網站滲透測試實務入門 第二版
確保系統安全的必備技能當我們將系統部署到網站上,系統就已經面對成千上萬的測試,其中不乏來自有心人士的「惡意」攻擊,系統提供愈多的服務,遭受攻擊的機率就愈高。雖然就「安全系統發展生命週期(SSDLC)」觀點,系統從一開始規劃就必須注重相關的安全防護,但一組系統的成型要經過多少人的手,如何保證每個人都盡到安全防護的責任?又該怎麼驗證?況且每天都有新的弱點、漏洞被發現,要如何得知原本安
收集中
US$10.57
確保系統安全的必備技能
當我們將系統部署到網站上,系統就已經面對成千上萬的測試,其中不乏來自有心人士的「惡意」攻擊,系統提供愈多的服務,遭受攻擊的機率就愈高。雖然就「安全系統發展生命週期(SSDLC)」觀點,系統從一開始規劃就必須注重相關的安全防護,但一組系統的成型要經過多少人的手,如何保證每個人都盡到安全防護的責任?又該怎麼驗證?況且每天都有新的弱點、漏洞被發現,要如何得知原本安全的系統,是否也存在新發現的漏洞。要發現這些漏洞就需要依靠良性的測試,也就是所謂的「滲透測試」。
實例引導佐以工具介紹,資安防護不求人
本書將告訴您滲透測試作業的步驟,並介紹一些免費的的工具給讀者參考,即使沒有深厚的理論基礎,只要照著本書的步驟練習,也能輕鬆學習。
本書特色
.執行步驟演繹條理分明,毋需深厚理論基礎
.建議工具皆為免費軟體,不損及學習完整性
.實例引導佐以工具介紹,降低學習門檻障礙
.專注於網站安全檢測,目標明確,事半功倍
.輔以完整的實作圖例,強化滲透觀念的確立
章节目录
- 1-1封面頁
- 1-2書名頁
- 1-3聲 明
- 1-4序
- 1-5適用對象
- 1-6內容綜覽
- 1-7翻譯風格說明
- 1-8縮寫術語全稱中英對照表
- 1-9目 錄
- 1-10Ch01 關於滲透測試
- 1-11關於資訊安全
- 1-12滲透測試的目的
- 1-13滲透測試與弱點掃描
- 1-14用語說明
- 1-15理論中的滲透測試
- 1-16筆者眼中的滲透測試
- 1-17滲透測試入門知識
- 1-18只談網站滲透測試
- 1-19本書的目的
- 1-20不要沮喪
- 1-21本章重點
- 1-22Ch02 滲透測試基本程序
- 1-23執行步驟
- 1-24步驟一:測試前預備
- 1-25步驟二:啟動會議
- 1-26步驟三:資訊蒐集
- 1-27步驟四:網路與主機掃描(弱點評估)
- 1-28步驟五:弱點利用
- 1-29步驟六:入侵之後
- 1-30步驟七:撰寫滲透測試報告
- 1-31步驟八:結案會議
- 1-32步驟九:修補後複測
- 1-33記得先取得雇主的同意書(授權書)
- 1-34摘錄刑法第36 章妨害電腦使用罪
- 1-35摘錄個人資料保護法之罰則
- 1-36測試程序的PDCA
- 1-37本章重點
- 1-38Ch03 滲透測試練習環境
- 1-39線上的滲透測試網站
- 1-40testfire
- 1-41webappsecurity
- 1-42crackme
- 1-43vulnweb.com
- 1-44自建模擬測試環境
- 1-45WebGoat 8.x
- 1-46WebGoat 5.4
- 1-47建立虛擬機環境
- 1-48Mutillidae II
- 1-49DVWA
- 1-50在IIS 安裝HacmeBank
- 1-51更多練習資源
- 1-52準備滲透工具執行環境
- 1-53關閉部分安全選項
- 1-54快速開啟命令提示字元
- 1-55找回Windows 10 的「在此處開啟命令視窗」
- 1-56本章重點
- 1-57Ch04 網站弱點概述
- 1-58WEB 平台架構與網頁基本原理
- 1-59Web 平台架構
- 1-60網頁基本原理
- 1-61OWASP TOP 10(2017)
- 1-62A1 – Injection
- 1-63A2 – Broken Authentication
- 1-64A3 – Sensitive Data Exposure
- 1-65A4 - XML External Entity(XXE)
- 1-66A5 – Broken Access Control
- 1-67A6 – Security Misconfiguration
- 1-68A7 – Cross-Site Scripting(XSS)
- 1-69A8 – Insecure Deserialization
- 1-70A9 – Using Components with Known Vulnerabilities
- 1-71A10 – Insufficient Logging & Monitoring
- 1-72其他年度的TOP 10 弱點
- 1-73Cross Site Request Forgery (CSRF)
- 1-74Insecure Direct Object References
- 1-75Unvalidated Redirects and Forwards
- 1-76Insecure Cryptograhpic Storage
- 1-77Failure to Restrict URL Access
- 1-78Improper Error Handling
- 1-79Buffer Overflows
- 1-80其他常見網頁程式弱點
- 1-81Robots.txt 設定不當
- 1-82非預期類型的檔案上傳
- 1-83可被操控的檔案路徑
- 1-84AJAX 機制缺乏保護
- 1-85Cross Frame Scripting (XFS)
- 1-86HTTP Response Splitting
- 1-87記住密碼
- 1-88自動填寫表單
- 1-89未適當保護殘存的備份檔或備份目錄
- 1-90補充說明
- 1-91關於Blind SQL Injection
- 1-92關於反射型XSS
- 1-93網址列的XSS
- 1-94關於Cross Site Request Forgery(CSRF)
- 1-95關於Session Hijacking
- 1-96關於Clickjacking
- 1-97本章重點
- 1-98Ch05 資訊蒐集
- 1-99nslookup
- 1-100補充說明
- 1-101whois
- 1-102瀏覽器插件
- 1-103命令列工具
- 1-104DNSRecon
- 1-105語法
- 1-106常用參數
- 1-107範例
- 1-108Google Hacking
- 1-109常用的Google 搜尋限定詞
- 1-110實用的搜尋語法
- 1-111hunter.io
- 1-112metagoofil
- 1-113語法
- 1-114常用參數
- 1-115修正metagoofil.py 錯誤
- 1-116範例
- 1-117theHarvester
- 1-118語法
- 1-119常用參數
- 1-120修正theHarvester
- 1-121範例
- 1-122安裝Hunter API 金鑰
- 1-123HTTrack
- 1-124DirBuster
- 1-125後續操作
- 1-126使用Proxy
- 1-127BruteBrowse
- 1-128線上漏洞資料庫
- 1-129archive.org
- 1-130HitConZeroDay
- 1-131建立字典檔
- 1-132如何預備帳號字典?
- 1-133如何預備密碼字典?
- 1-134如何預備網址字典?
- 1-135字典檔產生器
- 1-136crunch
- 1-137RSMangler
- 1-138pw-inspector
- 1-139後記
- 1-140本章重點
- 1-141Ch06 網站探測及弱點評估
- 1-142ZENMAP
- 1-143wFetch
- 1-144OWASP ZAP
- 1-145選擇Persist(存檔)方式
- 1-146建立主動掃描原則
- 1-147執行主動掃描
- 1-148驗證發現的漏洞
- 1-149儲存作業結果
- 1-150w3af
- 1-151執行掃描
- 1-152查閱掃描結果
- 1-153調校w3af
- 1-154輸出掃描報告
- 1-155其他輔助型的plugin
- 1-156arachni
- 1-157本章重點
- 1-158Ch07 網站滲透工具
- 1-159關於LOCAL Proxy
- 1-160IE 的Proxy 設定
- 1-161Firefox 的Proxy 設定
- 1-162Chrome 的Proxy 設定
- 1-163Opera 的Proxy 設定
- 1-164ZAP
- 1-165設定Local Proxy
- 1-166ZAP 的視窗配置
- 1-167使用ZAP 自帶的瀏覽器
- 1-168實務探討
- 1-169Burp Suite
- 1-170設定Local Proxy
- 1-171限定作業範圍
- 1-172爬找資源
- 1-173利用Burp Suite 暴力破解登入帳密
- 1-174thc-hydra
- 1-175語法
- 1-176常用參數
- 1-177選擇判斷準則的注意事項
- 1-178用hydra 猜測帳號密碼
- 1-179當thc-hydra 遇到中文字
- 1-180patator
- 1-181語法
- 1-182常用參數
- 1-183共用參數的範例
- 1-184PATATOR 的載荷佔位符
- 1-185利用http_fuzz 模組破解網頁登入帳密
- 1-186當patator 遇到中文字
- 1-187ncrack
- 1-188什麼是WWW 身分驗證?
- 1-189語法
- 1-190目標參數
- 1-191選項參數
- 1-192驗證的選項
- 1-193輸出選項
- 1-194其他選項
- 1-195範例
- 1-196CodeCrack
- 1-197初次啟動
- 1-198帳號及密碼字典檔
- 1-199設定檔
- 1-200測試用範例網頁
- 1-201SQLMap
- 1-202直接動手吧!
- 1-203指令說明
- 1-204更多參數
- 1-205本章重點
- 1-206Ch08 離線密碼破解
- 1-207利用搜尋引擎尋找答案
- 1-208RainbowCrack
- 1-209彩虹表的缺點
- 1-210建立自己的彩虹表
- 1-211排序彩虹表
- 1-212利用彩虹表破解雜湊
- 1-213Hashcat
- 1-214破解模式
- 1-215整理字典檔
- 1-216Hashcat 常用選項
- 1-217關於OpenCL 資訊
- 1-218命令範例
- 1-219常見的Hashcat 雜湊類型
- 1-220John the Ripper
- 1-221語法
- 1-222簡單模式
- 1-223字典檔模式
- 1-224暴力猜解模式
- 1-225字串遮罩模式
- 1-226指定加密格式
- 1-227john.pot 與show 選項
- 1-228暫時中斷執行
- 1-229破解檔案加密
- 1-230破解加密的MS Office 檔案
- 1-231破解加密的PDF
- 1-232破解加密的ZIP
- 1-233破解加密的7Z
- 1-234破解加密的RAR
- 1-235破解加密的SSH 私鑰
- 1-236破解WebDAV 連線密碼
- 1-237本章重點
- 1-238Ch09 滲透測試報告
- 1-239先備妥滲透測試紀錄
- 1-240撰寫滲透測試報告書
- 1-241報告書的撰寫建議
- 1-242文件複核
- 1-243本章重點
- 1-244Ch10 持續精進技巧
- 1-245理論及作業基礎
- 1-246網頁除錯及追蹤技巧
- 1-247經驗分享
- 1-248瀏覽器插件與線上工具
- 1-249延伸閱讀
- 1-250本章重點
- 1-251附錄A
- 1-252附錄1:滲透測試足跡蒐集檢查表
- 1-253附錄2:滲透測試同意書(範本)
- 1-254附錄3:滲透測試計畫書(範本)
- 1-255附錄4:滲透測試報告書(範本)
- 1-256附錄5:滲透測試紀錄(範本)
- 1-257附錄6:後記:滲透測試人員的危機與契機
- 1-258版權頁
- 1-259封底頁
常见问答
您可以透過手機、平板或是電腦登入 HiSKIO 平台,在【我的學習】>【我的書籍】頁面,選擇想看的電子書。
猜你喜欢
用户评价
| 收集中