图书介绍
Web网站漏洞扫描与渗透攻击工具揭秘pdf电子书版本下载
- 王顺编 著
- 出版社: 北京:清华大学出版社
- ISBN:9787302423874
- 出版时间:2016
- 标注页数:320页
- 文件大小:15MB
- 文件页数:127页
- 主题词:计算机网络-安全技术-高等学校-教材
PDF下载
下载说明
Web网站漏洞扫描与渗透攻击工具揭秘PDF格式电子书版下载
下载的文件为RAR压缩包。需要使用解压软件进行解压得到PDF格式图书。建议使用BT下载工具Free Download Manager进行下载,简称FDM(免费,没有广告,支持多平台)。本站资源全部打包为BT种子。所以需要使用专业的BT下载软件进行下载。如 BitComet qBittorrent uTorrent等BT下载工具。迅雷目前由于本站不是热门资源。不推荐使用!后期资源热门了。安装了迅雷也可以迅雷进行下载!
(文件页数 要大于 标注页数,上中下等多册电子书除外)
注意:本站所有压缩包均有解压码: 点击下载压缩包解压工具
图书目录
第1章 从国际视野看Web安全 1
1.1 Web安全问题出现的背景分析 1
1.1.1 Web安全兴起原因 1
1.1.2 Web网络空间的特性 1
1.1.3 Web信息传播的优势 2
1.1.4 Web安全的挑战 3
1.2 Web安全典型案例及分析 3
1.2.1 2011年3月RSA被钓鱼邮件攻击 3
1.2.2 2011年6月美国花旗银行遭黑 4
1.2.3 2012年1月赛门铁克企业级源代码被盗 4
1.2.4 2012年6月LinkedIn用户密码泄露 5
1.2.5 2012年7月雅虎服务器被黑用户信息泄露 5
1.2.6 2013年6月美国“棱镜”灼伤全球公众隐私 6
1.2.7 2015年2月Google越南站遭DNS劫持 7
1.2.8 2015年3月GitHub遭遇超大规模DDoS攻击 8
1.3 流行Web安全漏洞扫描与渗透攻击工具 8
1.3.1 OWASP ZAP网站漏洞扫描与综合类渗透测试工具 9
1.3.2 IBM Security AppScan Web安全扫描与安全审计工具 9
1.3.3 WebScarab分析使用HTTP和HTTPS协议通信工具 9
1.3.4 Pangolin SQL数据库注入渗透测试工具 9
1.3.5 Metasploit安全漏洞检测与渗透测试工具 9
1.3.6 BeEF Web浏览器渗透攻击工具 10
1.3.7 Nmap网络发掘和安全审计工具 10
1.3.8 Nikto Web服务器扫描工具 10
1.3.9 Httprint Web服务器指纹识别工具 11
1.3.10 DirBuster遍历Web应用服务器目录和文件工具 11
1.3.11 W3AF Web应用程序攻击和审计框架 11
1.3.12 Wireshark网络数据包分析软件 11
1.3.13 Burp Suite攻击Web应用程序集成平台 12
1.4 国际著名十大Web安全攻击分析 12
1.4.1 未验证的重定向和转发 13
1.4.2 不安全的通信 14
1.4.3 URL访问控制不当 15
1.4.4 不安全的加密存储 15
1.4.5 安全配置错误 16
1.4.6 跨站请求伪造 16
1.4.7 不安全的直接对象引用 17
1.4.8 失效的身份认证和会话管理 18
1.4.9 跨站脚本攻击 18
1.4.10 SQL注入 20
1.5 美国国防部最佳实践OWASP项目 22
1.5.1 OWASP定义 22
1.5.2 OWASP上最新的Web安全攻击与防范技术 22
1.5.3 Wiki上最新的Web安全攻击与防范技术 22
1.6 国际著名漏洞知识库CVE 23
1.6.1 CVE简介 23
1.6.2 漏洞与暴露 24
1.6.3 CVE的特点 24
1.7 美国国家安全局倡议CWE 25
1.7.1 CWE简介 25
1.7.2 CWE与OWASP的比较 25
1.7.3 CWE TOP 25 25
第2章 网站漏洞扫描与综合类渗透测试工具ZAP 28
2.1 ZAP简介 28
2.1.1 ZAP的特点 28
2.1.2 ZAP的主要功能 28
2.2 安装ZAP 29
2.2.1 环境需求 29
2.2.2 安装步骤 29
2.3 基本原则 33
2.3.1 配置代理 33
2.3.2 ZAP的整体框架 38
2.3.3 用户界面 38
2.3.4 基本设置 38
2.3.5 工作流程 41
2.4 自动扫描实例 42
2.4.1 扫描配置 42
2.4.2 扫描步骤 43
2.4.3 进一步扫描 45
2.4.4 扫描结果 48
2.5 手动扫描实例 49
2.5.1 扫描配置 49
2.5.2 扫描步骤 49
2.5.3 扫描结果 51
2.6 扫描报告 52
2.6.1 集成开发环境中的警报 52
2.6.2 生成报告 52
2.6.3 安全扫描报告分析 53
2.7 本章小结 54
思考题 54
第3章 Web安全扫描与安全审计工具AppScan 55
3.1 AppScan简介 55
3.1.1 AppScan的测试方法 55
3.1.2 AppScan的基本工作流程 55
3.2 安装AppScan 56
3.2.1 硬件需求 56
3.2.2 操作系统和软件需求 56
3.2.3 Glass Box服务器需求 57
3.2.4 Flash Player升级 59
3.2.5 常规安装 60
3.2.6 静默安装 60
3.2.7 许可证 61
3.3 基本原则 63
3.3.1 扫描步骤和扫描阶段 63
3.3.2 Web应用程序与Web Service 63
3.3.3 AppScan的主窗口 64
3.3.4 工作流程 66
3.3.5 样本扫描 67
3.4 扫描配置 68
3.4.1 配置步骤 68
3.4.2 Scan Expert 69
3.4.3 手动探索 69
3.5 扫描实例 70
3.5.1 Web Application自动扫描实例 70
3.5.2 Web Application手动探索实例 84
3.5.3 Web Application调度扫描实例 86
3.5.4 Glass Box扫描实例 87
3.5.5 Web Service扫描实例 91
3.6 扫描报告 94
3.7 本章小结 98
思考题 98
第4章 分析使用HTTP和HTTPS协议通信工具WebScarab 99
4.1 WebScarab简介 99
4.1.1 WebScarab的特点 99
4.1.2 WebScarab界面总览 100
4.2 WebScarab的运行 101
4.2.1 WebScarab下载与环境配置 101
4.2.2 在Windows下运行WebScarab 102
4.3 WebScarab的使用 102
4.3.1 功能与原理 102
4.3.2 界面介绍 102
4.4 请求拦截 105
4.4.1 启用代理插件拦截 105
4.4.2 浏览器访问URL 105
4.4.3 编辑拦截请求 106
4.5 WebScarab运行实例 107
4.5.1 设置代理 107
4.5.2 捕获HTTP请求 107
4.5.3 修改请求 109
4.5.4 修改后的效果 110
4.6 本章小结 110
思考题 110
第5章 数据库注入渗透测试工具Pangolin 111
5.1 SQL注入 111
5.1.1 注入风险 111
5.1.2 作用原理 111
5.1.3 注入例子 111
5.2 Pangolin简介 112
5.2.1 使用环境 112
5.2.2 版本介绍 112
5.2.3 特性清单 113
5.3 安装与注册 113
5.4 Pangolin使用 115
5.4.1 注入阶段 115
5.4.2 主界面介绍 115
5.4.3 配置界面介绍 116
5.5 实战演示 118
5.5.1 演示网站运行指南 118
5.5.2 Pangolin SQL注入 120
5.6 本章小结 123
思考题 124
第6章 安全漏洞检查与渗透测试工具Metasploit 125
6.1 Metasploit简介 125
6.1.1 Metasploit的特点 125
6.1.2 Metasploit的使用 125
6.1.3 相关专业术语 126
6.2 Metasploit安装 126
6.2.1 在Windows系统中安装M etasploit 126
6.2.2 在Linux系统安装M etasploit 126
6.2.3 Kali Linux与Metasploit的结合 127
6.3 Metasploit信息搜集 129
6.3.1 被动式信息搜集 129
6.3.2 端口扫描器Nmap 130
6.3.3 辅助模块 133
6.3.4 避免杀毒软件的检测 134
6.3.5 使用killav…rb脚本禁用防病毒软件 136
6.4 Metasploit渗透 138
6.4.1 exploit用法 139
6.4.2 第一次渗透测试 140
6.4.3 Windows 7/Server 2008 R2 SMB客户端无限循环漏洞 144
6.4.4 全端口攻击载荷:暴力猜解目标开放的端口 145
6.5 后渗透测试阶段 146
6.5.1 分析meterpreter系统命令 146
6.5.2 权限提升和进程迁移 148
6.5.3 meterpreter文件系统命令 149
6.6 社会工程学工具包 150
6.6.1 设置SET工具包 150
6.6.2 针对性钓鱼攻击向量 151
6.6.3 网站攻击向量 153
6.6.4 传染性媒体生成器 153
6.7 使用Armitage 154
6.8 本章小结 157
思考题 157
第7章 Web浏览器渗透攻击工具BeEF 158
7.1 BeEF简介 158
7.2 安装BeEF 158
7.3 BeEF的启动和登录 159
7.3.1 BeEF的启动 159
7.3.2 登录BeEF系统 159
7.4 BeEF中的攻击命令介绍 161
7.4.1 BeEF中的攻击命令集合 161
7.4.2 BeEF中攻击命令颜色的含义 161
7.5 基于浏览器的攻击 162
7.5.1 Get Cookie命令 162
7.5.2 Get Form Values命令 162
7.5.3 Create Alert Dialog命令 164
7.5.4 Redirect Browser命令 164
7.5.5 Detect Toolbars命令 165
7.5.6 Detect Windows Media Player命令 165
7.5.7 Get Visited URLs命令 167
7.6 基于Debug的攻击 167
7.6.1 Return ASCII Chars命令 167
7.6.2 Return Image命令 167
7.6.3 Test HTTP Bind Raw命令 167
7.6.4 Test HTTP Redirect命令 167
7.6.5 Test Network Request命令 168
7.7 基于社会工程学的攻击 169
7.7.1 Fake Flash Update命令 169
7.7.2 Fake LastPass命令 170
7.7.3 Fake Notification Bar(Firefox)命令 170
7.8 基于Network的攻击 172
7.8.1 Port Scanner命令 172
7.8.2 Detect Tor命令 172
7.8.3 DNS Enumeration命令 173
7.9 基于Misc的攻击 173
7.9.1 Raw JavaScript命令 173
7.9.2 iFrame Event Logger命令 173
7.9.3 Rider、XssRays和Ipec 175
7.10 本章小结 175
思考题 176
第8章 网络发掘与安全审计工具Nmap 177
8.1 Nmap简介 177
8.1.1 Nmap的特点 177
8.1.2 Nmap的优点 178
8.1.3 Nmap的典型用途 178
8.2 Nmap安装 178
8.2.1 安装步骤(Windows) 179
8.2.2 检查安装 180
8.2.3 如何在Linux下安装Nmap 180
8.3 Nmap图形界面使用方法 182
8.3.1 Zenmap的预览及各区域简介 182
8.3.2 简单扫描流程 183
8.3.3 进阶扫描流程 185
8.3.4 扫描结果的保存 186
8.3.5 扫描结果对比 186
8.3.6 搜索扫描结果 186
8.3.7 过滤主机 189
8.4 Nmap命令操作 189
8.4.1 确认端口状况 189
8.4.2 返回详细结果 191
8.4.3 自定义扫描 191
8.4.4 指定端口扫描 193
8.4.5 版本侦测 193
8.4.6 操作系统侦测 194
8.4.7 万能开关-A 196
8.5 本章小结 197
思考题 198
第9章 Web服务器扫描工具Nikto 199
9.1 Nikto简介 199
9.2 下载与安装 199
9.2.1 下载 199
9.2.2 解压 199
9.2.3 安装 200
9.3 使用方法及参数 200
9.3.1 -h目标主机 200
9.3.2 -C扫描CGI目录 202
9.3.3 -D控制输出 203
9.3.4 -V版本信息输出 204
9.3.5 -H帮助信息 205
9.3.6 -dbcheck检查数据库 206
9.3.7 -e躲避技术 206
9.3.8 -f寻找HTTP或HTTPS端口 207
9.3.9 -i主机鉴定 207
9.3.10 -m猜解文件名 208
9.3.11 -p指定端口 209
9.3.12 -T扫描方式 209
9.3.13 -u使用代理 210
9.3.14 -o输出文件 210
9.3.15 -F输出格式 211
9.4 报告分析 212
9.5 本章小结 213
思考题 214
第10章 Web服务器指纹识别工具Httprint 215
10.1 Httprint简介 215
10.1.1 Httprint的原理 215
10.1.2 Httprint的特点 217
10.2 Httprint的目录结构 218
10.3 Httprint图形界面 218
10.3.1 主窗口 218
10.3.2 配置窗口 219
10.3.3 操作说明 219
10.3.4 使用举例 220
10.4 Httprint命令行 220
10.4.1 命令介绍 220
10.4.2 使用举例 221
10.5 Httprint报告 221
10.6 Httprint准确度和防护 222
10.6.1 Httprint的准确度影响因素 222
10.6.2 Httprint的防护 222
10.7 Httprint使用中的问题 222
10.8 本章小结 223
思考题 223
第11章 遍历Web应用服务器目录与文件工具DirBuster 224
11.1 DirBuster简介 224
11.2 DirBuster下载安装及配置环境 224
11.2.1 DirBuster下载 224
11.2.2 DirBuster环境配置 224
11.3 DirBuster界面介绍 226
11.3.1 DirBuster界面总览 226
11.3.2 DirBuster界面功能组成 228
11.4 DirBuster的使用 228
11.4.1 输入网站域名及端口号 228
11.4.2 选择线程数目 228
11.4.3 选择扫描类型 229
11.4.4 选择外部文件 229
11.4.5 其他的设置 230
11.4.6 工具开始运行 231
11.5 DirBuster结果分析 232
11.5.1 查看目标服务器目录信息(包括隐藏文件及目录) 232
11.5.2 在外部浏览器中打开指定目录及文件 232
11.5.3 复制URL 232
11.5.4 查看更多信息 235
11.5.5 猜解出错误页面 236
11.6 本章小结 237
思考题 238
第12章 Web应用程序攻击与审计框架w3af 239
12.1 w3af简介 239
12.1.1 w3af的特点 239
12.1.2 w3af的库 239
12.1.3 w3af的架构 240
12.1.4 w3af的功能 240
12.1.5 w3af的工作过程 240
12.2 w3af的安装 240
12.2.1 在Windows系统下安装 240
12.2.2 工作界面 242
12.2.3 在Linux下安装 244
12.3 w3af图形界面介绍 245
12.4 扫描流程 247
12.4.1 w3af GUI选择插件扫描 247
12.4.2 w3af GUI使用向导扫描 249
12.4.3 w3af Console命令扫描 252
12.4.4 w3af GUI查看日志分析结果 255
12.4.5 w3af GUI查看分析结果 256
12.4.6 在扫描结果文件中查看结果 258
12.4.7 通过Exploit进行漏洞验证 259
12.5 本章小结 260
思考题 260
第13章 网络封包分析软件wreshark 261
13.1 Wireshark简介 261
13.1.1 Wireshark的特性 261
13.1.2 Wireshark的主要功能 261
13.2 安装Wireshark 261
13.2.1 Windows下安装Wireshark 261
13.2.2 Linux下安装Wireshark 267
13.3 Wireshark主界面 267
13.3.1 主菜单 268
13.3.2 主工具栏 270
13.3.3 过滤工具栏 272
13.3.4 包列表面板 272
13.3.5 包详情面板 273
13.3.6 包字节面板 273
13.3.7 状态栏 274
13.4 捕捉数据包 274
13.4.1 捕捉方法介绍 274
13.4.2 捕捉接口对话框功能介绍 275
13.4.3 捕捉选项对话框功能介绍 275
13.4.4 捕捉过滤设置 277
13.4.5 开始/停止/重新启动捕捉 279
13.5 处理已经捕捉的包 280
13.5.1 查看包详情 280
13.5.2 浏览时过滤包 283
13.5.3 建立显示过滤表达式 283
13.5.4 定义/保存过滤器 285
13.5.5 查找包对话框 285
13.5.6 跳转到指定包 286
13.5.7 合并捕捉文件 286
13.6 文件输入输出 286
13.6.1 打开捕捉文件 286
13.6.2 输入文件格式 286
13.6.3 保存捕捉包 287
13.6.4 输出格式 287
13.7 Wireshark应用实例 288
13.8 本章小结 290
思考题 290
第14章 攻击Web应用程序集成平台Burp Suite 291
14.1 Burp Suite简介 291
14.2 安装Burp Suite 292
14.2.1 环境需求 292
14.2.2 安装步骤 292
14.3 工作流程及配置 293
14.3.1 Burp Suite框架与工作流程 293
14.3.2 配置代理 293
14.4 Proxy工具 298
14.5 Spider工具 300
14.6 Scanner工具 302
14.6.1 Scanner使用介绍 302
14.6.2 Scanner操作 302
14.6.3 Scanner报告 304
14.7 Intruder工具 305
14.7.1 字典攻击步骤 305
14.7.2 字典攻击结果 310
14.8 Repeater工具 312
14.9 Sequencer工具 313
14.10 Decoder工具 315
14.11 Comparer工具 316
14.12 本章小结 317
思考题 318
参考文献 319