本書編者為國網浙江省電力公司電力科學研究院內從事信息安全管理和技術研究的科技人員,著眼于新的信息網絡安全需求,結合本書編寫時的國內外信息安全背景,編者決定將多年工作的經驗總結出來,為中國信息安全盡一份綿薄之力。
本書主要是提供安全漏洞檢測工具使用指導,以提高自身整體的信息安全水平。
陳華智
國家注冊信息安全專業人員
國家電網公司專家人才后備
高級工程師
多年來一直專注電網信息化、電力信息安全的實踐、應用和探索,并致力于打造具有科技創新、技術創新的精干團隊。
[奮斗目標]
堅持“感恩、奉獻、分享、成人之美” 基本理念,堅持正面、包容、誠信、高標準的行為準則,堅持合作共贏、業務專家本分的行為模式,強調遵守法律、道德和倫理,構建統一共同體,通過技術及戰略的方法來建設團隊競爭力并成為專業領域領袖人才,進而改變個人、企業的命運,最終成為實現“中國夢”的一股正面力量。
目錄
一、背景... 8
二、滲透測試介紹... 8
2.1滲透測試定義... 8
2.2工作流程... 8
2.2.1開始之前... 9
2.2.2及時階段... 10
2.2.3第二階段... 15
2.2.4第三階段... 23
三、工具使用指南... 29
3.1漏洞掃描... 29
3.1.1 RSAS. 30
3.1.2 Nessus. 44
3.1.3 WVSS. 51
3.1.4 AppScan. 61
3.1.5 AWVS. 65
3.2端口掃描... 69
3.2.1 Nmap. 69
3.2.2 Superscan. 71
3.3抓包改包... 74
3.3.1 Fiddler. 74
3.3.2 BurpSuite. 80
3.4 SQL注入... 91
3.4.1 Pangolin. 91
3.4.2 Sqlmap. 97
3.5 Webshell工具... 98
3.5.1 中國菜刀... 98
3.6口令破解... 101
3.6.1 Hydra. 101
3.7數據庫連接工具... 104
3.7.1 Navicat. 104
3.8應急查殺... 111
3.8.1 D盾Web查殺工具... 111
3.8.2 Rootkit Hunter. 113
3.9漏洞利用... 113
3.9.1 Metasploit. 113
四、常見系統漏洞攻擊與防范... 117
4.1 MS08-067漏洞... 117
4.1.1 漏洞檢測與利用... 118
4.1.2 漏洞攻擊防范... 119
4.2 MS10-061漏洞... 120
4.2.1 漏洞檢測與利用... 120
4.2.2 漏洞攻擊防范... 121
4.3 MS12-020漏洞... 122
4.3.1 漏洞檢測與利用... 122
4.3.2 漏洞攻擊防范... 124
五、常見WEB應用漏洞攻擊與防范... 125
5.1 SQL注入漏洞... 125
5.1.1 漏洞檢測與利用... 125
5.1.2 漏洞攻擊防范... 129
5.2 Struts2遠程代碼執行... 131
5.2.1 漏洞檢測與利用... 132
5.2.2 漏洞攻擊防范... 133
5.3 IIS短文件名泄露漏洞... 133
5.3.1 漏洞檢測與利用... 133
5.3.1 漏洞攻擊防范... 135
5.4 WEB表單口令暴力猜解漏洞... 136
5.4.1 漏洞檢測與利用... 136
5.4.1 漏洞攻擊防范... 141
六、社會工程學攻擊及防范... 144
6.1 社會工程學定義... 144
6.2常見攻擊手段... 144
6.2.1信息分析... 144
6.2.2環境滲透... 144
6.2.3網絡騙局... 145
6.3防范措施... 145
6.3.1增強防范意識... 145
6.3.2制定安全方案... 145
6.3.3強化檢查監督... 145
七、案例實操... 146
7.1 系統漏洞攻防環境... 146
7.2 Web應用攻防環境... 146
八、結束語... 148
這本書比較基礎,適合入門的童鞋學習。
工具入門書籍
