编辑推荐
本书是中国网络安全审查技术与认证中心注册渗透测试人员认证考试的配套教材。
内容简介
本书深入浅出地全面介绍了渗透测试的完整流程、原理知识和实用技术,涵盖信息收集、Web系统渗透、中间件、操作系统和数据库系统安全测试的要点,并简明扼要地介绍了常用的高级渗透技术,后以实战导向的综合案例对渗透测试相关知识和技术进行整合应用。
书中除了对常用渗透测试工具进行了详细的介绍以外,还为参加认证培训的人员提供了进行实践操作和考核的线上平台,力求使读者能够做到理论与实际相结合、学以致用。
本书也可以作为大专院校网络安全相关专业的教材,或作为从事网络安全相关领域的专业人员之技术读本和工具书。
作者简介
编著苗春雨,博士,硕士生导师,杭州安恒信息技术股份有限公司副总裁、网络空间安全学院院长,长期从事网络安全技术研究和人才培养工作,具备CISI(注册信息安全讲师)、CISP(注册信息安全专家)和CCSSP(注册云安全专家)等资质,曾任浙江某高校网络空间安全一流学科和特色专业执行负责人,近5年发表学术论文和教学研究论文20余篇,专著1部,多次获得浙江省计算机教育及应用学会年会优秀论文奖,参与多个网络安全人才联盟或产业联盟工作。
章节目录
版权信息
内容简介
编委会
序1
序2
前言
第1章 渗透测试基础
1.1 渗透测试概述
1.1.1 渗透测试标准
1.1.2 渗透测试流程
1.1.3 渗透测试方法
1.1.4 渗透测试原则
1.1.5 渗透测试报告
1.2 安全政策法规标准
1.2.1 网络安全法律法规
1.2.2 网络安全政策标准
1.3 本章小结
第2章 渗透测试环境
2.1 渗透测试平台
2.2 渗透测试工具
2.2.1 Burp Suite
2.2.2 Nmap
2.2.3 AWVS
2.2.4 Nessus
2.2.5 MetaSploit
2.3 渗透测试实例
2.4 本章小结
第3章 信息收集原理与实践
3.1 搜索引擎
3.1.1 Google Hacking
3.1.2 物联网搜索引擎
3.2 域名信息收集
3.2.1 Whois查询
3.2.2 备案信息查询
3.2.3 子域名信息收集
3.3 服务器信息收集
3.3.1 真实IP探测
3.3.2 端口信息探测
3.3.3 操作系统类型探测
3.4 Web信息收集
3.4.1 Web指纹识别
3.4.2 敏感目录扫描
3.4.3 旁站和C段信息收集
3.5 其他信息收集
3.5.1 GitHub信息收集
3.5.2 邮箱信息收集
3.6 本章小结
第4章 Web攻防原理剖析
4.1 文件上传漏洞
4.1.1 漏洞简介
4.1.2 漏洞利用
4.1.3 漏洞实战
4.2 文件下载漏洞
4.2.1 漏洞简介
4.2.2 漏洞利用
4.2.3 漏洞实战
4.3 文件包含漏洞
4.3.1 漏洞简介
4.3.2 漏洞利用
4.3.3 漏洞实战
4.4 SQL注入漏洞
4.4.1 漏洞简介
4.4.2 漏洞利用
4.4.3 漏洞实战
4.5 命令执行漏洞
4.5.1 漏洞简介
4.5.2 漏洞利用
4.5.3 漏洞实战
4.6 XSS跨站脚本攻击
4.6.1 漏洞简介
4.6.2 漏洞利用
4.6.3 漏洞实战
4.7 CSRF跨站请求伪造
4.7.1 漏洞简介
4.7.2 漏洞利用
4.7.3 漏洞实战
4.8 XXE XML实体注入
4.8.1 漏洞简介
4.8.2 漏洞实战
4.9 SSRF服务端请求伪造
4.9.1 漏洞简介
4.9.2 漏洞利用
4.9.3 漏洞实战
4.10 业务逻辑漏洞
4.10.1 验证码安全
4.10.2 支付漏洞
4.10.3 账户越权
4.10.4 密码重置
4.11 本章小结
第5章 中间件安全
5.1 中间件概述
5.1.1 中间件简介
5.1.2 中间件分类
5.1.3 Web中间件
5.2 Apache安全
5.2.1 Apache权限配置要点
5.2.2 Apache文件解析漏洞
5.2.3 Apache安全配置
5.2.4 Apache安全配置实验
5.3 IIS安全
5.3.1 IIS文件解析漏洞
5.3.2 IIS写权限漏洞
5.3.3 IIS安全配置
5.3.4 IIS解析漏洞利用实验
5.3.5 IIS安全配置实验
5.4 Tomcat安全
5.4.1 Tomcat典型漏洞
5.4.2 Tomcat安全配置
5.4.3 Tomcat弱口令爆破实验
5.4.4 Tomcat安全配置实验
5.5 WebLogic安全
5.5.1 WebLogic典型漏洞
5.5.2 WebLogic XMLDecoder反序列化实验
5.5.3 WebLogic安全配置
5.6 本章小结
第6章 操作系统安全
6.1 操作系统安全机制
6.1.1 标识与鉴别机制
6.1.2 访问控制机制
6.1.3 最小特权管理
6.1.4 可信通路机制
6.1.5 安全审计机制
6.2 Windows系统安全
6.2.1 Windows系统安全配置
6.2.2 Windows典型系统漏洞
6.2.3 Windows安全基线管理
6.3 Linux系统安全
6.3.1 Linux系统安全机制
6.3.2 Linux系统安全配置
6.3.3 Linux典型系统漏洞
6.3.4 Linux安全基线管理
6.4 本章小结
第7章 数据库安全
7.1 数据库安全概述
7.1.1 数据库概述
7.1.2 数据库安全风险
7.1.3 数据库安全防护
7.2 SQL Server数据库安全
7.2.1 SQL Server安全风险
7.2.2 SQL Server漏洞利用
7.2.3 SQL Server安全加固
7.2.4 SQL Server安全加固实验
7.3 MySQL数据库安全
7.3.1 MySQL安全风险
7.3.2 MySQL漏洞利用
7.3.3 MySQL安全加固
7.3.4 MySQL弱口令后台Getshell实验
7.4 Oracle数据库安全
7.4.1 Oracle安全风险
7.4.2 Oracle漏洞利用
7.4.3 Oracle安全加固
7.5 其他数据库安全
7.5.1 Redis安全
7.5.2 MongoDB安全
7.6 本章小结
第8章 高级渗透技术
8.1 WebShell查杀技术
8.1.1 WebShell原理
8.1.2 WebShell查杀
8.1.3 WebShell免杀
8.2 WAF鉴别与探测
8.2.1 WAF原理
8.2.2 WAF安全规则
8.2.3 WAF探测
8.2.4 WAF绕过
8.3 反弹Shell
8.3.1 反弹Shell原理
8.3.2 反弹Shell方法
8.3.3 反弹Shell实践
8.4 提权技术
8.4.1 系统提权概述
8.4.2 Windows系统提权
8.4.3 Linux系统提权
8.4.4 数据库提权
8.5 本章小结
第9章 企业综合实战案例
9.1 企业综合网络渗透案例一
9.1.1 企业综合网络拓扑
9.1.2 综合渗透思路
9.1.3 综合渗透实践
9.1.4 网络安全防护方案
9.2 企业综合网络渗透案例二
9.2.1 企业综合网络拓扑
9.2.2 综合渗透思路
9.2.3 综合渗透实践
9.2.4 网络安全防护方案
9.3 本章小结
网络安全渗透测试是2021年由电子工业出版社出版,作者苗春雨 主编。
得书感谢您对《网络安全渗透测试》关注和支持,如本书内容有不良信息或侵权等情形的,请联系本网站。
