此部分为隐藏内容,请输入验证码后查看
扫描右侧图片或微信搜索 “ Java技术分享屋 ” ,回复 “ 验证码 ” ,获取验证密码。
本资料仅供读者预览及学习交流使用,不能用于商业用途,请在下载后24小时内删除。如果喜欢,请购买正版!
一.资料图片
二.资料简介
近些年来,国内外Web网站安全领域的问题纷繁复杂,各种攻击手段层出不穷,给人以“乱花渐欲迷人眼”的感觉,本书希望能帮助读者理解乱象丛生的Web网站安全现状,做到“拨开云雾始见天”。
三.资料目录
1.1Web安全问题出现的背景分析1
1.1.1Web安全兴起原因1
1.1.2Web网络空间的特性1
1.1.3Web信息传播的优势2
1.1.4Web安全的挑战3
1.2Web安全典型案例及分析3
1.2.12011年3月RSA被钓鱼邮件攻击3
1.2.22011年6月美国花旗银行遭黑4
1.2.32012年1月赛门铁克企业级源代码被盗4
1.2.42012年6月LinkedIn用户密码泄露5
1.2.52012年7月雅虎服务器被黑用户信息泄露5
1.2.62013年6月美国“棱镜”灼伤全球公众隐私6
1.2.72015年2月Google越南站遭DNS劫持7
1.2.82015年3月GitHub遭遇超大规模DDoS攻击8
1.3流行Web安全漏洞扫描与渗透攻击工具8
1.3.1OWASPZAP网站漏洞扫描与综合类渗透测试工具9
1.3.2IBMSecurityAppScanWeb安全扫描与安全审计工具9
1.3.3WebScarab分析使用HTTP和HTTPS协议通信工具9
1.3.4PangolinSQL数据库注入渗透测试工具9
1.3.5Metasploit安全漏洞检测与渗透测试工具9
1.3.6BeEFWeb浏览器渗透攻击工具10
1.3.7Nmap网络发掘和安全审计工具10
1.3.8NiktoWeb服务器扫描工具10
1.3.9HttprintWeb服务器指纹识别工具11
1.3.10DirBuster遍历Web应用服务器目录和文件工具11
1.3.11W3AFWeb应用程序攻击和审计框架11〖1〗Web网站漏洞扫描与渗透攻击工具揭秘目录[3]〖3〗
1.3.12Wireshark网络数据包分析软件11
1.3.13BurpSuite攻击Web应用程序集成平台12
1.4国际著名十大Web安全攻击分析12
1.4.1未验证的重定向和转发13
1.4.2不安全的通信14
1.4.3URL访问控制不当15
1.4.4不安全的加密存储15
1.4.5安全配置错误16
1.4.6跨站请求伪造16
1.4.7不安全的直接对象引用17
1.4.8失效的身份认证和会话管理18
1.4.9跨站脚本攻击18
1.4.10SQL注入20
1.5美国国防部最佳实践OWASP项目22
1.5.1OWASP定义22
1.5.2OWASP上最新的Web安全攻击与防范技术22
1.5.3Wiki上最新的Web安全攻击与防范技术22
1.6国际著名漏洞知识库CVE23
1.6.1CVE简介23
1.6.2漏洞与暴露24
1.6.3CVE的特点24
1.7美国国家安全局倡议CWE25
1.7.1CWE简介25
1.7.2CWE与OWASP的比较25
1.7.3CWETOP2525
第2章网站漏洞扫描与综合类渗透测试工具ZAP/28
2.1ZAP简介28
2.1.1ZAP的特点28
2.1.2ZAP的主要功能28
2.2安装ZAP29
2.2.1环境需求29
2.2.2安装步骤29
2.3基本原则33
2.3.1配置代理33
2.3.2ZAP的整体框架38
2.3.3用户界面38
2.3.4基本设置38
2.3.5工作流程41
2.4自动扫描实例42
2.4.1扫描配置42
2.4.2扫描步骤43
2.4.3进一步扫描45
2.4.4扫描结果48
2.5手动扫描实例49
2.5.1扫描配置49
2.5.2扫描步骤49
2.5.3扫描结果51
2.6扫描报告52
2.6.1集成开发环境中的警报52
2.6.2生成报告52
2.6.3安全扫描报告分析53
2.7本章小结54
思考题54
第3章Web安全扫描与安全审计工具AppScan/55
3.1AppScan简介55
3.1.1AppScan的测试方法55
3.1.2AppScan的基本工作流程55
3.2安装AppScan56
3.2.1硬件需求56
3.2.2操作系统和软件需求56
3.2.3GlassBox服务器需求57
3.2.4FlashPlayer升级59
3.2.5常规安装60
3.2.6静默安装60
3.2.7许可证61
3.3基本原则63
3.3.1扫描步骤和扫描阶段63
3.3.2Web应用程序与WebService63
3.3.3AppScan的主窗口64
3.3.4工作流程66
3.3.5样本扫描67
3.4扫描配置68
3.4.1配置步骤68
3.4.2ScanExpert69
3.4.3手动探索69
3.5扫描实例70
3.5.1WebApplication自动扫描实例70
3.5.2WebApplication手动探索实例84
3.5.3WebApplication调度扫描实例86
3.5.4GlassBox扫描实例87
3.5.5WebService扫描实例91
3.6扫描报告94
3.7本章小结98
思考题98
第4章分析使用HTTP和HTTPS协议通信工具WebScarab/99
4.1WebScarab简介99
4.1.1WebScarab的特点99
4.1.2WebScarab界面总览100
4.2WebScarab的运行101
4.2.1WebScarab下载与环境配置101
4.2.2在Windows下运行WebScarab102
4.3WebScarab的使用102
4.3.1功能与原理102
4.3.2界面介绍102
4.4请求拦截105
4.4.1启用代理插件拦截105
4.4.2浏览器访问URL105
4.4.3编辑拦截请求106
4.5WebScarab运行实例107
4.5.1设置代理107
4.5.2捕获HTTP请求107
4.5.3修改请求109
4.5.4修改后的效果110
4.6本章小结110
思考题110
第5章数据库注入渗透测试工具Pangolin/111
5.1SQL注入111
5.1.1注入风险111
5.1.2作用原理111
5.1.3注入例子111
5.2Pangolin简介112
5.2.1使用环境112
5.2.2版本介绍112
5.2.3特性清单113
5.3安装与注册113
5.4Pangolin使用115
5.4.1注入阶段115
5.4.2主界面介绍115
5.4.3配置界面介绍116
5.5实战演示118
5.5.1演示网站运行指南118
5.5.2PangolinSQL注入120
5.6本章小结123
思考题124
第6章安全漏洞检查与渗透测试工具Metasploit/125
6.1Metasploit简介125
6.1.1Metasploit的特点125
6.1.2Metasploit的使用125
6.1.3相关专业术语126
6.2Metasploit安装126
6.2.1在Windows系统中安装Metasploit126
6.2.2在Linux系统安装Metasploit126
6.2.3KaliLinux与Metasploit的结合127
6.3Metasploit信息搜集129
6.3.1被动式信息搜集129
6.3.2端口扫描器Nmap130
6.3.3辅助模块133
6.3.4避免杀毒软件的检测134
6.3.5使用killav.rb脚本禁用防病毒软件136
6.4Metasploit渗透138
6.4.1exploit用法139
6.4.2第一次渗透测试140
6.4.3Windows7/Server2008R2SMB客户端无限循环漏洞144
6.4.4全端口攻击载荷:暴力猜解目标开放的端口145
6.5后渗透测试阶段146
6.5.1分析meterpreter系统命令146
6.5.2权限提升和进程迁移148
6.5.3meterpreter文件系统命令149
6.6社会工程学工具包150
6.6.1设置SET工具包150
6.6.2针对性钓鱼攻击向量151
6.6.3网站攻击向量153
6.6.4传染性媒体生成器153
6.7使用Armitage154
6.8本章小结157
思考题157
第7章Web浏览器渗透攻击工具BeEF/158
7.1BeEF简介158
7.2安装BeEF158
7.3BeEF的启动和登录159
7.3.1BeEF的启动159
7.3.2登录BeEF系统159
7.4BeEF中的攻击命令介绍161
7.4.1BeEF中的攻击命令集合161
7.4.2BeEF中攻击命令颜色的含义161
7.5基于浏览器的攻击162
7.5.1GetCookie命令162
7.5.2GetFormValues命令162
7.5.3CreateAlertDialog命令164
7.5.4RedirectBrowser命令164
7.5.5DetectToolbars命令165
7.5.6DetectWindowsMediaPlayer命令165
7.5.7GetVisitedURLs命令167
7.6基于Debug的攻击167
7.6.1ReturnASCIIChars命令167
7.6.2ReturnImage命令167
7.6.3TestHTTPBindRaw命令167
7.6.4TestHTTPRedirect命令167
7.6.5TestNetworkRequest命令168
7.7基于社会工程学的攻击169
7.7.1FakeFlashUpdate命令169
7.7.2FakeLastPass命令170
7.7.3FakeNotificationBar(Firefox)命令170
7.8基于Network的攻击172
7.8.1PortScanner命令172
7.8.2DetectTor命令172
7.8.3DNSEnumeration命令173
7.9基于Misc的攻击173
7.9.1RawJavaScript命令173
7.9.2iFrameEventLogger命令173
7.9.3Rider、XssRays和Ipec175
7.10本章小结175
思考题176
第8章网络发掘与安全审计工具Nmap/177
8.1Nmap简介177
8.1.1Nmap的特点177
8.1.2Nmap的优点178
8.1.3Nmap的典型用途178
8.2Nmap安装178
8.2.1安装步骤(Windows)179
8.2.2检查安装180
8.2.3如何在Linux下安装Nmap180
8.3Nmap图形界面使用方法182
8.3.1Zenmap的预览及各区域简介182
8.3.2简单扫描流程183
8.3.3进阶扫描流程185
8.3.4扫描结果的保存186
8.3.5扫描结果对比186
8.3.6搜索扫描结果186
8.3.7过滤主机189
8.4Nmap命令操作189
8.4.1确认端口状况189
8.4.2返回详细结果191
8.4.3自定义扫描191
8.4.4指定端口扫描193
8.4.5版本侦测193
8.4.6操作系统侦测194
8.4.7万能开关A196
8.5本章小结197
思考题198
第9章Web服务器扫描工具Nikto/199
9.1Nikto简介199
9.2下载与安装199
9.2.1下载199
9.2.2解压199
9.2.3安装200
9.3使用方法及参数200
9.3.1h目标主机200
9.3.2C扫描CGI目录202
9.3.3D控制输出203
9.3.4V版本信息输出204
9.3.5H帮助信息205
9.3.6dbcheck检查数据库206
9.3.7e躲避技术206
9.3.8f寻找HTTP或HTTPS端口207
9.3.9i主机鉴定207
9.3.10m猜解文件名208
9.3.11p指定端口209
9.3.12T扫描方式209
9.3.13u使用代理210
9.3.14o输出文件210
9.3.15F输出格式211
9.4报告分析212
9.5本章小结213
思考题214
第10章Web服务器指纹识别工具Httprint/215
10.1Httprint简介215
10.1.1Httprint的原理215
10.1.2Httprint的特点217
10.2Httprint的目录结构218
10.3Httprint图形界面218
10.3.1主窗口218
10.3.2配置窗口219
10.3.3操作说明219
10.3.4使用举例220
10.4Httprint命令行220
10.4.1命令介绍220
10.4.2使用举例221
10.5Httprint报告221
10.6Httprint准确度和防护222
10.6.1Httprint的准确度影响因素222
10.6.2Httprint的防护222
10.7Httprint使用中的问题222
10.8本章小结223
思考题223
第11章遍历Web应用服务器目录与文件工具DirBuster/224
11.1DirBuster简介224
11.2DirBuster下载安装及配置环境224
11.2.1DirBuster下载224
11.2.2DirBuster环境配置224
11.3DirBuster界面介绍226
11.3.1DirBuster界面总览226
11.3.2DirBuster界面功能组成228
11.4DirBuster的使用228
11.4.1输入网站域名及端口号228
11.4.2选择线程数目228
11.4.3选择扫描类型229
11.4.4选择外部文件229
11.4.5其他的设置230
11.4.6工具开始运行231
11.5DirBuster结果分析232
11.5.1查看目标服务器目录信息(包括隐藏文件及目录)232
11.5.2在外部浏览器中打开指定目录及文件232
11.5.3复制URL232
11.5.4查看更多信息235
11.5.5猜解出错误页面236
11.6本章小结237
思考题238
第12章Web应用程序攻击与审计框架w3af/239
12.1w3af简介239
12.1.1w3af的特点239
12.1.2w3af的库239
12.1.3w3af的架构240
12.1.4w3af的功能240
12.1.5w3af的工作过程240
12.2w3af的安装240
12.2.1在Windows系统下安装240
12.2.2工作界面242
12.2.3在Linux下安装244
12.3w3af图形界面介绍245
12.4扫描流程247
12.4.1w3afGUI选择插件扫描247
12.4.2w3afGUI使用向导扫描249
12.4.3w3afConsole命令扫描252
12.4.4w3afGUI查看日志分析结果255
12.4.5w3afGUI查看分析结果256
12.4.6在扫描结果文件中查看结果258
12.4.7通过Exploit进行漏洞验证259
12.5本章小结260
思考题260
第13章网络封包分析软件Wireshark/261
13.1Wireshark简介261
13.1.1Wireshark的特性261
13.1.2Wireshark的主要功能261
13.2安装Wireshark261
13.2.1Windows下安装Wireshark261
13.2.2Linux下安装Wireshark267
13.3Wireshark主界面267
13.3.1主菜单268
13.3.2主工具栏270
13.3.3过滤工具栏272
13.3.4包列表面板272
13.3.5包详情面板273
13.3.6包字节面板273
13.3.7状态栏274
13.4捕捉数据包274
13.4.1捕捉方法介绍274
13.4.2捕捉接口对话框功能介绍275
13.4.3捕捉选项对话框功能介绍275
13.4.4捕捉过滤设置277
13.4.5开始/停止/重新启动捕捉279
13.5处理已经捕捉的包280
13.5.1查看包详情280
13.5.2浏览时过滤包283
13.5.3建立显示过滤表达式283
13.5.4定义/保存过滤器285
13.5.5查找包对话框285
13.5.6跳转到指定包286
13.5.7合并捕捉文件286
13.6文件输入输出286
13.6.1打开捕捉文件286
13.6.2输入文件格式286
13.6.3保存捕捉包287
13.6.4输出格式287
13.7Wireshark应用实例288
13.8本章小结290
思考题290
第14章攻击Web应用程序集成平台BurpSuite/291
14.1BurpSuite简介291
14.2安装BurpSuite292
14.2.1环境需求292
14.2.2安装步骤292
14.3工作流程及配置293
14.3.1BurpSuite框架与工作流程293
14.3.2配置代理293
14.4Proxy工具298
14.5Spider工具300
14.6Scanner工具302
14.6.1Scanner使用介绍302
14.6.2Scanner操作302
14.6.3Scanner报告304
14.7Intruder工具305
14.7.1字典攻击步骤305
14.7.2字典攻击结果310
14.8Repeater工具312
14.9Sequencer工具313
14.10Decoder工具315
14.11Comparer工具316
14.12本章小结317
思考题318
参考文献/319