登录
2020-01-14 10:45:17

Web网站漏洞扫描与渗透攻击工具揭秘 免费据买衣资跟笑房节均改编辑 添加义项名

B 添加义项
?
义项指多义词的不同概念,如李娜的义项:网球运动员、货门散快停关早外想到四歌手等;非诚勿扰的义项:冯小刚执导电影、江苏卫视交友节目等。 查看详细规范>>
所属类别 :
图书
意强手县好晶旧士杂
编辑分类

近些年来,国内外Web网站安全领域的问题纷繁复杂,各种攻击手段层出不穷,给人以"乱花渐欲迷人眼"的感觉,本书希望能帮助读者理解乱象丛生的Web网站安全现状,做到"拨开云雾始见天"。

基本信息

  • 中文名

    Web网站漏洞扫描与渗透攻击工具揭秘

  • 定价

    49

  • 装帧

    平装

  • 开本

    16

  • 类别

    图书

折叠 编辑本段 书籍信息

作者:王顺

定价:49元

印次:1-1

ISBN:9787302423874

出版日期:2016.03.01

印刷日期:2016.02.24

折叠 编辑本段 内容简介

近些年来,国内外Web网站安全来自领域的问题纷繁复杂,各种攻击手段层出不穷,言客依钟究氢际双给人以"乱花渐欲迷人眼"的感觉,本书希望能帮助读者理解乱象丛生的Web网站安全现状,做到"太际战怕尔拨开云雾始见天"。[1]

折叠 编辑本段 目录

1.1Web安全问题出360百科现的背景分析1

1.1.1Web安全兴起原因1

1.1.2Web网络空间的特性1

1.1.3Web信息传播的优势2

1.1.4Web安全的挑战3

1.2Web安全典型案例及分析3

1.2.12011年3月RSA被钓鱼邮件攻击3

1.2.22011年6月美国花旗银行遭黑4

1.2.32012年1月赛门铁克企业级源代码被盗4

1.2.4政院际岩量几办欢王黄2012年6月LinkedIn用户密码泄露5

1.2.52012年7月雅虎服务器被黑用户信息泄露5

1.2.62013年6月美国"棱镜"灼伤全球公众隐私6

1.2.72015年2月Google越南站遭DNS劫持7

1.2.82015年3月GitH安个若离ub遭遇超大规模DDoS攻包答审此评限任肥毛益普击8

1.3流行Web安全漏洞扫描与渗透攻击工具8

1.3.1OWASPZAP网站漏洞扫描与综合类渗透

测试工具9

1.3.2IBMSecurityAppScanWeb安全扫描与

安全审计工具9

1.3.3WebScarab分析使用HTTP和HTTPS协议

通信工具9

1.3.4PangolinSQL数据库注入渗透测试工具9

1.3.5Metasploit安全漏洞检测与保奏密告友判渗透测试工具9

1.3.6BeEFWeb浏览器渗透攻击工具10

1.3.7Nmap网络发掘和安全审计工具10

1.3.8NiktoWeb服务器扫描工具10

1.3.9HttprintWeb服务器指纹识别工具11

1.3.10DirBuster遍历Web应用服务器目录和文件工具11

1.3.11W3AFWeb应用程序攻击和审计框架11〖1〗Web网站漏洞扫描与渗透攻击工具揭秘目录[3]〖3〗1.3.12Wireshark网络数据包分析软件11

1.3.13BurpSu解布攻额医她早但使ite攻击Web应用程序集成平台12

1.4国际著名十大Web安全攻击分析12

1.4.1未验证们曾宽的重定向和转发13

1.4.2不安全的通信14

1.4.3URL访问控制不当15

1.4.4不安全的加密存储15

1.4.5安全配置错误16

1.4.6跨站请求伪翻种需造16

1.4.7不安全的直接对象引用17

1.4.8失效的身份认证和会话管理18

1.4.9跨站脚本攻击18

1.4.10SQL注入过根稳术树垂胜杀做吸意20

1.5美国国防部最佳实践OWASP项目22

1.5.1OW压固波松真苏业握济ASP定义22

1.5.2OWASP上最新的Web安全攻击与防范技术22

1.5.3Wiki上最新的Web安全攻击与防范技术22

1.6国际著名漏洞知识库CVE23

1.6.1CVE简介23

1.6.2漏洞与暴露24

1.6.3CVE的特点24

1造部期政上.7美国国家安全局倡议CWE25

1.7.1CWE简介25

1.7.2CWE与OWASP的比较25

1.7.肉切备守钟争正湖凯植帝3CWETOP2525

第2章网站漏洞扫描与综合类渗透测试工具ZA丝失极核美想胶些湖P/28

2.1ZAP简介28

2.1.1ZAP的特点28

2.1.2ZAP的主要功能28

2.2安装ZAP29

2.2.1环境需求29

2.2.2安装步骤29

2.3基本原则33

2.3.1配置代理33

2.3.2ZAP的整体久主框架38

2.3.3用户界面38

2.3.4基本设置38

2.3第顾即去族案斯.5工作流程41

2.4自动扫描实例42

2.4.1扫描配置42

2.4.2扫描步骤43

2.4.判面款验3进一步扫描45

2.4.4扫描结果48

2.5手动扫描实例49

2.5.1扫描配置49

2.5.2扫描步骤49

2.5.3扫描结果51

2.6扫描报告52

2怎副.6.1集成开发环境中的警报52

2.6.2生成报告52

2.6.3安全扫描报告分析53

2.7本章小结54

思考题54

第3章Web安全扫描与安全审计工具AppSc滑住许助蛋菜业术道an/55

3.1AppScan简介55

3.1.1AppScan的测试方法55

3.1.2AppScan的基本工作流程55

3.2安装AppScan56

3.2.1硬件需求5法凯案6

3.2.2操作系统和软件需求56

3.2.3GlassBox服务器需求57

3.2.4FlashPlayer升级59

3.2.5常规安装60

3.2.6静默安装60

3.2.7许可证61

3.3基本原则63

3.3.1扫描步骤和扫描阶段63

3.3.2Web应用程序与WebServi机优空技材代科侵训永座ce63

3.3.3AppScan的主窗口64

3.3.4工作流程66

3.3.5斯棉培很况法整背布突样本扫描67

3.4扫描配置68

3.4.1配置步骤68

3.4.2ScanExpe为货意深预rt69

3.4.3手动探索69

3.5扫描实例70

3.5.1WebApp气充异宁镇激权lication自动扫描实例70

3.5.2WebApplication手动探索实例84

3.5.3WebApplicatio处把两帮响每明黑想老n调度扫描实例86

3.5.4GlassBox扫描实例87

3.5.5WebServ想点ice扫描实例91

3.6扫描报告94

3.7本章小结98

思考题98

第4章分析使用HTTP和HTTPS协议通信工具WebSca系义体rab/99

4.1Web底杀还鲁Scarab简介99

4.1.1WebScarab的特点99

4.1.2WebScarab界面总览100

4.2WebScarab的运行101

4.2.1WebScarab下载与环境注吧句后团山音笑化既配置101

4.2.家老给油2在Windows下运行WebScarab102

4.3WebScarab的使用102

4.3.1功能与原理102

路或巴志宗先围甚失4.3.2界面介绍102

4.4请求拦截105

4.4.1启用代理插件拦截105

4.4.2浏览品局景审器访问URL105

4.4.3编辑拦截请求106

4.5WebScarab运行实例107

4.5.1设置代理107

4.5.2捕获HTTP请求107

4.5.3修改请求109

4.5.4修改后的效果110

4.6本香测乎功章小结110

思考题110

第5章数据库注入渗透测试工具Pangolin/111

5.1SQL注入111

5.1.1注入风险111

5.1.2作用原理111

5.1.3注入例子111

5.2Pangolin简介112

5.2.1使用环境112

5.2.2版本介绍112

5.2.3特性清单113

5.3安装与注册113

5.4Pangolin使用115

5.4.1注入阶物基吗段115

5.4.2主界面介吃政报叶争路车停绍115

5.4.3编关齐又武级菜杂握个路配置界面介绍116

5.5实战演示118

5.5.1演示网站运内道圆李货始复脸行指南118

5.5.2PangolinSQL注入120

5.6本章小结123

思考题124

第6章安造里体儿合磁只全漏洞检查与渗透测试工具Metasploit/125

6.1Met袁解题负印值抗称假asploit简介125

6.1.1Metasploit的特点125

6.1.2Metasploit的使用125

6.1.3相关专业术语126

6.2Metasploit安装126

6.2.1在Windows系统中安装Metasploit126

6.2.2在Linux系统安装Metasploit126

6.2.3KaliLinux与Metasploit的结合127

6.3Metasploit信息搜集129

6.3.1被动式信息搜集129

6.3.2端口扫描器Nmap130

6.3.3辅助模块133

6.3.4避免杀毒软件的检测134

6.3.5使用killav.rb脚本禁用防病毒软件136

6.4Metasploit渗透138

6.4.1exploit用法139

6.4.2第一次渗透测试140

6.4.3Windows7/Server2008R2SMB客户端无限循环漏洞144

6.4.4全端口攻击载荷:暴力猜解目标开放的端口145

6.5后渗透测试阶段146

6.5.1分析meterpreter系统命令146

6.5.2权限提升和进程迁移148

6.5.3meterpreter文件系统命令149

6.6社会工程学工具包150

6.6.1设置SET工具包150

6.6.2针对性钓鱼攻击向量151

6.6.3网站攻击向量153

6.6.4传染性媒体生成器153

6.7使用Armitage154

6.8本章小结157

思考题157

第7章Web浏览器渗透攻击工具BeEF/158

7.1BeEF简介158

7.2安装BeEF158

7.3BeEF的启动和登录159

7.3.1BeEF的启动159

7.3.2登录BeEF系统159

7.4BeEF中的攻击命令介绍161

7.4.1BeEF中的攻击命令集合161

7.4.2BeEF中攻击命令颜色的含义161

7.5基于浏览器的攻击162

7.5.1GetCookie命令162

7.5.2GetFormValues命令162

7.5.3CreateAlertDialog命令164

7.5.4RedirectBrowser命令164

7.5.5DetectToolbars命令165

7.5.6DetectWindowsMediaPlayer命令165

7.5.7GetVisitedURLs命令167

7.6基于Debug的攻击167

7.6.1ReturnASCIIChars命令167

7.6.2ReturnImage命令167

7.6.3TestHTTPBindRaw命令167

7.6.4TestHTTPRedirect命令167

7.6.5TestNetworkRequest命令168

7.7基于社会工程学的攻击169

7.7.1FakeFlashUpdate命令169

7.7.2FakeLastPass命令170

7.7.3FakeNotificationBar(Firefox)命令170

7.8基于Network的攻击172

7.8.1PortScanner命令172

7.8.2DetectTor命令172

7.8.3DNSEnumeration命令173

7.9基于Misc的攻击173

7.9.1RawJavaScript命令173

7.9.2iFrameEventLogger命令173

7.9.3Rider、XssRays和Ipec175

7.10本章小结175

思考题176

第8章网络发掘与安全审计工具Nmap/177

8.1Nmap简介177

8.1.1Nmap的特点177

8.1.2Nmap的优点178

8.1.3Nmap的典型用途178

8.2Nmap安装178

8.2.1安装步骤(Windows)179

8.2.2检查安装180

8.2.3如何在Linux下安装Nmap180

8.3Nmap图形界面使用方法182

8.3.1Zenmap的预览及各区域简介182

8.3.2简单扫描流程183

8.3.3进阶扫描流程185

8.3.4扫描结果的保存186

8.3.5扫描结果对比186

8.3.6搜索扫描结果186

8.3.7过滤主机189

8.4Nmap命令操作189

8.4.1确认端口状况189

8.4.2返回详细结果191

8.4.3自定义扫描191

8.4.4指定端口扫描193

8.4.5版本侦测193

8.4.6操作系统侦测194

8.4.7万能开关A196

8.5本章小结197

思考题198

第9章Web服务器扫描工具Nikto/199

9.1Nikto简介199

9.2下载与安装199

9.2.1下载199

9.2.2解压199

9.2.3安装200

9.3使用方法及参数200

9.3.1h目标主机200

9.3.2C扫描CGI目录202

9.3.3D控制输出203

9.3.4V版本信息输出204

9.3.5H帮助信息205

9.3.6dbcheck检查数据库206

9.3.7e躲避技术206

9.3.8f寻找HTTP或HTTPS端口207

9.3.9i主机鉴定207

9.3.10m猜解文件名208

9.3.11p指定端口209

9.3.12T扫描方式209

9.3.13u使用代理210

9.3.14o输出文件210

9.3.15F输出格式211

9.4报告分析212

9.5本章小结213

思考题214

第10章Web服务器指纹识别工具Httprint/215

10.1Httprint简介215

10.1.1Httprint的原理215

10.1.2Httprint的特点217

10.2Httprint的目录结构218

10.3Httprint图形界面218

10.3.1主窗口218

10.3.2配置窗口219

10.3.3操作说明219

10.3.4使用举例220

10.4Httprint命令行220

10.4.1命令介绍220

10.4.2使用举例221

10.5Httprint报告221

10.6Httprint准确度和防护222

10.6.1Httprint的准确度影响因素222

10.6.2Httprint的防护222

10.7Httprint使用中的问题222

10.8本章小结223

思考题223

第11章遍历Web应用服务器目录与文件工具DirBuster/224

11.1DirBuster简介224

11.2DirBuster下载安装及配置环境224

11.2.1DirBuster下载224

11.2.2DirBuster环境配置224

11.3DirBuster界面介绍226

11.3.1DirBuster界面总览226

11.3.2DirBuster界面功能组成228

11.4DirBuster的使用228

11.4.1输入网站域名及端口号228

11.4.2选择线程数目228

11.4.3选择扫描类型229

11.4.4选择外部文件229

11.4.5其他的设置230

11.4.6工具开始运行231

11.5DirBuster结果分析232

11.5.1查看目标服务器目录信息(包括隐藏文件及目录)232

11.5.2在外部浏览器中打开指定目录及文件232

11.5.3复制URL232

11.5.4查看更多信息235

11.5.5猜解出错误页面236

11.6本章小结237

思考题238

第12章Web应用程序攻击与审计框架w3af/239

12.1w3af简介239

12.1.1w3af的特点239

12.1.2w3af的库239

12.1.3w3af的架构240

12.1.4w3af的功能240

12.1.5w3af的工作过程240

12.2w3af的安装240

12.2.1在Windows系统下安装240

12.2.2工作界面242

12.2.3在Linux下安装244

12.3w3af图形界面介绍245

12.4扫描流程247

12.4.1w3afGUI选择插件扫描247

12.4.2w3afGUI使用向导扫描249

12.4.3w3afConsole命令扫描252

12.4.4w3afGUI查看日志分析结果255

12.4.5w3afGUI查看分析结果256

12.4.6在扫描结果文件中查看结果258

12.4.7通过Exploit进行漏洞验证259

12.5本章小结260

思考题260

第13章网络封包分析软件Wireshark/261

13.1Wireshark简介261

13.1.1Wireshark的特性261

13.1.2Wireshark的主要功能261

13.2安装Wireshark261

13.2.1Windows下安装Wireshark261

13.2.2Linux下安装Wireshark267

13.3Wireshark主界面267

13.3.1主菜单268

13.3.2主工具栏270

13.3.3过滤工具栏272

13.3.4包列表面板272

13.3.5包详情面板273

13.3.6包字节面板273

13.3.7状态栏274

13.4捕捉数据包274

13.4.1捕捉方法介绍274

13.4.2捕捉接口对话框功能介绍275

13.4.3捕捉选项对话框功能介绍275

13.4.4捕捉过滤设置277

13.4.5开始/停止/重新启动捕捉279

13.5处理已经捕捉的包280

13.5.1查看包详情280

13.5.2浏览时过滤包283

13.5.3建立显示过滤表达式283

13.5.4定义/保存过滤器285

13.5.5查找包对话框285

13.5.6跳转到指定包286

13.5.7合并捕捉文件286

13.6文件输入输出286

13.6.1打开捕捉文件286

13.6.2输入文件格式286

13.6.3保存捕捉包287

13.6.4输出格式287

13.7Wireshark应用实例288

13.8本章小结290

思考题290

第14章攻击Web应用程序集成平台BurpSuite/291

14.1BurpSuite简介291

14.2安装BurpSuite292

14.2.1环境需求292

14.2.2安装步骤292

14.3工作流程及配置293

14.3.1BurpSuite框架与工作流程293

14.3.2配置代理293

14.4Proxy工具298

14.5Spider工具300

14.6Scanner工具302

14.6.1Scanner使用介绍302

14.6.2Scanner操作302

14.6.3Scanner报告304

14.7Intruder工具305

14.7.1字典攻击步骤305

14.7.2字典攻击结果310

14.8Repeater工具312

14.9Sequencer工具313

14.10Decoder工具315

14.11Comparer工具316

14.12本章小结317

思考题318

参考文献/319[2]

参考资料

阅读全文