网站渗透测试实战入门【2025|PDF下载-Epub版本|mobi电子书|kindle百度云盘下载】

网站渗透测试实战入门PDF格式电子书版下载

注意：本站所有压缩包均有解压码： 点击下载压缩包解压工具

第1章 关于渗透测试1

渗透测试的目的2

了解入侵者可能利用的途径2

了解系统及网络的安全强度3

了解弱点、强化安全3

理论中的渗透测试3

我眼中的渗透测试4

渗透测试的入门知识5

为什么只在网站中进行渗透测试6

本书的目的7

重点提示8

第2章 渗透测试的基本程序9

执行步骤10

测试程序的PDCA13

重点提示14

第3章 渗透测试的练习环境15

在线提供的渗透测试网站16

自建模拟测试环境19

安装WebGoat环境19

安装DVWA环境24

安装Mutillidae30

使用真实的网站环境35

准备渗透工具的执行环境35

重点提示37

第4章 网站弱点概述38

OWASP TOP 1039

A1——Injection（注入攻击）39

A2——Broken Authentication and Session Management（失效的验证与会话管理）41

A3——Cross-Site Scripting（XSS，跨站脚本攻击）41

A4——Insecure Direct Object References（不安全的直接对象引用）43

A5——Security Misconfiguration（不当的安全设置）44

A6——Sensitive Data Exposure（敏感数据暴露）46

A7——Missing Function Level Access Control（访问控制缺乏权限分级功能）47

A8——Cross Site Request Forgery（CSRF，跨站冒名请求）48

A9——Using Components with Known Vulnerabilities（使用存在已知漏洞的组件）49

A10——Unvalidated Redirects and Forwards（未经验证的重定向与转送）49

其他常见的网页程序弱点51

B1——过度信息揭露51

B2——robots.txt泄漏网站架构51

B3——文件上传机制52

B4——AJAX机制52

B5——Cross Frame Scripting（XFS，跨框架脚本攻击）53

B6——残存备份文件或备份目录56

补充说明57

关于Blind SQL Injection57

关于Cross Site Scripting（XSS）58

关于Session Hijacking59

关于Clickjacking60

重点提示60

第5章 信息搜集61

nslookup62

whois63

SiteDigger66

theHarvester.py67

HTTrack69

DirBuster72

在线漏洞数据库75

archive.org（网址：https：∥web.archive.org）75

WooYun.org（网址：http：∥www.wooyun.org）77

重点提示78

第6章 网站探测及弱点评估79

NMAP80

OWASP ZAP84

w3af89

调校w3af93

其他辅助型的Plugin94

MSBSA95

Wfetch97

重点提示102

第7章 网站渗透103

关于Local Proxy104

WebScarab107

WebScarab的基础操作107

为什么拦截111

调整拦截结果114

ZAP116

BurpSuite121

thc-hydra130

hydra选项132

利用hydra猜测账号134

SQLmap135

重点提示141

第8章 离线密码破解143

在线破解145

RainbowCrack146

建立自己的彩虹表147

排序彩虹表149

使用彩虹表150

John the Ripper151

简单模式153

密码字典模式153

暴力猜解模式153

关于john.pot156

暂时中断执行157

重点提示158

第9章 渗透测试报告159

准备好渗透测试记录160

撰写渗透测试报告书160

报告书的撰写建议161

重点162

图表重于文字162

结果与建议162

重点提示162

第10章 持续精进技巧164

延伸阅读166

重点提示168

附录169