陈明照编著的《网站渗透测试实战入门》从一个初踏入网站渗透测试领域的初学者出发，在较短的时间内，以最有效的方式让初学者一窥渗透测试的全貌。让读者学习到在真实的网络环境中，如何运用黑客技术和工具的“矛”进行“渗透”和“入侵”，以便发现网站的漏洞和防御弱点，将黑客技术用于网站“盾”的检测和检验，最终为构筑完备的“盾”提供思路和方向。本书可供大中专院校信息安全及相关专业的师生学习参考。

陈明照编著的《网站渗透测试实战入门》从实战的角度出发，通过网站渗透测试工具的介绍，详述如伺建立系统安全防范意识，强化渗透测试的概念，如伺防范新的安全弱点等，以保证从业者能够保护网络系统的信息安全；也尽可毹降低新手的学习门槛。

本书主要包括渗透测试的基本程序、渗透测试的练习环境、网站弱点、信息搜集、网站探测及弱点评估、网站渗透、离线密码破解、渗透测试报告等内容。

本书内容全面，用浅显的文字让读者在短时间内，以最有效的方式一窥渗透测试的全貌，适合广大渗透测试的入门者阅读，也可供大中专院校信息安全及相关专业的师生学习参考。

序

第1章 关于渗透测试

 渗透测试的目的

 了解入侵者可能利用的途径

 了解系统及网络的安全强度

 了解弱点、强化安全

 理论中的渗透测试

 我眼中的渗透测试

 渗透测试的入门知识

 为什么只在网站中进行渗透测试

 本书的目的

 重点提示

第2章 渗透测试的基本程序

 执行步骤

 测试程序的PDCA

 重点提示

第3章 渗透测试的练习环境

 在线提供的渗透测试网站

 自建模拟测试环境

 安装WebGoat环境

 安装DVWA环境

 安装Mutillidae

 使用真实的网站环境

 准备渗透工具的执行环境

 重点提示

第4章 网站弱点概述

 OWASP TOP 10

 A1——Injection（注入攻击）

 A2——Broken Authentication and Session Management

 （失效的验证与会话管理）

 A3——Cross-Site Scripting（XSS，跨站脚本攻击）

 A4——Insecure Direct Object References（不安全的直接对象引用）

 A5——Security Misconfiguration（不当的安全设置）

 A6——Sensitive Data Exposure（敏感数据暴露）

 A7——Missing Function Level Access Control

 （访问控制缺乏权限分级功能）

 A8——Cross Site Request Forgery（CSRF，跨站冒名请求）

 A9——Using Components with Known Vulnerabilities

 （使用存在已知漏洞的组件）

 A10——Unvalidated Redirects and Forwards（未经验证的重定向与转送）

 其他常见的网页程序弱点

 B1——过度信息揭露

 B2——robots.txt 泄漏网站架构

 B3——文件上传机制

 B4——AJAX机制

 B5——Cross Frame Scripting（XFS，跨框架脚本攻击）

 B6——残存备份文件或备份目录

 补充说明

 关于Blind SQL Injection

 关于Cross Site Scripting（XSS）

 关于Session Hijacking

 关于Clickjacking

 重点提示

第5章 信息搜集

 nslookup

 whois

 SiteDigger

 theHarvester.py

 HTTrack

 DirBuster

 在线漏洞数据库

 archive.org（网址：https://web.archive.org）

 WooYun.org（网址：http://www.wooyun.org）

 重点提示

第6章 网站探测及弱点评估

 NMAP

 OWASP ZAP

 w3af

 调校w3af

 其他辅助型的 Plugin

 MSBSA

 Wfetch

 重点提示

第7章 网站渗透

 关于Local Proxy

 WebScarab

 WebScarab的基础操作

 为什么拦截

 调整拦截结果

 ZAP

 BurpSuite

 thc-hydra

 hydra选项

 利用hydra猜测账号

 SQLmap

 重点提示

第8章 离线密码破解

 在线破解

 RainbowCrack

 建立自己的彩虹表

 排序彩虹表

 使用彩虹表

 John the Ripper

 简单模式

 密码字典模式

 暴力猜解模式

 关于john.pot

 暂时中断执行

 重点提示

第9章 渗透测试报告

 准备好渗透测试记录

 撰写渗透测试报告书

 报告书的撰写建议

 重点

 图表重于文字

 结果与建议

 重点提示

第10章 持续精进技巧

 延伸阅读

 重点提示

附录