此部分為隱藏內(nèi)容，請輸入驗證碼后查看

驗證碼：

掃描右側(cè)圖片或微信搜索 “ Java技術(shù)分享屋 ” ，回復 “ 驗證碼 ” ，獲取驗證密碼。
本資料僅供讀者預(yù)覽及學習交流使用，不能用于商業(yè)用途，請在下載后24小時內(nèi)刪除。如果喜歡，請購買正版！

一.資料圖片

二.資料簡介

近些年來，國內(nèi)外Web網(wǎng)站安全領(lǐng)域的問題紛繁復雜，各種攻擊手段層出不窮，給人以“亂花漸欲迷人眼”的感覺，本書希望能幫助讀者理解亂象叢生的Web網(wǎng)站安全現(xiàn)狀，做到“撥開云霧始見天”。

三.資料目錄

1.1Web安全問題出現(xiàn)的背景分析1

1.1.1Web安全興起原因1

1.1.2Web網(wǎng)絡(luò)空間的特性1

1.1.3Web信息傳播的優(yōu)勢2

1.1.4Web安全的挑戰(zhàn)3

1.2Web安全典型案例及分析3

1.2.12011年3月RSA被釣魚郵件攻擊3

1.2.22011年6月美國花旗銀行遭黑4

1.2.32012年1月賽門鐵克企業(yè)級源代碼被盜4

1.2.42012年6月LinkedIn用戶密碼泄露5

1.2.52012年7月雅虎服務(wù)器被黑用戶信息泄露5

1.2.62013年6月美國“棱鏡”灼傷全球公眾隱私6

1.2.72015年2月Google越南站遭DNS劫持7

1.2.82015年3月GitHub遭遇超大規(guī)模DDoS攻擊8

1.3流行Web安全漏洞掃描與滲透攻擊工具8

1.3.1OWASPZAP網(wǎng)站漏洞掃描與綜合類滲透測試工具9

1.3.2IBMSecurityAppScanWeb安全掃描與安全審計工具9

1.3.3WebScarab分析使用HTTP和HTTPS協(xié)議通信工具9

1.3.4PangolinSQL數(shù)據(jù)庫注入滲透測試工具9

1.3.5Metasploit安全漏洞檢測與滲透測試工具9

1.3.6BeEFWeb瀏覽器滲透攻擊工具10

1.3.7Nmap網(wǎng)絡(luò)發(fā)掘和安全審計工具10

1.3.8NiktoWeb服務(wù)器掃描工具10

1.3.9HttprintWeb服務(wù)器指紋識別工具11

1.3.10DirBuster遍歷Web應(yīng)用服務(wù)器目錄和文件工具11

1.3.11W3AFWeb應(yīng)用程序攻擊和審計框架11〖1〗Web網(wǎng)站漏洞掃描與滲透攻擊工具揭秘目錄[3]〖3〗

1.3.12Wireshark網(wǎng)絡(luò)數(shù)據(jù)包分析軟件11

1.3.13BurpSuite攻擊Web應(yīng)用程序集成平臺12

1.4國際著名十大Web安全攻擊分析12

1.4.1未驗證的重定向和轉(zhuǎn)發(fā)13

1.4.2不安全的通信14

1.4.3URL訪問控制不當15

1.4.4不安全的加密存儲15

1.4.5安全配置錯誤16

1.4.6跨站請求偽造16

1.4.7不安全的直接對象引用17

1.4.8失效的身份認證和會話管理18

1.4.9跨站腳本攻擊18

1.4.10SQL注入20

1.5美國國防部最佳實踐OWASP項目22

1.5.1OWASP定義22

1.5.2OWASP上最新的Web安全攻擊與防范技術(shù)22

1.5.3Wiki上最新的Web安全攻擊與防范技術(shù)22

1.6國際著名漏洞知識庫CVE23

1.6.1CVE簡介23

1.6.2漏洞與暴露24

1.6.3CVE的特點24

1.7美國國家安全局倡議CWE25

1.7.1CWE簡介25

1.7.2CWE與OWASP的比較25

1.7.3CWETOP2525

第2章網(wǎng)站漏洞掃描與綜合類滲透測試工具ZAP/28

2.1ZAP簡介28

2.1.1ZAP的特點28

2.1.2ZAP的主要功能28

2.2安裝ZAP29

2.2.1環(huán)境需求29

2.2.2安裝步驟29

2.3基本原則33

2.3.1配置代理33

2.3.2ZAP的整體框架38

2.3.3用戶界面38

2.3.4基本設(shè)置38

2.3.5工作流程41

2.4自動掃描實例42

2.4.1掃描配置42

2.4.2掃描步驟43

2.4.3進一步掃描45

2.4.4掃描結(jié)果48

2.5手動掃描實例49

2.5.1掃描配置49

2.5.2掃描步驟49

2.5.3掃描結(jié)果51

2.6掃描報告52

2.6.1集成開發(fā)環(huán)境中的警報52

2.6.2生成報告52

2.6.3安全掃描報告分析53

2.7本章小結(jié)54

思考題54

第3章Web安全掃描與安全審計工具AppScan/55

3.1AppScan簡介55

3.1.1AppScan的測試方法55

3.1.2AppScan的基本工作流程55

3.2安裝AppScan56

3.2.1硬件需求56

3.2.2操作系統(tǒng)和軟件需求56

3.2.3GlassBox服務(wù)器需求57

3.2.4FlashPlayer升級59

3.2.5常規(guī)安裝60

3.2.6靜默安裝60

3.2.7許可證61

3.3基本原則63

3.3.1掃描步驟和掃描階段63

3.3.2Web應(yīng)用程序與WebService63

3.3.3AppScan的主窗口64

3.3.4工作流程66

3.3.5樣本掃描67

3.4掃描配置68

3.4.1配置步驟68

3.4.2ScanExpert69

3.4.3手動探索69

3.5掃描實例70

3.5.1WebApplication自動掃描實例70

3.5.2WebApplication手動探索實例84

3.5.3WebApplication調(diào)度掃描實例86

3.5.4GlassBox掃描實例87

3.5.5WebService掃描實例91

3.6掃描報告94

3.7本章小結(jié)98

思考題98

第4章分析使用HTTP和HTTPS協(xié)議通信工具WebScarab/99

4.1WebScarab簡介99

4.1.1WebScarab的特點99

4.1.2WebScarab界面總覽100

4.2WebScarab的運行101

4.2.1WebScarab下載與環(huán)境配置101

4.2.2在Windows下運行WebScarab102

4.3WebScarab的使用102

4.3.1功能與原理102

4.3.2界面介紹102

4.4請求攔截105

4.4.1啟用代理插件攔截105

4.4.2瀏覽器訪問URL105

4.4.3編輯攔截請求106

4.5WebScarab運行實例107

4.5.1設(shè)置代理107

4.5.2捕獲HTTP請求107

4.5.3修改請求109

4.5.4修改后的效果110

4.6本章小結(jié)110

思考題110

第5章數(shù)據(jù)庫注入滲透測試工具Pangolin/111

5.1SQL注入111

5.1.1注入風險111

5.1.2作用原理111

5.1.3注入例子111

5.2Pangolin簡介112

5.2.1使用環(huán)境112

5.2.2版本介紹112

5.2.3特性清單113

5.3安裝與注冊113

5.4Pangolin使用115

5.4.1注入階段115

5.4.2主界面介紹115

5.4.3配置界面介紹116

5.5實戰(zhàn)演示118

5.5.1演示網(wǎng)站運行指南118

5.5.2PangolinSQL注入120

5.6本章小結(jié)123

思考題124

第6章安全漏洞檢查與滲透測試工具Metasploit/125

6.1Metasploit簡介125

6.1.1Metasploit的特點125

6.1.2Metasploit的使用125

6.1.3相關(guān)專業(yè)術(shù)語126

6.2Metasploit安裝126

6.2.1在Windows系統(tǒng)中安裝Metasploit126

6.2.2在Linux系統(tǒng)安裝Metasploit126

6.2.3KaliLinux與Metasploit的結(jié)合127

6.3Metasploit信息搜集129

6.3.1被動式信息搜集129

6.3.2端口掃描器Nmap130

6.3.3輔助模塊133

6.3.4避免殺毒軟件的檢測134

6.3.5使用killav.rb腳本禁用防病毒軟件136

6.4Metasploit滲透138

6.4.1exploit用法139

6.4.2第一次滲透測試140

6.4.3Windows7/Server2008R2SMB客戶端無限循環(huán)漏洞144

6.4.4全端口攻擊載荷:暴力猜解目標開放的端口145

6.5后滲透測試階段146

6.5.1分析meterpreter系統(tǒng)命令146

6.5.2權(quán)限提升和進程遷移148

6.5.3meterpreter文件系統(tǒng)命令149

6.6社會工程學工具包150

6.6.1設(shè)置SET工具包150

6.6.2針對性釣魚攻擊向量151

6.6.3網(wǎng)站攻擊向量153

6.6.4傳染性媒體生成器153

6.7使用Armitage154

6.8本章小結(jié)157

思考題157

第7章Web瀏覽器滲透攻擊工具BeEF/158

7.1BeEF簡介158

7.2安裝BeEF158

7.3BeEF的啟動和登錄159

7.3.1BeEF的啟動159

7.3.2登錄BeEF系統(tǒng)159

7.4BeEF中的攻擊命令介紹161

7.4.1BeEF中的攻擊命令集合161

7.4.2BeEF中攻擊命令顏色的含義161

7.5基于瀏覽器的攻擊162

7.5.1GetCookie命令162

7.5.2GetFormValues命令162

7.5.3CreateAlertDialog命令164

7.5.4RedirectBrowser命令164

7.5.5DetectToolbars命令165

7.5.6DetectWindowsMediaPlayer命令165

7.5.7GetVisitedURLs命令167

7.6基于Debug的攻擊167

7.6.1ReturnASCIIChars命令167

7.6.2ReturnImage命令167

7.6.3TestHTTPBindRaw命令167

7.6.4TestHTTPRedirect命令167

7.6.5TestNetworkRequest命令168

7.7基于社會工程學的攻擊169

7.7.1FakeFlashUpdate命令169

7.7.2FakeLastPass命令170

7.7.3FakeNotificationBar（Firefox）命令170

7.8基于Network的攻擊172

7.8.1PortScanner命令172

7.8.2DetectTor命令172

7.8.3DNSEnumeration命令173

7.9基于Misc的攻擊173

7.9.1RawJavaScript命令173

7.9.2iFrameEventLogger命令173

7.9.3Rider、XssRays和Ipec175

7.10本章小結(jié)175

思考題176

第8章網(wǎng)絡(luò)發(fā)掘與安全審計工具Nmap/177

8.1Nmap簡介177

8.1.1Nmap的特點177

8.1.2Nmap的優(yōu)點178

8.1.3Nmap的典型用途178

8.2Nmap安裝178

8.2.1安裝步驟（Windows）179

8.2.2檢查安裝180

8.2.3如何在Linux下安裝Nmap180

8.3Nmap圖形界面使用方法182

8.3.1Zenmap的預(yù)覽及各區(qū)域簡介182

8.3.2簡單掃描流程183

8.3.3進階掃描流程185

8.3.4掃描結(jié)果的保存186

8.3.5掃描結(jié)果對比186

8.3.6搜索掃描結(jié)果186

8.3.7過濾主機189

8.4Nmap命令操作189

8.4.1確認端口狀況189

8.4.2返回詳細結(jié)果191

8.4.3自定義掃描191

8.4.4指定端口掃描193

8.4.5版本偵測193

8.4.6操作系統(tǒng)偵測194

8.4.7萬能開關(guān)A196

8.5本章小結(jié)197

思考題198

第9章Web服務(wù)器掃描工具Nikto/199

9.1Nikto簡介199

9.2下載與安裝199

9.2.1下載199

9.2.2解壓199

9.2.3安裝200

9.3使用方法及參數(shù)200

9.3.1h目標主機200

9.3.2C掃描CGI目錄202

9.3.3D控制輸出203

9.3.4V版本信息輸出204

9.3.5H幫助信息205

9.3.6dbcheck檢查數(shù)據(jù)庫206

9.3.7e躲避技術(shù)206

9.3.8f尋找HTTP或HTTPS端口207

9.3.9i主機鑒定207

9.3.10m猜解文件名208

9.3.11p指定端口209

9.3.12T掃描方式209

9.3.13u使用代理210

9.3.14o輸出文件210

9.3.15F輸出格式211

9.4報告分析212

9.5本章小結(jié)213

思考題214

第10章Web服務(wù)器指紋識別工具Httprint/215

10.1Httprint簡介215

10.1.1Httprint的原理215

10.1.2Httprint的特點217

10.2Httprint的目錄結(jié)構(gòu)218

10.3Httprint圖形界面218

10.3.1主窗口218

10.3.2配置窗口219

10.3.3操作說明219

10.3.4使用舉例220

10.4Httprint命令行220

10.4.1命令介紹220

10.4.2使用舉例221

10.5Httprint報告221

10.6Httprint準確度和防護222

10.6.1Httprint的準確度影響因素222

10.6.2Httprint的防護222

10.7Httprint使用中的問題222

10.8本章小結(jié)223

思考題223

第11章遍歷Web應(yīng)用服務(wù)器目錄與文件工具DirBuster/224

11.1DirBuster簡介224

11.2DirBuster下載安裝及配置環(huán)境224

11.2.1DirBuster下載224

11.2.2DirBuster環(huán)境配置224

11.3DirBuster界面介紹226

11.3.1DirBuster界面總覽226

11.3.2DirBuster界面功能組成228

11.4DirBuster的使用228

11.4.1輸入網(wǎng)站域名及端口號228

11.4.2選擇線程數(shù)目228

11.4.3選擇掃描類型229

11.4.4選擇外部文件229

11.4.5其他的設(shè)置230

11.4.6工具開始運行231

11.5DirBuster結(jié)果分析232

11.5.1查看目標服務(wù)器目錄信息（包括隱藏文件及目錄）232

11.5.2在外部瀏覽器中打開指定目錄及文件232

11.5.3復制URL232

11.5.4查看更多信息235

11.5.5猜解出錯誤頁面236

11.6本章小結(jié)237

思考題238

第12章Web應(yīng)用程序攻擊與審計框架w3af/239

12.1w3af簡介239

12.1.1w3af的特點239

12.1.2w3af的庫239

12.1.3w3af的架構(gòu)240

12.1.4w3af的功能240

12.1.5w3af的工作過程240

12.2w3af的安裝240

12.2.1在Windows系統(tǒng)下安裝240

12.2.2工作界面242

12.2.3在Linux下安裝244

12.3w3af圖形界面介紹245

12.4掃描流程247

12.4.1w3afGUI選擇插件掃描247

12.4.2w3afGUI使用向?qū)呙?49

12.4.3w3afConsole命令掃描252

12.4.4w3afGUI查看日志分析結(jié)果255

12.4.5w3afGUI查看分析結(jié)果256

12.4.6在掃描結(jié)果文件中查看結(jié)果258

12.4.7通過Exploit進行漏洞驗證259

12.5本章小結(jié)260

思考題260

第13章網(wǎng)絡(luò)封包分析軟件Wireshark/261

13.1Wireshark簡介261

13.1.1Wireshark的特性261

13.1.2Wireshark的主要功能261

13.2安裝Wireshark261

13.2.1Windows下安裝Wireshark261

13.2.2Linux下安裝Wireshark267

13.3Wireshark主界面267

13.3.1主菜單268

13.3.2主工具欄270

13.3.3過濾工具欄272

13.3.4包列表面板272

13.3.5包詳情面板273

13.3.6包字節(jié)面板273

13.3.7狀態(tài)欄274

13.4捕捉數(shù)據(jù)包274

13.4.1捕捉方法介紹274

13.4.2捕捉接口對話框功能介紹275

13.4.3捕捉選項對話框功能介紹275

13.4.4捕捉過濾設(shè)置277

13.4.5開始/停止/重新啟動捕捉279

13.5處理已經(jīng)捕捉的包280

13.5.1查看包詳情280

13.5.2瀏覽時過濾包283

13.5.3建立顯示過濾表達式283

13.5.4定義/保存過濾器285

13.5.5查找包對話框285

13.5.6跳轉(zhuǎn)到指定包286

13.5.7合并捕捉文件286

13.6文件輸入輸出286

13.6.1打開捕捉文件286

13.6.2輸入文件格式286

13.6.3保存捕捉包287

13.6.4輸出格式287

13.7Wireshark應(yīng)用實例288

13.8本章小結(jié)290

思考題290

第14章攻擊Web應(yīng)用程序集成平臺BurpSuite/291

14.1BurpSuite簡介291

14.2安裝BurpSuite292

14.2.1環(huán)境需求292

14.2.2安裝步驟292

14.3工作流程及配置293

14.3.1BurpSuite框架與工作流程293

14.3.2配置代理293

14.4Proxy工具298

14.5Spider工具300

14.6Scanner工具302

14.6.1Scanner使用介紹302

14.6.2Scanner操作302

14.6.3Scanner報告304

14.7Intruder工具305

14.7.1字典攻擊步驟305

14.7.2字典攻擊結(jié)果310

14.8Repeater工具312

14.9Sequencer工具313

14.10Decoder工具315

14.11Comparer工具316

14.12本章小結(jié)317

思考題318

參考文獻/319 

本文鏈接：http://fangxuan.com.cn/security/475.html