發表於2024-11-29
本書通過對多個實例的分析,詳細闡述瞭對Web漏洞的挖掘及利用過程。 本書對已公布的漏洞或基礎知識涉及較少,注重對未知漏洞的挖掘和利用,將筆墨主要集中在使讀者如何通過已經掌握的安全基礎知識去發現漏洞,從而提升相關能力水平。
本書通過對多個樣例的分析,詳細闡述瞭對Web漏洞的挖掘及利用過程。本書的組織按照從簡單到復雜,從基礎到能力的先後順序進行組織。首先是對漏洞基礎知識的介紹,使讀者對漏洞的概念和分類體係等方麵有一個整體的瞭解。隨後對常用的漏洞挖掘方法進行闡述,而對這些方法的實際應用,則在後麵的章節中進行介紹;第二章對近幾年爆齣的一些典型漏洞進行詳細分析,闡述漏洞産生和利用的細節情況;在第三章,通過一些未公布漏洞樣例,梳理漏洞挖掘的思路和過程,這要求對基礎安全知識的掌握和熟練應用;在發現漏洞後,基於漏洞實現滲透的過程,而滲透過程中所需要的編程技術和相關工具,則在第四和第六章進行詳細介紹。本書的重點在漏洞的挖掘和利用上,作者對漏洞的形成原因進行瞭詳細的描述,希望讀者能夠舉一反三,全麵掌握滲透測試的方法,以推動我國計算機安全行業的發展。
趙顯陽 計算機安全研究員,網名:河馬,網絡安全行業資深專傢,現擔任北京國舜科技股份有限公司研究部總監,十多年來一直從事於網絡信息安全行業, 曾參加國傢工信部網絡安全年度總結大會,參加2008年奧運會及2010年廣東亞運會網絡安全保障工作,在2016年cncert舉行的中國網絡安全技術對抗賽(CTF大賽)中獲取三等奬,多次在黑客防綫發錶文章,編寫過近百個漏洞利用工具,挖掘漏洞幾十個,一直以來旨在推動我國網絡安全事業的發展。
目 錄
第1章 安全知識 1
1.1 什麼是漏洞 1
1.2 Web漏洞的分類 2
1.3 漏洞挖掘常用的方法 5
第2章 漏洞研究 7
2.1 Apache 7
2.2 Bash漏洞探究分析 11
2.2.1 Bash漏洞概述 11
2.2.3 Bash漏洞分析 11
2.3 Dedecms v5.7 SP1可隱藏後門漏洞研究 18
2.3.1 必須 18
2.3.2 概述 18
2.3.3 詳細 18
2.2.4 總結 21
2.4 DeDeCMS v5.7 SP1程文件包含漏洞研究 22
2.5 DeDeCMS v57 download.php SQL注入分析 26
2.6 DeDeCMS soft_edit.php遠程代碼執行漏洞分析與利用 29
2.7 Struts2 2010 S2-005遠程代碼執行漏洞分析 34
2.8 Struts2 2014 s2-020遠程代碼執行漏洞分析 36
2.9 多漏洞結閤實現一步SQL注入 39
第3章 漏洞挖掘 44
3.1 fineCMS任意文件上傳漏洞(0day) 44
3.2 網神防火牆安全審計係統(secfox)任意文件讀取漏洞(0day) 50
3.3 DeDeCMS小於v5.7 SP1版本任意代碼執行(0day) 54
3.4 FineCMS 1.9.3前颱多處SQL注入 61
3.5 探索風行電影係統0Day 66
3.6 piwik2.3.0任意代碼執行漏洞可getwebshell 69
3.7 vwins 2.0 upfile文件上傳漏洞 79
3.8 fineCMS 1.9.5本地文件包含漏洞 89
3.9 Vwins 2.0 SQL注入漏洞,可讀取任意文件 96
3.10 shop7z任意文件上傳漏洞挖掘(0day) 103
3.11 SeaCms影視係統變量覆蓋漏洞 108
3.12 MoMoCMS 5.4多漏洞閤集 112
3.13 blueCMS 1.6任意文件刪除可導緻重裝CMS 118
第4章 滲透測試 128
4.1 某某網絡Struts2遠程代碼執行漏洞可滲透內網 128
4.2 一次轉走一億元 136
4.3 利用“河馬cookie修改器”擊破91736CMS 143
第5章 編程技術 147
5.1 使用SendMessage API函數實現Radmin遠控自動登錄 147
5.2 通過安裝係統鈎子來實現文件防刪(Hook Tech) 153
5.3 Oracle數據庫滲透技術淺析 156
5.4 讓IE 8上網無限製 163
5.5 通過分析正宗冒險島登錄器開發一款基於網關的遊戲登錄器 170
5.6 如何調試php源代碼 176
5.7 indy組件idhttp 500錯誤時獲取網頁內容 181
第6章 無綫技術 184
6.1 知道你的手機短信,知道你的網銀密碼 184
第7章 常用工具 196
7.1 WEB滲透相關工具 196
7.2 主機滲透相關工具 198
7.3 抓包工具 199
第8章 附錄 200
Web滲透與漏洞挖掘 下載 mobi pdf epub txt 電子書 格式 2024
Web滲透與漏洞挖掘 下載 mobi epub pdf 電子書做活動買瞭很多書,希望很快看完
評分發貨很快,包裝完整,定瞭很多書,快遞師傅送過來不容易
評分好用,特彆喜歡,推薦購買,可以放心
評分一般吧,與想象中的不一樣
評分買瞭一大箱子書,真真要看一大段時間瞭,哈哈哈。挖掘
評分書有點薄,內容不淺不深
評分書很薄 內容是對一些漏洞的分析 適閤有基礎的同學看
評分不錯!!!!!!!
評分學習來的,買來看看怎麼樣。
Web滲透與漏洞挖掘 mobi epub pdf txt 電子書 格式下載 2024