|
|
|
本書從實戰的角度出發,以淺顯的文字,讓新入門者在短時間內,以有效的方式一窺網站滲透測試的全貌。該書通過網站滲透測試工具的介紹,詳述如何建立系統安全防範意識,強化滲透測試的概念,如何防範新的安全弱點等,以保證從業者能夠保護網路系統的資訊安全,盡可能降低新手的學習門檻。
本書主要包括滲透測試的基本程式、滲透測試的練習環境、網站弱點、資訊搜集、網站探測及弱點評估、網站滲透、離線密碼破解、滲透測試報告等內容。
本書內容全面,既適合廣大滲透測試的入門者閱讀,也可供大中專院校資訊安全及相關專業的師生學習參考。
陳明照,一位元狂熱追求技術的資訊人,2010年以前將精力投注在軟體撰寫的技巧上,熟悉個人電腦硬體架構,能有效駕馭Assembly、C、Java、C#等程式語言,養過病毒、寫過防毒,開發過許多應用程式。目前主要職務:新進人員安全程式開發培訓、數位鑒識暨滲透測試作業、制度檔撰擬,現階段正致力於協助公司提升資訊系統自主維運及安全防護能力。
第1章 關於滲透測試
1.1 關於資訊安全
1.2 滲透測試的目的
1.3 滲透測試與漏洞掃描
1.4 用語說明
1.5 理論中的滲透測試
1.6 我眼中的滲透測試
1.7 滲透測試入門知識
1.8 為什麼只在網站中進行滲透測試
1.9 本書的目的
1.10 不要沮喪
1.11 重點提示
第2章 滲透測試基本步驟
2.1 執行步驟
2.2 記得先取得甲方的同意書(授權書)
2.3 摘錄《刑法》第二百八十五條和第二百八十六條
2.4 測試過程的 PDCA
2.5 重點提示
第3章 滲透測試練習環境
3.1 可線上進行滲透測試的網站
3.2 自建模擬測試環境
3.2.1 WebGoat
3.2.2 Mutillidae Ⅱ
3.2.3 DVWA
3.2.4 在IIS安裝HacmeBank
3.3 更多練習資源
3.4 準備滲透工具執行環境
3.5 重點提示
第4章 網站漏洞概述
4.1 Web平臺架構與基本原理
4.1.1 Web 平臺架構
4.1.2 Web基本原理
4.2 OWASP TOP 10(2017)
4.2.1 A1——Injection(注入)攻擊
4.2.2 A2——Broken Authentication(失效的身份認證)
……
第5章 資訊搜集
第6章 網站探測及漏洞評估
第7章 網站滲透工具
第8章 離線密碼破解
第9章 滲透測試報告
第10章 持續精進技巧
附錄 滲透測試足跡搜集檢查表
