☆☆☆☆☆
简体网页||繁体网页



点击这里下载

类似图书 点击查看全场最低价

---

编辑推荐

适读人群 ：读者对象为计算机网络安全相关的学生和在职人员，网络安全爱好者，计算机通讯安全爱好者，网络安全编程爱好者。

本书通过对多个实例的分析，详细阐述了对Web漏洞的挖掘及利用过程。 本书对已公布的漏洞或基础知识涉及较少，注重对未知漏洞的挖掘和利用，将笔墨主要集中在使读者如何通过已经掌握的安全基础知识去发现漏洞，从而提升相关能力水平。

内容简介

本书通过对多个样例的分析，详细阐述了对Web漏洞的挖掘及利用过程。本书的组织按照从简单到复杂，从基础到能力的先后顺序进行组织。首先是对漏洞基础知识的介绍，使读者对漏洞的概念和分类体系等方面有一个整体的了解。随后对常用的漏洞挖掘方法进行阐述，而对这些方法的实际应用，则在后面的章节中进行介绍；第二章对近几年爆出的一些典型漏洞进行详细分析，阐述漏洞产生和利用的细节情况；在第三章，通过一些未公布漏洞样例，梳理漏洞挖掘的思路和过程，这要求对基础安全知识的掌握和熟练应用；在发现漏洞后，基于漏洞实现渗透的过程，而渗透过程中所需要的编程技术和相关工具，则在第四和第六章进行详细介绍。本书的重点在漏洞的挖掘和利用上，作者对漏洞的形成原因进行了详细的描述，希望读者能够举一反三，全面掌握渗透测试的方法，以推动我国计算机安全行业的发展。

作者简介

赵显阳 计算机安全研究员，网名：河马，网络安全行业资深专家，现担任北京国舜科技股份有限公司研究部总监，十多年来一直从事于网络信息安全行业， 曾参加国家工信部网络安全年度总结大会，参加2008年奥运会及2010年广东亚运会网络安全保障工作，在2016年cncert举行的中国网络安全技术对抗赛(CTF大赛)中获取三等奖，多次在黑客防线发表文章，编写过近百个漏洞利用工具，挖掘漏洞几十个，一直以来旨在推动我国网络安全事业的发展。

目录

目　　录


第1章 安全知识 1
1．1 什么是漏洞 1
1．2 Web漏洞的分类 2
1．3 漏洞挖掘常用的方法 5
第2章 漏洞研究 7
2．1 Apache 7
2．2 Bash漏洞探究分析 11
2．2．1 Bash漏洞概述 11
2．2．3 Bash漏洞分析 11
2．3 Dedecms v5．7 SP1可隐藏后门漏洞研究 18
2．3．1 必须 18
2．3．2 概述 18
2．3．3 详细 18
2．2．4 总结 21
2．4 DeDeCMS v5．7 SP1程文件包含漏洞研究 22
2．5 DeDeCMS v57 download．php SQL注入分析 26
2．6 DeDeCMS soft_edit．php远程代码执行漏洞分析与利用 29
2．7 Struts2 2010 S2-005远程代码执行漏洞分析 34
2．8 Struts2 2014 s2-020远程代码执行漏洞分析 36
2．9 多漏洞结合实现一步SQL注入 39
第3章 漏洞挖掘 44
3．1 fineCMS任意文件上传漏洞（0day） 44
3．2 网神防火墙安全审计系统（secfox）任意文件读取漏洞（0day） 50
3．3 DeDeCMS小于v5．7 SP1版本任意代码执行（0day） 54
3．4 FineCMS 1．9．3前台多处SQL注入 61
3．5 探索风行电影系统0Day 66
3．6 piwik2．3．0任意代码执行漏洞可getwebshell 69
3．7 vwins 2．0 upfile文件上传漏洞 79
3．8 fineCMS 1．9．5本地文件包含漏洞 89
3．9 Vwins 2．0 SQL注入漏洞，可读取任意文件 96
3．10 shop7z任意文件上传漏洞挖掘（0day） 103
3．11 SeaCms影视系统变量覆盖漏洞 108
3．12 MoMoCMS 5．4多漏洞合集 112
3．13 blueCMS 1．6任意文件删除可导致重装CMS 118
第4章 渗透测试 128
4．1 某某网络Struts2远程代码执行漏洞可渗透内网 128
4．2 一次转走一亿元 136
4．3 利用“河马cookie修改器”击破91736CMS 143
第5章 编程技术 147
5．1 使用SendMessage API函数实现Radmin远控自动登录 147
5．2 通过安装系统钩子来实现文件防删（Hook Tech） 153
5．3 Oracle数据库渗透技术浅析 156
5．4 让IE 8上网无限制 163
5．5 通过分析正宗冒险岛登录器开发一款基于网关的游戏登录器 170
5．6 如何调试php源代码 176
5．7 indy组件idhttp 500错误时获取网页内容 181

第6章 无线技术 184
6．1 知道你的手机短信，知道你的网银密码 184
第7章 常用工具 196
7．1 WEB渗透相关工具 196
7．2 主机渗透相关工具 198
7．3 抓包工具 199
第8章 附录 200

前言/序言

　　随着国内互联网行业的快速发展，针对互联网行业的Web攻击行为大量增加，根据乌云发布的漏洞统计数据来看，近年与Web相关的漏洞的数量保持在两位数的增长速度。因此，大家对Web安全的关注也日益增加。
　　本书通过对多个实例的分析，详细阐述了对Web漏洞的挖掘及利用过程。本书按照从简单到复杂，从基础到进阶的先后顺序进行组织。第1章是对漏洞基础知识的介绍，使读者对漏洞的概念和分类体系等有一个整体的了解。然后对常用的漏洞挖掘方法进行阐述，对这些方法的实际应用会在后面的章节进行介绍；第2章对近几年爆出的一些典型漏洞进行详细分析，阐述漏洞产生和利用的细节情况；第3章，通过一些未公布的漏洞实例梳理漏洞挖掘的思路和过程，这要求对基础安全知识熟练掌握和应用；第4章介绍如何基于漏洞实现渗透的过程，而在渗透过程中所需要的编程技术和相关工具，则在第5～7章进行详细介绍。
　　主要的目标读者为Web应用程序渗透测试人员以及相关开发人员。与现有其它资料相比较，本书对已公布的漏洞或基础知识涉及较少，注重对未知漏洞的挖掘和利用，将主要笔墨集中在如何通过读者已经掌握的基础的安全知识去发现漏洞，从而提升相关能力水平。为了便于读者理解漏洞的细节信息，书中提供了部分代码片段，需要读者具有一定的编程基础和安全经验。
　　相信读者通过阅读本书，能够提升在安全开发以及测试方面的能力，进而提升企业在安全方面的防护能力。作为一名网络安全研究人员，对Web应用的安全测试是一种必备能力，一种生活乐趣，同时，也是一份责任。希望读者能够通过学习书中描述的思路和方法提升漏洞分析和挖掘的能力，但也提醒各位，未经他人同意或授权，请不要利用书中讲述的技术攻击他人。
　　赵显阳
　　2017年5月
　　推荐序
　　第一次见到赵显阳是2008年在中关村软件园，那时他已经是一位高级安全工程师。参加过中国科学院、北京机场、奥运会等众多安全渗透测试服务，不仅具有丰富的渗透和漏洞挖掘经验，还精通Delphi等编程技术，是一位不可多得的全方位安全专家。
　　漏洞挖掘是一门艺术，同时也是对技术要求较高的安全领域的技能。本书很好地阐述了作者挖掘各种漏洞的宝贵经验，很值得大家借鉴。安全技术发展到今天，漏洞研究、渗透测试和安全工具的编写已经成为一个信息安全高手必须具备的基本条件，本书作者正是从这些方面入手，将自己多年宝贵的安全实践经验融汇成一本珍贵的信息安全结晶，给大家提供踏上安全专家之路的捷径。
　　本书关于漏洞挖掘的章节主要讲述知名PHP产品代码漏洞，其中很多技巧和思路都非常具有代表性。现今绝大部分网站都由PHP驱动，因此研究PHP漏洞对整个互联网Web安全具有较大覆盖范围，而且也可以举一反三应用到ASP、ASPX、以及JSP领域。在编程章节从多个角度展开了从漏洞研究到工具实现的过渡，为安全技术进阶铺平了道路。最后作者以常用安全工具结尾，作为本书的画龙点睛之笔。对于有一定安全经验的工作者，非常建议从本书进阶。
　　石祖文
　　安全伞科技创始人国家漏洞库特聘专家
　　2017年7月7日



Web渗透与漏洞挖掘 电子书 下载 mobi epub pdf txt

评分☆☆☆☆☆

挺不错的基础书

评分☆☆☆☆☆

质量很好，内容不错，值得阅读。

评分☆☆☆☆☆

是新版本 很给力…………

评分☆☆☆☆☆

挺不错是正版，好好学习

评分☆☆☆☆☆

这个是web渗透测试与漏洞挖掘的书，web漏洞现在越来越多，学习学习

评分☆☆☆☆☆

挺不错是正版，好好学习

评分☆☆☆☆☆

囤书。。。。。。。。。。

评分☆☆☆☆☆

NICE!

评分☆☆☆☆☆

书比较新，整体不错，买给别人的。

类似图书 点击查看全场最低价