 updatexml函數(shù) 56
3.3 漏洞分類及利用 57
3.3.1 基于聯(lián)合查詢的SQL注入 57
3.3.2 盲注 60
3.3.3 寬字節(jié) 66
3.3.4 insert/update/delete注入 66
3.3.5 header注入 69
3.4 sqli-labs訓(xùn)練平臺(tái) 71
3.5 SQLMap 76
3.6 CTF實(shí)戰(zhàn)演練 79
3.7 漏洞防御 83
3.7.1 使用過(guò)濾函數(shù) 83
3.7.2 預(yù)編譯語(yǔ)句 84
3.7.3 輸入驗(yàn)證 84
3.7.4 WAF 84
3.8 本章小結(jié) 84
3.9 習(xí)題 85
第4章 RCE漏洞 87
4.1 漏洞概述 87
4.2 漏洞分類 87
4.2.1 管道符 87
4.2.2 命令執(zhí)行漏洞 88
4.2.3 代碼注入漏洞 89
4.3 漏洞利用 90
4.4 CTF實(shí)戰(zhàn)演練 93
4.5 漏洞防御 96
4.6 本章小結(jié) 96
4.7 習(xí)題 96
第5章 XSS漏洞 98
5.1 漏洞概述 98
5.2 漏洞分類 98
5.2.1 反射型 98
5.2.2 存儲(chǔ)型 100
5.2.3 DOM型漏洞 101
5.3 漏洞利用 102
5.3.1 盜取Cookie 103
5.3.2 釣魚 104
5.3.3 鍵盤記錄 105
5.4 Beef 107
5.5 繞過(guò)XSS漏洞防御方法 110
5.5.1 大小寫混合 110
5.5.2 利用過(guò)濾后返回語(yǔ)句 110
5.5.3 標(biāo)簽屬性 110
5.5.4 事件 111
5.5.5 利用編碼 111
5.5.6 實(shí)例演示 112
5.6 CTF實(shí)戰(zhàn)演練 116
5.7 漏洞防御 120
5.8 本章小結(jié) 121
5.9 習(xí)題 121
第6章 CSRF漏洞 123
6.1 漏洞概述 123
6.2 漏洞原理 123
6.3 漏洞利用 124
6.3.1 CSRF_GET類型 124
6.3.2 CSRF_POST類型 126
6.4 漏洞防御 127
6.5 本章小結(jié) 128
6.6 習(xí)題 128
第7章 SSRF漏洞 129
7.1 漏洞概述 129
7.2 漏洞原理 129
7.2.1 file_get_contents函數(shù) 130
7.2.2 fsockopen函數(shù) 130
7.2.3 curl_exec函數(shù) 130
7.3 漏洞挖掘 131
7.4 偽協(xié)議 131
7.4.1 file://協(xié)議 131
7.4.2 dict://協(xié)議 132
7.4.3 sftp://協(xié)議 132
7.4.4 gopher://協(xié)議 132
7.5 漏洞利用 132
7.5.1 curl函數(shù) 132
7.5.2 file_get_content函數(shù) 133
7.6 CTF實(shí)戰(zhàn)演練 135
7.7 漏洞防御 138
7.8 本章小結(jié) 139
7.9 習(xí)題 139
第8章文件上傳漏洞 140
8.1 漏洞概述 140
8.2 Web服務(wù)器解析漏洞 140
8.2.1 IIS解析漏洞 141
8.2.2 Apache解析漏洞 141
8.2.3 Nginx解析漏洞 141
8.3 漏洞測(cè)試 141
8.4 文件上傳驗(yàn)證 145
8.4.1 白名單和黑名單規(guī)則 145
8.4.2 前端驗(yàn)證 145
8.4.3 服務(wù)端防御 146
8.5 文件上傳驗(yàn)證繞過(guò) 147
8.5.1 繞過(guò)前端驗(yàn)證 147
8.5.2 繞過(guò)服務(wù)端驗(yàn)證 149
8.6 upload-labs訓(xùn)練平臺(tái) 152
8.7 CTF實(shí)戰(zhàn)演練 158
8.8 漏洞防御 161
8.9 本章小結(jié) 161
8.10 習(xí)題 161
第9章文件包含漏洞 164
9.1 漏洞概述 164
9.2 文件包含函數(shù) 164
9.3 漏洞利用涉及的偽協(xié)議 165
9.3.1 測(cè)試模型 165
9.3.2 file://協(xié)議 165
9.3.3 http://協(xié)議 165
9.3.4 zip://、phar://協(xié)議 166
9.3.5 php://協(xié)議 167
9.3.6 data://協(xié)議 169
9.4 漏洞利用 170
9.4.1 圖片木馬利用 170
9.4.2 Access.log利用 171
9.5 CTF實(shí)戰(zhàn)演練 173
9.6 漏洞防御 177
9.7 本章小結(jié) 177
9.8 習(xí)題 177
第10章暴力破解漏洞 179
10.1 漏洞概述 179
10.2 漏洞利用 179
10.2.1 基于表單的暴力破解 179
10.2.2 基于驗(yàn)證碼繞過(guò)（on client） 184
10.2.3 基于驗(yàn)證碼繞過(guò)（on server） 185
10.2.4 基于Token驗(yàn)證繞過(guò) 186
10.3 CTF實(shí)戰(zhàn)演練 189
10.4 漏洞防御 191
10.5 本章小結(jié) 191
10.6 習(xí)題 191
第11章其他漏洞 193
11.1 反序列化漏洞 193
11.1.1 基本概念 193
11.1.2 漏洞概述 194
11.1.3 漏洞利用 194
11.1.4 CTF實(shí)戰(zhàn)演練 195
11.2 XXE漏洞 196
11.2.1 基本概念 196
11.2.2 漏洞利用 198
11.2.3 CTF實(shí)戰(zhàn)演練 199
11.2.4 漏洞防御 201
11.3 任意文件下載漏洞 201
11.3.1 漏洞概述 201
11.3.2 漏洞利用 201
11.3.3 CTF實(shí)戰(zhàn)演練 202
11.3.4 漏洞防御 204
11.4 越權(quán)漏洞 205
11.4.1 漏洞概述 205
11.4.2 漏洞利用 205
11.4.3 漏洞防御 207
11.5 本章小結(jié) 208
11.6 習(xí)題 208
第12章綜合漏洞 209
12.1 CMS漏洞 209
12.1.1 基本概念 209
12.1.2 漏洞案例 209
12.1.3 CTF實(shí)戰(zhàn)演練 220
12.2 Web框架漏洞 230
12.2.1 基本概念 230
12.2.2 漏洞案例 230
12.3 Web第三方組件漏洞 240
12.3.1 基本概念 240
12.3.2 漏洞案例 240
12.4 Web服務(wù)器漏洞 246
12.5 CTF實(shí)戰(zhàn)演練 253
12.6 本章小結(jié) 262
12.7 習(xí)題 262