这篇是计算机类的优质预售推荐>>>>《黑客秘笈
渗透测试实用指南》
市面上最佳的渗透测试图书 美亚排名位居第一 通过模拟渗透测试的流程全讲解期间用到的各种工具和技术
编辑推荐
市场上口碑最佳的渗透测试图书,在美亚的测试图书领域排名第一,且好评如潮
全书以橄榄球的行话阐述渗透测试的战术,其内容如下所示。
赛前准备—安装:关于如何配置本书所用到的攻击机器、工具。
发球前—扫描网络:在出招之前,需要进行扫描,了解即将面对的环境。本章将深入探讨寻找目标信息、智能扫描的相关内容。
带球—漏洞利用:利用扫描中所发现的漏洞,对系统进行攻击。从现在开始我们就着手行动了。
抛传—Web应用程序的人工检测技术:有时,您需要发挥创意,寻找公开的目标。我们将会看看如何手动地寻找、攻击Web应用。
横传—渗透内网:攻陷一个系统后,如何通过网络获取更重要的信息。
助攻—社会工程学:通过表演来迷惑敌人,本章将解释一些社会工程学方面的技巧。
短传—需要物理访问的攻击:一个要求很近距离的漂亮短踢。这里将描述需要物理访问的攻击。
四分卫突破—规避反病毒检测:当您距离很近时,偷袭是很棒的。多数情况下,您会面临反病毒软件的阻挠。为解决这一阻碍,本章将介绍规避杀毒系统的方法。
特勤组—破解、利用和技巧:破解密码、漏洞利用,以及一些小技巧。
赛后—分析报告:比赛过程分析和成果汇报。
继续教育:与读者分享为提升渗透测试水平而有必要做的一些事情,如参加安全会议、参加培训课程、阅读相关图书、研究漏洞框架、参加CTF比赛等。
内容简介
所谓的渗透测试,就是借助各种漏洞扫描工具,通过模拟黑客的攻击方法,来对网络安全进行评估。
本书采用大量真实案例和集邮帮助的建议讲解了在渗透测试期间会面临的一些障碍,以及相应的解决方法。本书共分为10章,其内容涵盖了本书所涉的攻击机器/工具的安装配置,网络扫描,漏洞利用,人工地查找和搜索Web应用程序的漏洞,攻陷系统后如何获取更重要的信息,社工方面的技巧,物理访问攻击,规避杀毒软件的方法,破解密码相关的小技巧和最终的成果汇总等知识。
本书编排有序,章节直接相互独立,读者可以按需阅读,也可以逐章阅读。本书不要求读者具备渗透测试的相关背景,但是如果具有相关的经验,对理解本书的内容会更有帮助。
作译者
Peter
Kim是Secure Planet公司的CEO兼主席,在安全领域具有近10年的从业经验,在过去的7年里,一直从事渗透测试工作。他曾经在马里兰州霍华德社区学院讲授过渗透测试和网络安全的课程,并且持有大量安全相关的认证。
部分目录
第1章 赛前准备—安装
1
1.1 搭建渗透测试主机 1
1.1.1 硬件规格 1
1.1.2 商业软件 2
1.1.3 Kali Linux(http://www.kali.org) 3
1.1.4 Windows虚拟机 10
1.2 总结 12
第2章 发球前—扫描网络 13
2.1 外部扫描 13
2.2 Discover Scripts(过去叫做Backtrack Scripts)(Kali Linux) 14
2.2.1 被动式信息收集的操作方法 14
2.2.2 使用泄漏库来查找邮箱、认证信息 17
2.3 外部或内部的主动式信息收集 20
2.4 Web应用程序的扫描 29
2.4.1 Web应用程序的扫描流程 30
2.4.2 Web应用程序的扫描工具 30
2.5 总结 38
第3章 带球—漏洞利用 39
3.1 Metasploit(Windows/Kali Linux)(http://www. metasploit.com) 39
3.1.1 配置Metasploit进行远程攻击的基本步骤 39
3.1.2 搜索Metasploit的exploit(以古老的MS08-067漏洞为例) 41
3.2 脚本 42
3.3 总结 45
第4章 抛传—Web应用程序的人工检测技术 47
4.1 Web应用程序的渗透测试 47
4.1.1 SQL注入 47
4.1.2 跨站脚本(XSS) 57
4.1.3 跨站请求伪造(CSRF) 65
4.1.4 会话令牌 68
4.1.5 模糊测试/输入验证 70
4.1.6 功能/业务逻辑测试 75
4.2 总结 75
版权声明:本文为博主原创文章,未经博主允许不得转载。