作 者:李華峰 著
定 價:69.9
出 版 社:人民郵電出版社
出版日期:2022年02月01日
頁 數:208
裝 幀:平裝
ISBN:9787115577726
1.內容豐富。本書從網絡安全的基礎內容出發,從模塊利用到技術綜合應用,多角度介紹Metasploit滲透測試的方方面面,為開發人員提供一條有效的學習途徑。2.講解由淺入深。本書繫統剖析滲透測試的基本原理與應用,可以幫助開發人員深刻地理解滲透測試的底層機制,掌握網絡安全技術。3.提供配套的案例代碼,以及可用於高校教學的配套教案、講稿和幻燈片。
●第1章 通過Metasploit進行Web滲透測試
1.1 Web服務所面臨的威脅
1.2 Metasploit和靶機Metasploitable2
1.2.1 簡單了解Metasploit
1.2.2 簡單了解Metasploitable2
1.3 配置 tgreSQL數據庫
1.3.1 配置 tgreSQL
1.3.2 將數據導入Metasploit數據庫
1.3.3 使用hosts命令查看數據庫中的主機信息
1.3.4 使用services命令查看數據庫中的服務信息
1.4 Metasploit的工作區
1.5 在Metasploit中使用Nmap實現對目標的掃描
小結
第2章 對Web服務器應用程序進行滲透測試
2.1 Web服務器應用程序
2.2 拒絕服務攻擊
2.3 Apache Range Header DoS攻擊的思路與實現
2.3.1 Apache Range Header DoS攻擊的思路
2.3.2 Apache Range Header DoS攻擊的實現
2.4 Slowloris DoS攻擊的思路與實現
2.4.1 Slowloris DoS攻擊的思路
2.4.2 Slowloris DoS攻擊的實現
2.5 Metasploit的各種模塊
2.6 Metasploit模塊的search命令
小結
第3章 對通用網關接口進行滲透測試
3.1 PHP-CGI的工作原理
3.2 通過PHP-CGI實現對目標設備進行滲透測試
3.3 Linux操作繫統中的權限
3.4 Meterpreter中的提權命令
3.5 對用戶實現提權操作
小結
第4章 對數據庫進行滲透測試
4.1 MySQL簡介
4.2 使用字典破解MySQL的密碼
4.3 搜集MySQL中的信息
4.4 查看MySQL中的數據
4.5 通過Metasploit操作MySQL
小結
第5章 對Web認證進行滲透測試
5.1 DVWA認證的實現
5.2 對DVWA認證進行滲透測試
5.3 重放攻擊
5.3.1 互聯網的通信過程
5.3.2 重放攻擊的實現
5.4 使用字典破解DVWA登錄密碼
小結
第6章 通過命令注入漏洞進行滲透測試
6.1 PHP語言如何執行操作繫統命令
6.2 命令注入攻擊的成因與分析
6.3 使用Metasploit完成命令注入攻擊
6.4 命令注入攻擊的解決方案
6.5 各種常見滲透測試場景
6.5.1 滲透測試者與目標設備處在同一私網
6.5.2 滲透測試者處在目標設備所在私網外部
6.5.3 私網的安全機制屏蔽了部分端口
6.5.4 私網的安全機制屏蔽了部分服務
6.5.5 目標設備處在設置了DMZ區域的私網
6.5.6 滲透測試者處於私網
小結
第7章 通過文件包含與跨站請求偽造漏洞進行滲透測試
7.1 文件包含漏洞的成因
7.2 文件包含漏洞的分析與利用
7.3 文件包含漏洞的解決方案
7.4 跨站請求偽造漏洞的分析與利用
小結
第8章 通過上傳漏洞進行滲透測試
8.1 上傳漏洞的分析與利用
8.2 使用msfvenom生成被控端程序
8.3 在Metasploit中啟動主控端程序
8.4 使用MSFPC生成被控端程序
8.5 Metasploit的編碼機制
小結
第9章 通過SQL注入漏洞進行滲透測試
9.1 SQL注入漏洞的成因
9.2 SQL注入漏洞的利用
9.2.1 利用INFORMATION_SCHEMA數據庫進行SQL注入攻擊
9.2.2 繞過程序的轉義機制
9.2.3 SQL注入(Blind方式)
9.3 Sqlmap注入工具
9.4 在Metasploit中使用Sqlmap插件
小結
第10章 通過跨站腳本攻擊漏洞進行滲透測試
10.1 跨站腳本攻擊漏洞的成因
10.2 跨站腳本攻擊漏洞利用實例
10.3 使用sshkey_persistence建立持久化控制
10.4 關閉目標設備上的防火牆
小結
第11章 通過Metasploit進行取證
11.1 Meterpreter中常用的文件相關命令
11.2 Meterpreter中的信息搜集
11.3 將目標設備備份為鏡像文件
11.4 對鏡像文件取證
小結
本書繫統且深入地將滲透測試框架Metasploit與網絡安全相結合進行講解。本書不僅講述了Metasploit的實際應用方法,而且從網絡安全原理的角度分析如何用Metasploit實現網絡安全編程的技術,真正做到理論與實踐相結合。本書內容共分11章。第1章介紹Web服務環境中容易遭受攻擊的因素等內容:第2章講解如何對Web服務器應用程序進行滲透測試:第3章介紹對通用網關接口進行滲透測試的方法:第4章介紹對MySQL數據庫進行滲透測試的方法:第5章介紹對DVWA認證模式進行滲透測試的方法:第6章介紹對命令注入漏洞進行滲透測試的方法:第7章介紹對文件包含漏洞和跨站請求偽造漏洞進行滲透測試的方法:第8章講解通過上傳漏洞進行滲透測試的方法;第9章講解通過SQL注入漏洞進行滲透測試的方法;第10章介紹通過跨站腳本攻擊漏洞進行滲透測試的方法;第11章介紹Meterpreter中常用的文件相關命令,以及等
李華峰 著
李華峰,多年來一直從事網絡安全方面的教學與研究工作。他同時是一位經驗豐富的信息安全顧問和自由撰稿人,在網絡安全部署、網絡攻擊與防御以及社會工程學等方面有十分豐富的實踐經驗。已出版的作品和譯著包括《Kali Linux 2網絡滲透測試實踐指南(第2版)》《精通Metasploit滲透測試(第2版)》《諸神之眼——Nmap網絡安全審計技術揭秘》《Python滲透測試編程技術:方法與實踐(第2版)》《Wireshark網絡分析從入門到實踐》等。