首页
社区
课程
招聘
抽奖送书:Web安全攻防:渗透测试实战指南
发表于: 2018-8-9 10:21 11218

抽奖送书:Web安全攻防:渗透测试实战指南

2018-8-9 10:21
11218

准备从事渗透测试工作的朋友快来,给大家推荐一本难得的良师秘籍!


《 Web安全攻防:渗透测试实战指南

零基础入门,从渗透测试信息收集到后渗透攻防
安全专家实战讲解,全面介绍Web渗透核心攻击与防御方式


作者介绍:

徐焱,北京交通大学长三角研究院安全研究员。2002年接触网络安全,主要研究方向是内网渗透和APT攻击,有丰富的网络安全渗透经验。已出版图书《网络攻防实战研究:漏洞利用与提权》,曾在《黑客防线》、《黑客X档案》、《黑客手册》、FreeBuf、360安全客、阿里云盾先知、嘶吼等杂志和媒体上发表过多篇技术文章。 


李文轩,常用ID:遗忘。曾任天融信渗透测试工程师,现任奇虎360攻防实验室安全研究员,擅长渗透测试、无线电安全,活跃于多个漏洞报告平台,报告过多个CVE漏洞,参与360安全客季刊的编辑审核。


 王东亚,常用ID:0xExploit。曾任职绿盟科技、天融信高级安全顾问,现任职安徽三实安全总监,ATK团队发起人。擅长渗透测试和代码审计,活跃于多个漏洞报告平台,报告过数千个安全漏洞,包括多个CNVD、CVE漏洞。曾在FreeBuf、绿盟技术季刊等杂志和媒体发表过多篇专业技术文章,获得多个CTF比赛名次。



这次赠书拼的就是人品,扫描下方小程序二维码抽奖即可,8月16号上午8点开奖,选3名幸运读者,包邮哦。




想先看看内容的同学可以下载附件里的试读样章

迫不及待想看书的小伙伴也可以直接下单购买


小编看到今天这本书在京东计算机销量榜第六名 


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

最后于 2018-8-9 10:23 被博文视点编辑 ,原因:
上传的附件:
收藏
免费 0
支持
分享
最新回复 (5)
雪    币: 340
活跃值: (739)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2

本书结构如下


第 1 章  渗透测试之信息收集

进行渗透测试之前,最重要的一步就是信息收集。在这个阶段,我们要尽可能地收集目标的信息。所谓“知己知彼,百战不殆”,我们越了解测试目标,测试的工作就越容易。本章主要介绍了域名及子域名信息收集﹑查找真实IP﹑CMS指纹识别﹑目标网站真实IP﹑常用端口的信息收集等内容。


第 2 章  搭建漏洞环境及实战

“白帽子”在目标对象不知情或者没有得到授权的情况下发起的渗透攻击是非法行为,所以我们通常会搭建一个有漏洞的Web应用程序,以此来练习各种各样的安全渗透技术。本章主要介绍了Linux系统下的LANMP﹑Windows系统下的WAMP应用环境的搭建,DVWA漏洞平台﹑SQL注入平台﹑XSS测试平台等常用渗透测试漏洞练习平台的安装配置及实战。


第 3 章  常用的渗透测试工具

“工欲善其事,必先利其器”,在日常的渗透测试中,借助一些工具,“白帽子” 可以更高效地执行安全测试,这能极大地提高工作的效率和成功率。本章详细介绍了常用的三大渗透测试工具SQLMap﹑Burp Suite﹑Nmap的安装,入门和实战利用。


第 4 章  Web 安全原理剖析

Web渗透的核心技术包括SQL注入﹑XSS攻击﹑CSRF攻击﹑SSRF攻击﹑暴力破解﹑文件上传﹑命令执行漏洞攻击﹑逻辑漏洞攻击﹑XXE漏洞攻击和WAF绕过等。本章依次将这些常见高危漏洞提取出来,从原理到利用,从攻击到防御,一一讲解。同时还讲解了CSRF漏洞﹑SSRF漏洞﹑XXE漏洞﹑暴力破解漏洞﹑命令执行漏洞﹑文件上传漏洞﹑逻辑漏洞的形成原理﹑漏洞利用﹑代码分析,以及修复建议。


第 5 章  Metasploit 技术

Metasploit是近年来最强大﹑最流行和最有发展前途的开源渗透测试平台软件之一。它完全颠覆了已有的渗透测试方式。本章详细介绍了Metasploit的攻击步骤﹑信息收集﹑漏洞分析﹑漏洞利用﹑权限提升﹑移植漏洞代码模块,以及如何建立后门的实践方法。通过具体的内网域渗透测试实例,分析如何通过一个普通的WebShell 权限一步一步获取域管权限,最终畅游整个内网。


第 6 章  PowerShell 攻击指南

在渗透测试中,PowerShell是不能忽略的一个环节,而且仍在不断地更新和发展,它具有令人难以置信的灵活性和功能化管理Windows系统的能力。PowerShell的众多特点使得它在获得和保持对系统的访问权限时,也成为攻击者首选的攻击手段。本章详细介绍了PowerShell的基本概念和常用命令,以及PowerSploit﹑Empire﹑Nishang 等常用PowerShell攻击工具的安装及具体模块的使用,包括生成木马、信息探测、权限提升、横向渗透、凭证窃取、键盘记录、后门持久化等操作。


第 7 章  实例分析

对网站进行渗透测试前,如果发现网站使用的程序是开源的CMS,测试人员一般会在互联网上搜索该CMS已公开的漏洞,然后尝试利用公开的漏洞进行测试。由于CMS已开源,所以可以将源码下载,直接进行代码审计,寻找源码中的安全漏洞。本章结合实际的源码,详细介绍了如何找出SQL注入漏洞﹑文件删除漏洞﹑文件上传漏洞﹑添加管理员漏洞﹑竞争条件漏洞等几种常见安全漏洞的代码审查方法,并通过实际案例细致地讲解了几种典型的攻击手段,如后台爆破﹑SSRF+Redis获得 WebShell﹑旁站攻击﹑重置密码攻击和SQL注入攻击,完美复现了整个实际渗透攻击的过程。

2018-8-9 10:24
0
雪    币: 5
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
抽獎
2018-8-9 15:22
0
雪    币: 340
活跃值: (739)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
来试下运气
2018-8-13 09:54
0
雪    币: 3255
活跃值: (1921)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
支持
2018-8-13 10:32
0
雪    币: 340
活跃值: (739)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
已经开奖,中奖者的书今天都递出啦
2018-8-20 13:17
0
游客
登录 | 注册 方可回帖
返回
//