发表于2024-12-26
本书通过对多个实例的分析,详细阐述了对Web漏洞的挖掘及利用过程。 本书对已公布的漏洞或基础知识涉及较少,注重对未知漏洞的挖掘和利用,将笔墨主要集中在使读者如何通过已经掌握的安全基础知识去发现漏洞,从而提升相关能力水平。
本书通过对多个样例的分析,详细阐述了对Web漏洞的挖掘及利用过程。本书的组织按照从简单到复杂,从基础到能力的先后顺序进行组织。首先是对漏洞基础知识的介绍,使读者对漏洞的概念和分类体系等方面有一个整体的了解。随后对常用的漏洞挖掘方法进行阐述,而对这些方法的实际应用,则在后面的章节中进行介绍;第二章对近几年爆出的一些典型漏洞进行详细分析,阐述漏洞产生和利用的细节情况;在第三章,通过一些未公布漏洞样例,梳理漏洞挖掘的思路和过程,这要求对基础安全知识的掌握和熟练应用;在发现漏洞后,基于漏洞实现渗透的过程,而渗透过程中所需要的编程技术和相关工具,则在第四和第六章进行详细介绍。本书的重点在漏洞的挖掘和利用上,作者对漏洞的形成原因进行了详细的描述,希望读者能够举一反三,全面掌握渗透测试的方法,以推动我国计算机安全行业的发展。
赵显阳 计算机安全研究员,网名:河马,网络安全行业资深专家,现担任北京国舜科技股份有限公司研究部总监,十多年来一直从事于网络信息安全行业, 曾参加国家工信部网络安全年度总结大会,参加2008年奥运会及2010年广东亚运会网络安全保障工作,在2016年cncert举行的中国网络安全技术对抗赛(CTF大赛)中获取三等奖,多次在黑客防线发表文章,编写过近百个漏洞利用工具,挖掘漏洞几十个,一直以来旨在推动我国网络安全事业的发展。
目 录
第1章 安全知识 1
1.1 什么是漏洞 1
1.2 Web漏洞的分类 2
1.3 漏洞挖掘常用的方法 5
第2章 漏洞研究 7
2.1 Apache 7
2.2 Bash漏洞探究分析 11
2.2.1 Bash漏洞概述 11
2.2.3 Bash漏洞分析 11
2.3 Dedecms v5.7 SP1可隐藏后门漏洞研究 18
2.3.1 必须 18
2.3.2 概述 18
2.3.3 详细 18
2.2.4 总结 21
2.4 DeDeCMS v5.7 SP1程文件包含漏洞研究 22
2.5 DeDeCMS v57 download.php SQL注入分析 26
2.6 DeDeCMS soft_edit.php远程代码执行漏洞分析与利用 29
2.7 Struts2 2010 S2-005远程代码执行漏洞分析 34
2.8 Struts2 2014 s2-020远程代码执行漏洞分析 36
2.9 多漏洞结合实现一步SQL注入 39
第3章 漏洞挖掘 44
3.1 fineCMS任意文件上传漏洞(0day) 44
3.2 网神防火墙安全审计系统(secfox)任意文件读取漏洞(0day) 50
3.3 DeDeCMS小于v5.7 SP1版本任意代码执行(0day) 54
3.4 FineCMS 1.9.3前台多处SQL注入 61
3.5 探索风行电影系统0Day 66
3.6 piwik2.3.0任意代码执行漏洞可getwebshell 69
3.7 vwins 2.0 upfile文件上传漏洞 79
3.8 fineCMS 1.9.5本地文件包含漏洞 89
3.9 Vwins 2.0 SQL注入漏洞,可读取任意文件 96
3.10 shop7z任意文件上传漏洞挖掘(0day) 103
3.11 SeaCms影视系统变量覆盖漏洞 108
3.12 MoMoCMS 5.4多漏洞合集 112
3.13 blueCMS 1.6任意文件删除可导致重装CMS 118
第4章 渗透测试 128
4.1 某某网络Struts2远程代码执行漏洞可渗透内网 128
4.2 一次转走一亿元 136
4.3 利用“河马cookie修改器”击破91736CMS 143
第5章 编程技术 147
5.1 使用SendMessage API函数实现Radmin远控自动登录 147
5.2 通过安装系统钩子来实现文件防删(Hook Tech) 153
5.3 Oracle数据库渗透技术浅析 156
5.4 让IE 8上网无限制 163
5.5 通过分析正宗冒险岛登录器开发一款基于网关的游戏登录器 170
5.6 如何调试php源代码 176
5.7 indy组件idhttp 500错误时获取网页内容 181
第6章 无线技术 184
6.1 知道你的手机短信,知道你的网银密码 184
第7章 常用工具 196
7.1 WEB渗透相关工具 196
7.2 主机渗透相关工具 198
7.3 抓包工具 199
第8章 附录 200
Web渗透与漏洞挖掘 下载 mobi pdf epub txt 电子书 格式 2024
Web渗透与漏洞挖掘 下载 mobi epub pdf 电子书学习来的,买来看看怎么样。
评分挺不错的基础书
评分学习一下,不能停
评分送货速度很快,内容很精彩,很有学习价值,值得推荐
评分比较详细,但是内容有些老套陈旧
评分NICE!
评分感觉还行吧,就是看起来觉得有点抽象,要详细,就好了
评分干货太少
评分书很薄 内容是对一些漏洞的分析 适合有基础的同学看
Web渗透与漏洞挖掘 mobi epub pdf txt 电子书 格式下载 2024