好书推荐 |《Web安全攻防:渗透测试实战指南》
点击购买:https://item.jd.com/12401707.html
零基础入门,从渗透测试信息收集到后渗透攻防,安全专家实战讲解,全面介绍Web渗透核心攻击与防御方式!
内容简介:
本书系统地介绍了当前流行的高危漏洞的攻击手段和防御方法,语言通俗易懂,举例简单明了,结合具体案例进行讲解,可以让读者身临其境,快速地了解和掌握主流的漏洞利用技术与渗透测试技巧。
全书共计7章,按照从简单到复杂﹑从基础到进阶的顺序讲解。
- 第1章介绍渗透测试前期的信息收集的种类和具体方法。
- 第2章讲解如何搭建渗透测试环境。
- 第3章详细介绍渗透测试中常用的SQLMap﹑Burp Suite﹑Nmap等工具的安装﹑入门和实战利用。
- 第4章通过多个系统实例,全面地对Web渗透的各种核心攻击技术(SQL注入﹑XSS攻击﹑CSRF攻击﹑SSRF攻击﹑暴力破解﹑文件上传﹑命令执行漏洞攻击﹑逻辑漏洞攻击﹑XXE漏洞攻击以及WAF绕过等)进行讲解。
- 第5章详细介绍Metasploit信息收集﹑漏洞分析攻击﹑权限提升﹑移植漏洞代码模块﹑建立后门等攻击手法。
- 第6章对PowerShell在后渗透阶段进行的一系列高级攻击进行了深度剖析。
- 第7章介绍如何对常见的安全漏洞进行代码审查,并结合实际的渗透案例完美复现了几种典型攻击手段的整个过程。
本书不要求读者具备渗透测试的相关背景,如有相关经验在理解时会更有帮助。
作者介绍:
徐焱,北京交通大学安全研究员。2002年接触网络安全,主要研究方向是内网渗透和APT攻击,有丰富的网络安全渗透实践经验。已出版《网络攻防实战研究:漏洞利用与提权》一书。
李文轩,曾任职天融信渗透测试工程师,现任奇虎360攻防实验室安全研究员,擅长渗透测试,无线电安全。
王东亚,曾任职绿盟科技、天融信高级安全顾问,现任职安徽三实安全总监,擅长渗透测试和代码审计。
目录:
精彩书评:
在我信息安全工作18年的生涯中,我认为本书对于想从事渗透测试工作的朋友们来说,确实是难得的一本良师秘籍。在我阅读完本书后,我向老友说,我会将本书推荐到我们北京中安国发信息技术研究院“全国5A级信息安全人才培养”的教材体系和“国家信息安全保障人员认证应急服务实践操作考试参考教材目录”中去,我也极力推荐专业从事渗透测试的人员、信息安全一线防护人员、网络安全厂商技术工程师、网络犯罪侦查与调查人员阅读此书。
——张胜生,北京中安国发信息技术研究院院长
本书详实的从渗透测试实战出发的角度,增加了诸多新型渗透手法,完整的填补了一些国内人写书的空缺,纵观诸多国人编写的安全书籍,大多都是只介绍结果,从未更多的考虑过程。而本书恰恰是从实用出发,本着务实的精神,从环境搭建,再到渗透测试全阶段,以及主流工具的实例使用介绍,是每个从事信息安全的从业人员、以及在校大学生,以及一些高等职业院校学生的不可多得的一本实用大全,完全可以依据本书的案例来进行深入学习,有效的贴近企业,更好的有的放矢。
——陈亮,OWASP
结合全书的章节编排和内容设计,可以一览作者著书的初衷,理论与实践兼备,循序渐近,由浅入深。除了详尽的归纳梳理的理论知识体系,还有新近的安全大事件、安全攻防工具、技术案例等。通过理论指导实践,实践深化理论,推荐给对Web攻防感兴趣的朋友参考。
——程冲,前金山软件集团安全负责人
如果您是初学者,认真看完这本书并参考案例实践,恭喜您进阶为中级渗透测试工程师,当您回头第二遍阅读时,重点专研本书中各种绕行攻击手法,恭喜您进阶为高级渗透测试工程师,当您第三遍阅读本书时,细品作者的攻击思路,恭喜您进阶为资深渗透测试工程师。
——周培源,360企业安全集团安服高级总监
从攻击的角度去学习防护是网络安全工作者真正理解安全技术并快速提升实战能力的必经之路。Web应用作为互联网服务的直接承载者和访问入口,不可避免地成为攻击者的首要目标。不论是网站,还是移动APP的服务器,Web安全都是其最核心的风险点。这本书系统地介绍了当前Web攻击技术的原理和方法,既专业又易于理解,非常适合Web安全管理者学习、参考,是一本难得一遇的网安宝典。
——周勇林,任子行网络技术股份有限公司常务副总裁
市面上写攻防的书不少,但很多内容过于陈旧,更多流于工具表面使用,很少有深入介绍漏洞原理的书籍。从这本书的内容来看,作者将实战中的经验、概念以深入浅出的方式呈现出来,带你进入渗透的世界。希望大家喜欢这本书,并从中受益。
——mcvoodoo,美团点评安全研究员
未知攻,焉知防?本书站在黑客的角度,从信息收集、漏洞发现、漏洞利用、内网渗透、权限维持等阶段,详细介绍了一次完整的渗透在每个阶段需要用到的技术,是真正渗透测试经验的总结,每一个阶段的内容都非常适合网络安全初学者学习,只有真正了解黑客的攻击手法,才能知道怎么去为企业安全建设完善的安全体系,推荐安全从业者阅读此书,更推荐企业为研发、运维、测试、架构等技术团队采购此书。
——尹毅 (Seay、法师),量化云安全事业部总监
本书配套网站: www.ms08067.com
转载请注明: 即刻安全 » 好书推荐 |《Web安全攻防:渗透测试实战指南》
与本文相关的文章
- powershell shellcode 样本分析
- ATTCK-PenTester-Book:根据ATT&CK知识体系编制的长达400页的渗透手册
- 如何绕过高版本 JDK 的限制进行 JNDI 注入利用
- PCMan’s FTP 漏洞(CVE-2013-4730)详细复现调试过程与exp构造
- 在多GPU系统上使用hashcat进行密码破解
- 【9.9】骚姿势记录及测试视频
- 【免费公开课】如何快速成为信息安全人才?
- 每日安全动态(7-4)
- 一份有关车辆安全和汽车黑客的资源清单列表
- 【第三期】国内外技术牛文每周精选
- <干货 · 杂铺店>
- 解决Burp时间到期的限制
