![]()
内容推荐 我们都生活在移动互联网时代,个人信息、企业信息等都暴露在互联网之下。一旦有居心叵测的人攻破网络,会造成无法估量的损失。本书结合红日安全团队的多年经验,深入讲解Web安全的相关知识。 全书共21章,第1章到第6章讲解入门知识,包括HTTP基本概念、工具实战、信息收集、靶场搭建等内容;第7章到第20章讲解Web渗透测试的14个典型漏洞案例,包括SQL注入、XSS漏洞、CSRF漏洞、SSRF漏洞、任意文件上传、业务逻辑漏洞等内容;第21章是项目实战,主要模拟真实Web安全评估项目。 本书案例丰富,代码翔实,实战性强,适合广大Web程序员、测试工程师、安全运营人员学习和使用,也适合与Web安全相关的培训、教育机构作为教材使用。 作者简介 红日安全团队成立于2016年,专注于APT攻防、威胁情报、漏洞挖掘、企业安全、代码审计、AI安全、CTF竞赛及安全人才培养。团队成员来自绿盟、阿里等金融和传统行业公司,也有部分在校学生与自由职业者。自团队成立以来,已荣获来自CarSRC、字节跳动SRC等企业致谢。团队成员也曾参与DDCTF、XCTF、网鼎怀CTF等多项CTF竞赛,并荣获2018网鼎怀全国网络安全大赛线上第四名等。除以上成果,红日安全也打造自己的开源安全平台,目前有VulnStack开源靶场平台、启元学堂教育平台等。团队每年举行星火线上沙龙,团队只有不断创新,才会进步。 红日安全团队宗旨是“坚持创新,持续分享”。我们热衷于网络安全,并渴望通过技术力量去维护企业安全建设。 目录 第1章 HTTP基本概念 1.1 HTTP请求 1.2 HTTP响应 1.2.1 HTTP消息头 1.2.2 Cookie 1.3 状态码 1.4 HTTPS 1.5 安全编码 1.6 URL编码 1.7 Unicode编码 1.8 HTML编码 1.9 Base64编码 1.10 十六进制编码 第2章 工具实战 2.1 Kali Linux工具 2.2 安装使用 2.3 PentestBox工具 2.4 Burp Suite抓包工具 2.4.1 Burp Suite的介绍 2.4.2 Burp Suite的安装 2.4.3 Burp Suite入门 2.4.4 Burp Suite实战 2.5 phpStudy程序集成包 2.5.1 phpStudy的介绍 2.5.2 phpStudy的安装 2.5.3 phpStudy靶场的安装 2.6 sqlmap渗透测试工具 2.6.1 sqlmap的介绍 2.6.2 sqlmap的安装 2.6.3 sqlmap常用参数 2.6.4 sqlmap实战 2.7 Behinder管理工具 2.7.1 Behinder的介绍 2.7.2 Behinder的安装 2.7.3 Behinder的使用 2.8 AWVS安全测试工具 2.8.1 AWVS的介绍 2.8.2 AWVS的安装 2.8.3 AWVS的使用 2.9 OneForAll子域名收集工具 2.9.1 OneForAll的介绍 2.9.2 OneForAll的安装 2.9.3 OneForAll的使用 2.10 dirsearch扫描工具 2.10.1 dirsearch的介绍 2.10.2 dirsearch的安装 2.10.3 dirsearch的使用 2.11 Xray安全评估工具 2.11.1 Xray的特性介绍 2.11.2 Xray的安装 2.11.3 Xray的使用 第3章 信息收集 第4章 靶场搭建 第5章 Web安全入门 第6章 小试牛刀 第7章 SQL注入实战攻防 第8章 XSS漏洞实战攻防 第9章 CSRF漏洞实战攻防 第10章 SSRF漏洞实战攻防 第11章 任意文件上传实战攻防 第12章 业务逻辑漏洞实战攻防 第13章 未授权访问实战攻防 第14章 XXE漏洞实战攻防 第15章 文件下载漏洞实战攻防 第16章 反序列化漏洞实战攻防 第17章 重放攻击实战攻防 第18章 验证码实战攻防 第19章 会话固定漏洞实战攻防 第20章 远程代码执行/命令执行实战攻防 第21章 懒人OA项目渗透测试 |