当前位置: 首页 > 信息安全书籍 > 正文

安全书籍:《安全之路——Web渗透技术及实战案例解析(第2版)》

《安全之路——Web渗透技术及实战案例解析(第2版)》是2015年9月电子工业出版社出版的图书,作者是陈小兵。
本书是《Web渗透技术及实战案例解析》的第2版,与第1版相比,不仅增加了对“心脏出血”等近年来新出现的漏洞的分析,还对目前常见的Web漏洞、SQL注入漏洞、文件上传漏洞、Windows和Linux提权等攻击方式进行了剖析,以帮助读者更好地认识Web渗透的危害,采取更合理、更有效的防范措施。
安全之路——Web渗透技术及实战案例解析(第2版)
电子书链接:https://pan.baidu.com/s/1qWNHELPEQpPnOU_lIO2sOw   提取码:zcnq
Web渗透技术及实战案例解析第二版Tools
链接:https://pan.baidu.com/s/1KQ4kUoIGtHeu4ViNtV4z2g   提取码:k484
前言
经过近3年时间的坚持和奋斗,终于将本书第2版完成。本书在第1版的基础上增加了大量内容,从Web渗透的专业角度系统探讨网络安全攻防技术,尽可能贴近实战,以帮助读者掌握本书的技术要点,再现Web渗透场景。
本书主要讨论Web渗透攻防技术。攻击与防护是辩证统一的关系,掌握了攻击技术,也就掌握了防护技术。Web渗透是网络安全攻防的热门技术,攻击者可以通过渗透Web服务器,利用已有信息,逐渐深入公司或者大型网络,最终完成渗透。
近几年网络安全的相关话题特别火爆,可以说,从事网络安全是比较有“钱”途的职业之一。目前,各大安全公司都非常缺人,特别是在CSDN、天涯、小米、Gmail、开心网、人人网等大型网站用户数据库泄露事件发生后,各大公司对安全人才求贤若渴——网站核心数据不安全,就失去了立足之本。掌握网络安全攻防技术、拥有丰富经验的从业人员年薪一般在20万元以上,能够独立挖掘漏洞的从业人员年薪一般在30万元以上。其实,Web安全渗透技术也不是那么高不可攀,只要锁定方向,持之以恒,不断进行试验和研究,终将成为一名高手。而且,安全攻防技术与学历无关,很多技术高手都没有上过大学。
Web渗透攻防技术可以通过以下方法自学:一是通过安全站点漏洞更新通告和安全文章了解漏洞的形成原理和利用过程,掌握漏洞的核心原理;二是在本地搭建试验环境进行实际测试,掌握漏洞的利用方法;三是在互联网上对存在漏洞的站点进行实际操作,在真实环境下进行验证,提出修补漏洞的方法。在研究技术的同时要做好记录,总结失败和成功的原因,积累技巧和经验。笔者曾经见过一位牛人,收集了超过20GB的Web漏洞数据!
本书内容
本书以Web渗透攻击与防御为主线,通过典型的渗透实例介绍Web渗透和防御技术,在每一节中,除了技术原理,还对这些技术进行总结和提炼。掌握和理解这些技术后,读者在遇到类似的渗透场景时可以自己进行渗透。本书采用最为通俗易懂的图文解说方式,按照书中的步骤即可还原攻防情景。通过阅读本书,初学者可以很快掌握Web攻防的流程及最新的技术和方法,有经验的读者可以在技术上更上一层楼,使攻防技术从理论和实践中更加系统化,同时,可以使用本书介绍的一些防御方法加固服务器系统。
本书共分8章,由浅入深,依照Web攻防的技术特点安排内容,每一节都是一个具体Web攻防技术的典型应用,同时,结合案例给予讲解,并给出一些经典的总结。本书主要内容安排如下。
第1章 Web渗透必备技术
介绍Web渗透的基础知识,在Windows XP和Windows 7中创建及使用VPN,域名查询技术,常用DOS基本命令,CX端口转发实现内网突破,远程终端的安装与使用,Windows下PHP+MySQL+IIS安全试验平台的搭建,一句话后门的利用及操作,MySQL数据库导入与导出攻略,以及SQL Server 2005还原数据库攻略等。这些技术可以在Web渗透中使用,也可以在网络管理中使用。
第2章 实战中常见的加密与解密
在Web渗透中经常会碰到数据被加密的情况,尤其是用户的密码,各个系统采用的密码加密算法不一样,如明文、MD5、SHA1、Base64等。如果不了解常见的Web加密和解密方法,那么后续渗透工作将无法进行。本章主要介绍Web渗透过程中各种密码的破解及解密,获取和破解Windows及Linux操作系统密码的方法,以及绝大部分应用软件加密密码的获取和破解等。通过本章的学习,读者对后续渗透碰到的密码破解任务可以举一反三,触类旁通。
第3章 Web漏洞扫描
Web渗透技术的核心就是发现Web漏洞,我们可以通过扫描器进行漏洞扫描。本章主要介绍Jsky、Acunetix Web Vulnerability Scanner、Safe3等扫描工具,还对Windows操作系统、MSSQL、MySQL、FTP、路由器等的口令扫描和利用进行了介绍。
第4章 常见文件上传漏洞及利用
上传是Web渗透中最容易获得WebShell的途径之一。本章介绍了如何利用WebEditor、FCKeditor、CuteEditor等典型编辑器漏洞获取WebShell的方法,同时还对登录绕过后通过Flash上传、文件上传等方法获取WebShell进行了探讨。
第5章 SQL注入漏洞及其利用
SQL注入是Web渗透的核心技术。本章主要介绍如何使用SQL注入方法获取WebShell,穿插介绍了如何使用多种扫描软件、攻击工具渗透Web服务器并提权。
第6章 高级渗透技术
本章介绍如何充分利用多种技术组合,结合巧妙的思路,最终成功渗透一些高难度的Web服务器,同时还对一些不常见的高级漏洞的利用进行了探讨。
第7章 Windows和Linux提权技术
本章主要通过一些实例讨论如何进行Windows提权。这些提权方法比较经典,掌握这些提权方法后,对其他提权方法也可以触类旁通。Web渗透的终极目标就是获取服务器权限,也即在获取Webshell权限后,利用现有信息和资源,通过各种途径,让Webshell权限提升到操作系统权限。Windows提权的方法很多,本书仅介绍一些常见的提权方法,包括MSSQL和MySQL数据库提权、Serv-U提权、Winmail提权、Pr提权、JBoss提权。提权的核心思想就是通过应用程序或者操作系统漏洞,使普通用户获得system权限。
第8章 Windows及Linux安全防范
本章就一些常见的漏洞和弱点进行分析,抛砖引玉。真正的安全防范是一个持续的改进和完善过程,需要随时关注0day及安全漏洞。在网络攻防的整个过程中,安全防范非常重要,攻击方需要隐藏自己的IP地址,消除痕迹,防止被发现,而防守方则关注如何加固,使自己的系统更加安全。可以说,牢不可破是终极目标。在武侠小说中经常提及一个理念:最好的防御就是攻击。通过攻击自身系统发现漏洞,对漏洞进行分析、修补和加固,也就有了日常听到的安全公司进行某项目的安全评估。
虽然本书的内容已经比较丰富和完整,但仍无法涵盖所有的Web渗透技术。通过本书的学习,希望读者可以快速了解和掌握Web渗透技术,加固自己的服务器。本书的目的是通过Web渗透技术,结合一些案例探讨网络安全,从而更好地加固Web服务器,远离黑客的威胁。

本文固定链接: https://www.moondream.cn/?p=1104 | 月梦工作室

该日志由 jacky 于2018年11月07日发表在 信息安全书籍 分类下, 你可以发表评论,并在保留原文地址及作者的情况下引用到你的网站或博客。
原创文章转载请注明: 安全书籍:《安全之路——Web渗透技术及实战案例解析(第2版)》 | 月梦工作室
关键字:

说点什么

avatar

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据

  Subscribe  
提醒