信阅平台

产品特色

编辑推荐

展开

作者简介

展开

内容介绍

本书为Web渗透测试知识普及与技术推广教材，不仅能为Web渗透测试技术的初学者提供全面、实用的技术和理论基础知识，而且能有效培养和提高读者的Web安全防护能力。本书所有案例均在实验环境下进行，并配套示例源码、PPT课件、教学大纲、习题答案、作者答疑服务。本书共分12章，通过DVWA、Pikachu等靶场以及在线CTF实战演练平台，分析Web漏洞原理，掌握漏洞利用方法，并结合CTF实战演练，使读者能够充分掌握Web渗透测试技术。本书重点介绍SQL注入、XSS、CSRF、SSRF、RCE、文件上传、文件包含、暴力破解、反序列化、Web框架、CMS等常见的Web漏洞及其防御手段。本书适合Web渗透测试初学者、Web应用开发人员、Web应用系统设计人员、Web应用安全测试人员，可以作为企事业单位网络安全从业人员的技术参考用书，也可以作为应用型本科、高职高专网络空间安全、信息安全类专业的教材。

展开

精彩书评

展开

精彩书摘

展开

第1章 Web开发技术概述
1.1 Web基本概念
1.1.1 HTTP协议
1.1.2 Web服务器
1.1.3 浏览器
1.1.4 网络程序开发体系结构
1.2 常见Web开发技术体系
1.2.1 PHP体系
1.2.2 Java Web体系
1.2.3 ASP.NET体系
1.2.4 Python体系
1.2.5 Node.js体系
1.3 本章小结
1.4 习题
第2章 Web渗透测试技术概述
2.1 渗透测试基本概念
2.1.1 渗透测试定义
2.1.2 常见Web漏洞
2.1.3 渗透测试分类
2.2 渗透测试基本流程
2.3 渗透测试靶场搭建
2.3.1 法律
2.3.2 DVWA靶场
2.3.3 Pikachu靶场
2.3.4 Vulhub靶场
2.4 CTF实战演练平台
2.5 渗透测试常用工具
2.5.1 Burp Suite
2.5.2 Proxy SwitchyOmega插件
2.5.3 AWVS
2.5.4 Kali Linux
2.5.5 MSF
2.5.6 CS
2.6 本章小结
2.7 习题
第3章 SQL注入漏洞
3.1 漏洞概述
3.2 SOL注入常用函数
3.2.1 concat函数
3.2.2 length函数
3.2.3 ascii函数
3.2.4 substr函数
3.2.5 left、right函数
3.2.6 if函数
3.2.7 updatexml函数
3.3 漏洞分类及利用
3.3.1 基于联合查询的SQL注入
3.3.2 盲注
3.3.3 宽字节
3.3.4 inser/update/delete注入
3.3.5 header注入
3.4 sqli-labs训练平台
3.5 SQLMap
3.6 CTF实战演练
3.7 漏洞防御
3.7.1 使用过滤函数
3.7.2 预编译语句
3.7.3 输入验证
3.7.4 WAF
3.8 本章小结
3.9 习题
第4章 RCE漏洞
4.1 漏洞概述
4.2 漏洞分类
4.2.1 管道符
4.2.2 命令执行漏洞
4.2.3 代码注入漏洞
4.3 漏洞利用
4.4 CTF实战演练
4.5 漏洞防御
4.6 本章小结
4.7 习题
第5章 XSS漏洞
5.1 漏洞概述
5.2 漏洞分类
5.2.1 反射型
5.2.2 存储型
5.2.3 DOM型漏洞
5.3 漏洞利用
5.3.1 盗取Cookie
5.3.2 钓鱼
5.3.3 键盘记录
5.4 Beef
5.5 绕过XSS漏洞防御方法
5.5.1 大小写混合
5.5.2 利用过滤后返回语句
5.5.3 标签属性
5.5.4 事件
5.5.5 利用编码
5.5.6 实例演示
5.6 CTF实战演练
5.7 漏洞防御
5.8 本章小结
5.9 习题
第6章 CSRF漏洞
6.1 漏洞概述
6.2 漏洞原理
6.3 漏洞利用
6.3.1 CSRF_GET类型
6.3.2 CSRF_POST类型
6.4 漏洞防御
6.5 本章小结
6.6 习题
第7章 SSRF漏洞
7.1 漏洞概述
7.2 漏洞原理
7.2.1 file_get_contents函数
7.2.2 fsockopen函数
7.2.3 curl_exec函数
7.3 漏洞挖掘
7.4 伪协议
7.4.1 file://协议
7.4.2 dict://协议
7.4.3 sftp://协议
7.4.4 gopher://协议
7.5 漏洞利用
7.5.1 curl函数
7.5.2 file_get_content函数
7.6 CTF实战演练
7.7 漏洞防御
7.8 本章小结
7.9 习题
第8章文件上传漏洞
8.1 漏洞概述
8.2 Web服务器解析漏洞
8.2.1 IS解析漏洞
8.2.2 Apache解析漏洞
8.2.3 Nginx解析漏洞
8.3 漏洞测试
8.4 文件上传验证
8.4.1 白名单和黑名单规则
8.4.2 前端验证
8.4.3 服务端防御
8.5 文件上传验证绕过
8.5.1 绕过前端验证
8.5.2 绕过服务端验证
8.6 upload-labs训练平台
8.7 CTF实战演练
8.8 漏洞防御
8.9 本章小结
8.10 习题
第9章文件包含漏洞
9.1 漏洞概述
9.2 文件包含函数
9.3 漏洞利用涉及的伪协议
9.3.1 测试模型
9.3.2 file://协议
9.3.3 http://协议
9.3.4 zip://、phar://协议
9.3.5 php://协议
9.3.6 data://协议
9.4 漏洞利用
9.4.1 图片木马利用
9.4.2 Access.log利用
9.5 CTF实战演练
9.6 漏洞防御
9.7 本章小结
9.8 习题
第10章暴力破解漏洞
10.1 漏洞概述
10.2 漏洞利用
10.2.1 基于表单的暴力破解
10.2.2 基于验证码绕过（on client）
10.2.3 基于验证码绕过（on server）
10.2.4 基于Token验证绕过
10.3 CTF实战演练
10.4 漏洞防御
10.5 本章小结
10.6 习题
第11章其他漏洞
11.1 反序列化漏洞
11.1.1 基本概念
11.1.2 漏洞概述
11.1.3 漏洞利用
11.1.4 CTF实战演练
11.2 XXE漏洞
11.2.1 基本概念
11.2.2 漏洞利用
11.2.3 CTF实战演练
11.2.4 漏洞防御
11.3 任意文件下载漏洞
11.3.1 漏洞概述
11.3.2 漏洞利用
11.3.3 CTF实战演练
11.3.4 漏洞防御
11.4 越权漏

展开