網站滲透測試實務入門 @ 3dWoo大學簡體電腦書店

	-- 會員 / 註冊 --
帳號：　密碼：　 \| 註冊 \| 忘記密碼

3/26 新書到！ 3/19 新書到！ 3/14 新書到！ 12/12 新書到！
	購書流程‧Q & A‧站務留言版‧客服信箱

│ 3ds Max│ Maya│ Rhino│ After Effects│ SketchUp│ ZBrush│ Painter│ Unity│

│ PhotoShop│ AutoCad│ MasterCam│ SolidWorks│ Creo│ UG│ Revit│ Nuke│

│ C#│ C│ C++│ Java│ 遊戲程式│ Linux│ 嵌入式│ PLC│ FPGA│ Matlab│

│ 駭客│ 資料庫│ 搜索引擎│ 影像處理│ Fluent│ VR+AR│ ANSYS│ 深度學習│

│ 單晶片│ AVR│ OpenGL│ Arduino│ Raspberry Pi│ 電路設計│ Cadence│ Protel│

│ Hadoop│ Python│ Stm32│ Cortex│ Labview│ 手機程式│ Android│ iPhone│


可查書名,作者,ISBN,3dwoo書號		詳細書籍分類

網站滲透測試實務入門
( 簡體字)

作者：陳明照類別：1. -> 安全 -> 網路安全 -> 駭客攻擊與入侵

譯者：

出版社：清華大學出版社 3dWoo書號： 53229
詢問書籍請說出此書號！
【缺書】
NT售價： 345 元

出版日：8/1/2020

頁數：236

光碟數：0

站長推薦：

印刷：黑白印刷語系： ( 簡體版 )

加入購物車 │加到我的最愛
(請先登入會員)

ISBN：9787302556848

作者序　|　譯者序　|　前言　|　內容簡介　|　目錄　|　序

(簡體書上所述之下載連結耗時費功, 恕不適用在台灣, 若讀者需要請自行嘗試, 恕不保證)

作者序：

譯者序：

前言：
信息技術行業的發展日新月異，從互聯網（Internet）到物聯網（Internet of Things）、萬物互聯網（Internet of Everything）。以前人們喜歡談論網絡，現在則更喜歡談論云計算，數字通信技術更進步了，相應的用詞也更炫酷了，但是基本的概念并沒有太大改變。現在一部手機集成了以往的計算機、隨身聽、電視機、數碼相機等設備的功能，不過在實際使用上只是一機扮演多個角色，并沒有變成“計算機電視相機”這種新品類。這期間發生了不少與信息安全相關的事件，如WannaCry計算機病毒肆虐、券商遭受DoS攻擊、通過銀行ATM盜取現金的事件、一些網站的個人信息外泄等，但是仔細分析這些攻擊或防御技術以及相關的概念，和以往的差異并不大，仔細探究事件原因，并非黑客使用了更高深的技術或者技巧，其實還都是幾年前就有的手段，為什么依然有效呢？因為人類的經驗需要通過學習才能傳承，新一代人只能通過學習才能掌握既有的知識，所以SQL Injection（SQL注入）、XSS（Cross Site Scripting，跨站點腳本）、社交工程等依然是最有效的攻擊手法。
初入滲透測試及數字驗證團隊時，我曾被委派參加外部機構舉辦的相關培訓。授課老師們的生動講解讓我了解到黑客技術也可以反過來促進網站防御的能力提升，合理地運用黑客技術可以發現網站的弱點甚至漏洞、幫助網站建立防御系統和完善防御的措施，這種思路導正了我對黑客技術只是用于系統入侵的偏執想法。
剛踏入滲透測試這道門時，我曾努力自學，尋找相關的書籍及網絡信息，但心中一直有一個缺憾，找不到幾本有參考性的中文書。時光流轉好幾年，終于看到少量有關網站滲透測試實踐相關的圖書出版，對信息安全領域的從業者來說是好事，為想進入滲透測試領域的人提供更有價值、概念正確的學習教材。信息安全不是少數人能成就的事業，只有讓更多的人真正參與信息安全項目，才能落實“防御工事”，否則口號喊得震天動地，信息防護依然是紙糊的“銅墻鐵壁”！
本書從一個初次踏入滲透測試領域者的觀點出發，以淺顯的文字讓新入門者在短時間內以最有效的方式一窺網站滲透測試的全貌，加入了我多年實施具體滲透測試項目所獲得的經驗和體會。
本書付梓得益于許多人的幫忙，在此感謝同事們的建議及領導的支持，讓我持續精進網站滲透測試的技術；感謝出版社，讓滲透測試新手多了一本參考圖書；感謝我的妻子，她的鼓勵維持了我對信息技術的熱情；還要感謝許多網友的支持、建議和指正，及時修正我稍有偏差的概念。借用陳之藩大師的話：要感謝的人太多了，就感謝天吧！
雖然歷經幾年的磨煉，仍覺得未摸透滲透測試的底細，畢竟信息技術博大精深，個人才疏學淺，書中所述的方法、概念不免有疏漏之處，敬請各位讀者不吝指正，我會不定期將應用心得發表到公開網站。
滲透測試的內容包羅萬象，涉及多個專業領域，鮮少有人能同時精通各項滲透技術，我無法為讀者悉數備妥所需的各種工具及技術，只希望本書所討論的基本操作規則、技術及技巧能啟發讀者探索更深、更廣的主題。
在人生路上虛長了幾年，深深體會到：若想成功，必須下苦功。與讀者共勉！

陳明照
2020年3月19日

內容簡介：
本書從實戰的角度出發，以淺顯的文字，讓新入門者在短時間內，以最有效的方式一窺網站滲透測試的全貌。本書通過網站滲透測試工具的介紹，詳述如何建立系統安全防范意識，強化滲透測試的概念，如何防范新的安全弱點等，以保證從業者能夠保護網絡系統的信息安全，盡可能降低新手的學習門檻。
本書主要包括滲透測試的基本程序、滲透測試的練習環境、網站弱點、信息搜集、網站探測及弱點評估、網站滲透、離線密碼破解、滲透測試報告等內容。
本書內容全面，既適合廣大滲透測試的入門者閱讀，也可供大中專院校信息安全及相關專業的師生學習參考。

目錄：
第1章關于滲透測試 1
1.1關于信息安全 2
1.2滲透測試的目的 3
1.3滲透測試與漏洞掃描 4
1.4用語說明 5
1.5理論中的滲透測試 6
1.6我眼中的滲透測試 6
1.7滲透測試入門知識 7
1.8為什么只在網站中進行滲透測試 8
1.9本書的目的 8
1.10不要沮喪 9
1.11重點提示 9
第2章滲透測試基本步驟 10
2.1執行步驟 10
2.2記得先取得甲方的同意書（授權書） 13
2.3摘錄《刑法》第二百八十五條和第二百八十六條 14
2.4測試過程的PDCA 14
2.5重點提示 15
第3章滲透測試練習環境 16
3.1可在線進行滲透測試的網站 17
3.2自建模擬測試環境 19
3.2.1WebGoat 19
3.2.2MutillidaeII 25
3.2.3DVWA 30
3.2.4在IIS安裝HacmeBank 33
3.3更多練習資源 45
3.4準備滲透工具執行環境 46
3.5重點提示 50
第4章網站漏洞概述 51
4.1Web平臺架構與基本原理 51
4.1.1Web平臺架構 52
4.1.2Web基本原理 52
4.2OWASPTOP10（2017） 55
4.2.1A1——Injection（注入）攻擊 55
4.2.2A2——BrokenAuthentication（失效的身份認證） 57
4.2.3A3——SensitiveDataExposure（敏感數據泄露） 57
4.2.4A4——XMLExternalEntity（XXE，XML外部實體）注入攻擊 59
4.2.5A5——BrokenAccessControl（失效的訪問控制） 60
4.2.6A6——SecurityMisconfiguration（不當的安全配置） 61
4.2.7A7——Cross-SiteScripting（XSS，跨站腳本）攻擊 63
4.2.8A8——InsecureDeserialization（不安全的反序列化） 64
4.2.9A9——UsingComponentswithKnownVulnerabilities
（使用含有已知漏洞的組件） 65
4.2.10A10——InsufficientLogging&Monitoring（不足的日志記錄和監控） 65
4.3其他年度的TOP10漏洞 66
4.3.1CrossSiteRequestForgery（CSRF，跨站請求偽造） 66
4.3.2InsecureDirectObjectReferences（不安全的直接對象引用） 67
4.3.3UnvalidatedRedirectsandForwards（未經驗證的重定向與轉發） 68
4.3.4InsecureCryptographicStorage（不安全的加密存儲） 70
4.3.5FailuretoRestrictURLAccess（限制URL訪問失敗） 70
4.3.6ImproperErrorHandling（不當的錯誤處理） 71
4.3.7BufferOverflows（緩沖區溢出） 72
4.4其他常見的Web程序漏洞 72
4.4.1robots.txt設置不當 72
4.4.2非預期類型的文件上傳 73
4.4.3可被操控的文件路徑 73
4.4.4AJAX機制缺乏保護 74
4.4.5CrossFrameScripting（XFS，跨框架腳本）攻擊 75
4.4.6HTTPResponseSplitting（HTTP響應拆分）攻擊 77
4.4.7記住密碼 78
4.4.8自動填寫表單 81
4.4.9未適當保護殘存的備份文件或備份目錄 81
4.5補充說明 82
4.5.1關于BlindSQLInjection（SQL盲注法） 82
4.5.2關于反射型XSS 83
4.5.3網址欄的XSS 83
4.5.4關于CrossSiteRequestForgery（CSRF，跨站請求偽造） 83
4.5.5關于SessionHijacking（會話劫持） 84
4.5.6關于Clickjacking（單擊劫持） 85
4.6重點提示 85
第5章信息搜集 87
5.1nslookup 88
5.2whois 90
5.2.1瀏覽器插件 90
5.2.2命令行工具 91
5.3DNSRecon 93
5.4GoogleHacking 95
5.4.1常用的Google搜索限定符 96
5.4.2實用的搜索語法 99
5.5hunter.io 101
5.6metagoofil 103
5.7theHarvester 104
5.8HTTrack 110
5.9DirBuster 114
5.10在線漏洞數據庫 117
5.11創建字典文件 118
5.11.1如何預備賬號字典 119
5.11.2如何預備密碼字典 120
5.11.3如何預備網址字典 121
5.12字典文件生成器 122
5.12.1crunch 122
5.12.2RSMangler 124
5.12.3pw-inspector 128
5.13后記 129
5.14重點提示 130
第6章網站探測及漏洞評估 131
6.1Zenmap 132
6.2wFetch 135
6.3OWASPZAP 138
6.3.1選擇Persist方式 139
6.3.2建立主動掃描原則 139
6.3.3執行主動掃描 140
6.3.4驗證發現的漏洞 142
6.3.5存儲掃描的結果 144
6.4w3af 145
6.4.1執行掃描 147
6.4.2查閱掃描結果 148
6.4.3調校w3af 150
6.4.4輸出掃描報告 151
6.4.5其他輔助型的插件 152
6.5arachni 152
6.6重點提示 155
第7章網站滲透工具 156
7.1關于本地代理 157
7.1.1IE的代理設置 157
7.1.2Firefox的代理設置 160
7.1.3Chrome的代理設置 161
7.1.4Opera的代理設置 162
7.2ZAP 162
7.2.1設置本地代理 162
7.2.2ZAP的窗口配置 164
7.2.3使用ZAP自帶的瀏覽器 167
7.2.4實踐探討 167
7.3BurpSuite 169
7.3.1設置本地代理 170
7.3.2限定操作范圍 171
7.3.3爬找資源 171
7.3.4利用BurpSuite暴力破解登錄賬號及密碼 172
7.4THC-Hydra 178
7.4.1選擇判斷準則的注意事項 181
7.4.2用Hydra猜測賬號及密碼 181
7.4.3當THC-Hydra遇到中文 184
7.5Patator 186
7.5.1Patator的載荷占位符 188
7.5.2利用http_fuzz模塊破解網頁登錄賬號和密碼 189
7.5.3當Patator遇到中文 190
7.6Ncrack 190
7.7SQLMap 193
7.8重點提示 195
第8章離線密碼破解 196
8.1使用搜索引擎尋找答案 197
8.2RainbowCrack 198
8.2.1彩虹表的缺點 199
8.2.2建立自己的彩虹表 200
8.2.3排序彩虹表 202
8.2.4使用彩虹表破解哈希 202
8.3Hashcat 204
8.3.1破解模式 205
8.3.2整理字典文件 207
8.3.3Hashcat常用選項 207
8.3.4關于OpenCL信息 209
8.3.5命令范例 210
8.3.6常見的Hashcat哈希類型 211
8.4JohntheRipper 212
8.4.1語法 213
8.4.2指定加密格式 215
8.4.3john.pot與show選項 217
8.4.4暫時中斷執行 217
8.5破解文件加密 218
8.5.1破解加密的MSOffice文件 218
8.5.2破解加密的PDF 220
8.5.3破解加密的ZIP 220
8.5.4破解加密的7z 221
8.5.5破解加密的RAR 222
8.5.6破解加密的SSH私鑰 222
8.5.7破解WebDAV連接密碼 222
8.6重點提示 223
第9章滲透測試報告 224
9.1準備好滲透測試記錄 224
9.2撰寫滲透測試報告書 225
9.3報告書的撰寫建議 226
9.4文件復核 227
9.5重點提示 227
第10章持續精進技巧 228
10.1理論及操作基礎 229
10.2Web調試及追蹤技巧 229
10.3經驗分享 230
10.4瀏覽器插件與在線工具 231
10.5延伸閱讀 233
10.6重點提示 234
附錄滲透測試足跡搜集檢查表 235

序：