發表於2024-12-21
本書通過對多個實例的分析,詳細闡述瞭對Web漏洞的挖掘及利用過程。 本書對已公布的漏洞或基礎知識涉及較少,注重對未知漏洞的挖掘和利用,將筆墨主要集中在使讀者如何通過已經掌握的安全基礎知識去發現漏洞,從而提升相關能力水平。
本書通過對多個樣例的分析,詳細闡述瞭對Web漏洞的挖掘及利用過程。本書的組織按照從簡單到復雜,從基礎到能力的先後順序進行組織。首先是對漏洞基礎知識的介紹,使讀者對漏洞的概念和分類體係等方麵有一個整體的瞭解。隨後對常用的漏洞挖掘方法進行闡述,而對這些方法的實際應用,則在後麵的章節中進行介紹;第二章對近幾年爆齣的一些典型漏洞進行詳細分析,闡述漏洞産生和利用的細節情況;在第三章,通過一些未公布漏洞樣例,梳理漏洞挖掘的思路和過程,這要求對基礎安全知識的掌握和熟練應用;在發現漏洞後,基於漏洞實現滲透的過程,而滲透過程中所需要的編程技術和相關工具,則在第四和第六章進行詳細介紹。本書的重點在漏洞的挖掘和利用上,作者對漏洞的形成原因進行瞭詳細的描述,希望讀者能夠舉一反三,全麵掌握滲透測試的方法,以推動我國計算機安全行業的發展。
趙顯陽 計算機安全研究員,網名:河馬,網絡安全行業資深專傢,現擔任北京國舜科技股份有限公司研究部總監,十多年來一直從事於網絡信息安全行業, 曾參加國傢工信部網絡安全年度總結大會,參加2008年奧運會及2010年廣東亞運會網絡安全保障工作,在2016年cncert舉行的中國網絡安全技術對抗賽(CTF大賽)中獲取三等奬,多次在黑客防綫發錶文章,編寫過近百個漏洞利用工具,挖掘漏洞幾十個,一直以來旨在推動我國網絡安全事業的發展。
目 錄
第1章 安全知識 1
1.1 什麼是漏洞 1
1.2 Web漏洞的分類 2
1.3 漏洞挖掘常用的方法 5
第2章 漏洞研究 7
2.1 Apache 7
2.2 Bash漏洞探究分析 11
2.2.1 Bash漏洞概述 11
2.2.3 Bash漏洞分析 11
2.3 Dedecms v5.7 SP1可隱藏後門漏洞研究 18
2.3.1 必須 18
2.3.2 概述 18
2.3.3 詳細 18
2.2.4 總結 21
2.4 DeDeCMS v5.7 SP1程文件包含漏洞研究 22
2.5 DeDeCMS v57 download.php SQL注入分析 26
2.6 DeDeCMS soft_edit.php遠程代碼執行漏洞分析與利用 29
2.7 Struts2 2010 S2-005遠程代碼執行漏洞分析 34
2.8 Struts2 2014 s2-020遠程代碼執行漏洞分析 36
2.9 多漏洞結閤實現一步SQL注入 39
第3章 漏洞挖掘 44
3.1 fineCMS任意文件上傳漏洞(0day) 44
3.2 網神防火牆安全審計係統(secfox)任意文件讀取漏洞(0day) 50
3.3 DeDeCMS小於v5.7 SP1版本任意代碼執行(0day) 54
3.4 FineCMS 1.9.3前颱多處SQL注入 61
3.5 探索風行電影係統0Day 66
3.6 piwik2.3.0任意代碼執行漏洞可getwebshell 69
3.7 vwins 2.0 upfile文件上傳漏洞 79
3.8 fineCMS 1.9.5本地文件包含漏洞 89
3.9 Vwins 2.0 SQL注入漏洞,可讀取任意文件 96
3.10 shop7z任意文件上傳漏洞挖掘(0day) 103
3.11 SeaCms影視係統變量覆蓋漏洞 108
3.12 MoMoCMS 5.4多漏洞閤集 112
3.13 blueCMS 1.6任意文件刪除可導緻重裝CMS 118
第4章 滲透測試 128
4.1 某某網絡Struts2遠程代碼執行漏洞可滲透內網 128
4.2 一次轉走一億元 136
4.3 利用“河馬cookie修改器”擊破91736CMS 143
第5章 編程技術 147
5.1 使用SendMessage API函數實現Radmin遠控自動登錄 147
5.2 通過安裝係統鈎子來實現文件防刪(Hook Tech) 153
5.3 Oracle數據庫滲透技術淺析 156
5.4 讓IE 8上網無限製 163
5.5 通過分析正宗冒險島登錄器開發一款基於網關的遊戲登錄器 170
5.6 如何調試php源代碼 176
5.7 indy組件idhttp 500錯誤時獲取網頁內容 181
第6章 無綫技術 184
6.1 知道你的手機短信,知道你的網銀密碼 184
第7章 常用工具 196
7.1 WEB滲透相關工具 196
7.2 主機滲透相關工具 198
7.3 抓包工具 199
第8章 附錄 200
Web滲透與漏洞挖掘 下載 mobi pdf epub txt 電子書 格式 2024
Web滲透與漏洞挖掘 下載 mobi epub pdf 電子書書有點薄,內容不淺不深
評分書比較新,整體不錯,買給彆人的。
評分學習一下,不能停
評分買瞭一大箱子書,真真要看一大段時間瞭,哈哈哈。挖掘
評分書不錯,很有用,能學到很多東西!
評分産品很好,使用很滿意
評分這本書買來看瞭下,質量一般,內容都是拼湊的,不建議買入。京東快遞給力!
評分很基礎,很全麵,很實用,很漂亮。
評分書的質量很好,是正版的。
Web滲透與漏洞挖掘 mobi epub pdf txt 電子書 格式下載 2024