新書推薦:
《
揉碎浪漫(全两册)
》
售價:NT$
320.0
《
古籍善本
》
售價:NT$
2448.0
《
人民币国际化报告2024:可持续全球供应链体系与国际货币金融变革
》
售價:NT$
398.0
《
道德经新注 81幅作者亲绘哲理中国画,图文解读道德经
》
售價:NT$
653.0
《
清俗纪闻
》
售價:NT$
449.0
《
镜中的星期天
》
售價:NT$
347.0
《
世界前沿技术发展报告2024
》
售價:NT$
857.0
《
可转债——新手理财的极简工具
》
售價:NT$
296.0
|
內容簡介: |
网络安全不仅涉及国家政治、军事和经济各个方面,而且与国家的安全和主权密切相关。当代大学生应该掌握基本的网络攻防原理与技术,做好自身防范,增强抵御黑客攻击的能力。《网络安全攻防技术——Web安全篇》系统地介绍Web安全的相关基础理论,通过一些具体的实例阐述Web攻防的核心技术。《网络安全攻防技术——Web安全篇》共9章,主要介绍弱口令、跨站脚本攻击、SQL注入、文件上传和文件包含、代码审计、服务器提权等相关的攻防概念、基本原理与实现过程。《网络安全攻防技术——Web安全篇》的主要特点是理论与实践相结合,每章在详细介绍相关理论之后,都配有具体的实例操作讲解,能够帮助读者快速地掌握、理解各个知识点,促进理论知识的可转化性。
|
目錄:
|
目录第1章 网络安全攻防绪论11.1 网络安全概念11.1.1 主要特性11.1.2 预防措施31.1.3 发展方向61.2 网络安全的背景与现状61.3 网络安全的意义9本章小结10第2章 口令认证机制攻击112.1 认证技术112.1.1 概述112.1.2 认证阶段132.1.3 常见身份认证技术142.2 口令认证机制152.2.1 口令152.2.2 口令认证的分类162.3 口令认证攻击172.3.1 弱口令172.3.2 暴力破解182.4 口令攻击案例222.4.1 系统服务攻击222.4.2 数据库攻击232.4.3 中间件攻击242.4.4 Web应用攻击25本章小结31第3章 跨站脚本攻击323.1 跨站脚本攻击概述323.1.1 什么是XSS323.1.2 XSS简单演示323.2 跨站脚本攻击的危害与分类343.2.1 XSS攻击的危害343.2.2 XSS攻击的分类343.3 跨站脚本攻击的实现过程373.3.1 挖掘XSS漏洞383.3.2 准备攻击字符串,构造攻击URL413.4 跨站脚本攻击的检测与防御513.4.1 XSS攻击的检测513.4.2 XSS攻击的防御553.5 跨站脚本攻击实例分析603.5.1 客户端信息探测603.5.2 Cookie窃取623.5.3 网络钓鱼643.5.4 添加管理员693.5.5 XSSGetShell723.5.6 XSS蠕虫763.5.7 其他恶意攻击79本章小结81第4章 SQL注入824.1 什么是SQL注入824.1.1 理解SQL注入824.1.2 OWASP824.1.3 SQL注入的产生过程834.1.4 SQL注入的危害834.1.5 SQL注入攻击844.1.6 取消友好http错误消息844.1.7 寻找SQL注入844.1.8 确认注入点854.1.9 区分数字和字符串854.1.10 内联SQL注入854.1.11 字符串内联注入864.1.12 数字值内联注入874.1.13 终止式SQL注入884.1.14 数据库注释语法884.1.15 使用注释894.1.16 识别数据库904.2 ASP+Access注入914.2.1 爆出数据库类型914.2.2 猜表名924.2.3 猜字段名及字段长度924.2.4 猜字段值934.2.5 SQL注入中的高效查询——ORDER BY与UNION SELECT934.3 ASPX+MsSQL注入944.3.1 MsSQL注入点的基本检查944.3.2 检查与恢复扩展存储954.3.3 xp_cmdshell扩展执行任意命令964.3.4 xp_regwrite操作注册表与开启沙盒模式964.3.5 利用sp_makewebtash写入一句话木马974.3.6 DBowner权限下的扩展攻击利用974.3.7 MsSQL注入猜解数据库技术984.3.8 查询爆库的另一种方法994.3.9 UNION SELECT查询注入技术1004.3.10 窃取哈希口令1024.4 PHP+MySQL注入1034.4.1 MySQL数据库常见注入攻击技术1034.4.2 MySQL数据库注入攻击基本技术1044.4.3 LIMIT查询在MySQL5注入中的利用1054.4.4 LIMIT子句查询指定数据1054.4.5 LIMIT爆库、爆表与爆字段1064.4.6 group_concat函数快速实施MySQL注入攻击1064.4.7 窃取哈希口令1074.5 JSP+Oracle注入1074.5.1 Oracle注入点信息基本检测1074.5.2 利用Oracle系统表爆数据内容1094.5.3 UTL_HTTP存储过程反弹注入攻击1104.6 工具介绍1114.6.1 啊D1114.6.2 Pangolin1134.6.3 SQLMap1154.7 SQL盲注1174.7.1 寻找并确认SQL盲注1174.7.2 基于时间技术1184.8 访问文件系统1204.8.1 读文件1214.8.2 写文件1224.9 SQL注入绕过1234.9.1 使用大小写1234.9.2 使用SQL注释1234.9.3 使用URL编码1244.9.4 使用动态的查询执行1254.9.5 使用空字节1254.9.6 嵌套剥离后的表达式1264.10 防御SQL注入1264.10.1 使用参数化语句1264.10.2 输入验证1264.10.3 编码输出1274.10.4 使用存储过程127本章小结127第5章 文件上传和文件包含1285.1 文件上传攻击1285.1.1 文件上传简介1285.1.2 文件上传注入攻击1465.1.3 文件解析漏洞1515.1.4 编辑器漏洞1525.2 文件包含攻击1605.2.1 文件包含概述1605.2.2 本地文件包含1605.2.3 远程文件包含1705.2.4 文件包含防御173本章小结173第6章 安全漏洞代码审计1756.1 代码审计简述1756.1.1 代码审计的概念1756.1.2 代码审计发展历程1756.1.3 代码审计的作用和意义1766.2 代码审计思路1776.2.1 准备工作1776.2.2 一个原则1776.2.3 三种方法1776.3 环境搭建1776.4 审计工具介绍与安装1806.4.1 TommSearch工具1806.4.2 CodeXploiter工具1816.5 自动化挖掘漏洞实验1826.5.1 SQL注入漏洞实验1826.5.2 XSS跨站漏洞实验1846.5.3 文件上传漏洞实验1856.5.4 命令执行漏洞实验1876.5.5 代码执行漏洞实验1886.6 人工挖掘漏洞基础1896.6.1 常用代码调试函数1896.6.2 涉及的超全局变量1926.6.3 引发命令注入的相关函数1966.6.4 引发代码执行的相关函数2016.6.5 引发本地包含与远程包含的相关函数2046.6.6 引发XSS漏洞的相关函数2066.6.7 引发文件上传漏洞的相关函数2096.6.8 引发SQL注入的相关函数2136.7 人工挖掘漏洞进阶技巧2166.7.1 CSRF漏洞2176.7.2 动态函数执行与匿名函数执行漏洞2196.7.3 unserialize反序列化漏洞2226.7.4 覆盖变量漏洞2276.7.5 文件操作漏洞229本章小结231第7章 服务器提权2327.1 服务器提权攻击简介2327.1.1 用户组权限2327.1.2 文件权限2327.2 文件权限配置不当提权2327.2.1 普通提权2327.2.2 NC反弹提权2337.2.3 启动项提权2337.3 第三方软件提权2337.3.1 Radmin提权2337.3.2 PcAnywhere提权2347.3.3 Serv-U提权2367.3.4 VNC提权2377.4 数据库提权2387.4.1 MsSQL:xp_cmdshell提权2387.4.2 MsSQL:sp_oacreate提权2387.4.3 MsSQL:映像劫持提权2397.4.4 MsSQL:沙盒模式提权2407.4.5 MySQL:UDF提权2417.4.6 MySQL安装MySQLDLL提权2427.4.7 Oracle:Java提权2427.5 服务器溢出提权2457.5.1 IIS6.0本地溢出提权2457.5.2 PR提权2457.5.3 Churrasco提权2477.5.4 Ms06_040溢出提权2487.5.5 Ms08_067溢出提权2497.5.6 Linux提权250本章小结251第8章 内网渗透2528.1 内网渗透基础2528.1.1 内网概述2528.1.2 域2528.1.3 工作组2528.1.4 AD和DC2528.2 内网信息收集2538.2.1 本机信息收集2538.2.2 扩散信息收集2538.2.3 常见信息的收集命令2548.3 内网渗透方法2548.3.1 内网跨边界2558.3.2 用户Hash值抓取2628.3.3 Hash注入与传递2648.3.4 密码记录工具2668.3.5 Windows自带的网络服务内网攻击2718.3.6 Windows系统第三方网络服务渗透攻击2798.3.7 ARP和DNS攻击2858.4 内网安全防护286本章小结287第9章 恶意代码2889.1 恶意代码概述2889.1.1 病毒的危害解析2889.1.2 木马的原理和行为2889.1.3 网马解密和免杀原理2889.1.4 WebShell讲解2889.1.5 Rootkit后门安装与查杀2899.1.6 恶意程序的工作原理2899.2 恶意代码案例2899.2.1 熊猫烧香病毒案例分析以及手工查杀方法2899.2.2 QQ号木马查杀2939.2.3 网马的原理和免杀技术解析2969.2.4 WebShell讲解3029.2.5 MaxFix Rootkit后门的安装和查杀3079.3 恶意代码总结3119.3.1 计算机中毒的原因和防护3119.3.2 恶意代码的防治3119.3.3 计算机中毒的常见典型状况312本章小结312
|
|