進階/全文搜尋
IP : 216.73.216.108
首頁 電腦 詳目頁
0人評分過此書

網站滲透測試實務入門(第二版)

作者
陳明照 (著)
出版社
碁峯資訊股份有限公司
出版日期
2019/05/15
閱讀格式
PDF
書籍分類
電腦 ; 學術書
學科分類
科學類
ISBN
9789865021429
資訊安全 電腦網路

本館館藏

借閱規則
當前可使用人數 30
借閱天數 14
線上看 0
借閱中 0
選擇分享方式

推薦本館採購書籍

您可以將喜歡的電子書推薦給圖書館,圖書館會參考讀者意見進行採購

讀者資料
圖書館
* 姓名
* 身分
系所
* E-mail
※ 我們會寄送一份副本至您填寫的Email中
電話
※ 電話格式為 區碼+電話號碼(ex. 0229235151)/ 手機格式為 0900111111
* 請輸入驗證碼
更新驗證碼
確保系統安全的必備技能
當我們將系統部署到網站上,系統就已經面對成千上萬的測試,其中不乏來自有心人士的「惡意」攻擊,系統提供愈多的服務,遭受攻擊的機率就愈高。雖然就「安全系統發展生命週期(SSDLC)」觀點,系統從一開始規劃就必須注重相關的安全防護,但一組系統的成型要經過多少人的手,如何保證每個人都盡到安全防護的責任?又該怎麼驗證?況且每天都有新的弱點、漏洞被發現,要如何得知原本安全的系統,是否也存在新發現的漏洞。要發現這些漏洞就需要依靠良性的測試,也就是所謂的「滲透測試」。

實例引導佐以工具介紹,資安防護不求人
本書將告訴您滲透測試作業的步驟,並介紹一些免費的的工具給讀者參考,即使沒有深厚的理論基礎,只要照著本書的步驟練習,也能輕鬆學習。

本書特色
.執行步驟演繹條理分明,毋需深厚理論基礎
.建議工具皆為免費軟體,不損及學習完整性
.實例引導佐以工具介紹,降低學習門檻障礙
.專注於網站安全檢測,目標明確,事半功倍
.輔以完整的實作圖例,強化滲透觀念的確立
  • 1 關於滲透測試
    • 關於資訊安全
    • 滲透測試的目的
    • 滲透測試與弱點掃描
    • 用語說明
    • 理論中的滲透測試
    • 筆者眼中的滲透測試
    • 滲透測試入門知識
    • 只談網站滲透測試
    • 本書的目的
    • 不要沮喪
    • 本章重點
  • 2 滲透測試基本程序
    • 執行步驟
      • 步驟一:測試前預備
      • 步驟二:啟動會議
      • 步驟三:資訊蒐集
      • 步驟四:網路與主機掃描(弱點評估)
      • 步驟五:弱點利用
      • 步驟六:入侵之後
      • 步驟七:撰寫滲透測試報告
      • 步驟八:結案會議
      • 步驟九:修補後複測
    • 記得先取得雇主的同意書(授權書)
    • 摘錄刑法第36章妨害電腦使用罪
    • 摘錄個人資料保護法之罰則
    • 測試程序的PDCA
    • 本章重點
  • 3 滲透測試練習環境
    • 線上的滲透測試網站
      • testfire
      • webappsecurity
      • crackme
      • vulnweb.com
    • 自建模擬測試環境
      • WebGoat 8.x
      • WebGoat 5.4
      • 建立虛擬機環境
      • Mutillidae II
      • DVWA
      • 在IIS安裝HacmeBank
    • 更多練習資源
    • 準備滲透工具執行環境
      • 關閉部分安全選項
      • 快速開啟命令提示字元
      • 找回Windows 10的「在此處開啟命令視窗」
    • 本章重點
  • 4 網站弱點概述
    • WEB 平台架構與網頁基本原理
      • Web平台架構
      • 網頁基本原理
    • OWASP TOP 10(2017)
      • A1-Injection
      • A2-Broken Authentication
      • A3-Sensitive Data Exposure
      • A4-XML External Entity(XXE)
      • A5-Broken Access Control
      • A6-Security Misconfiguration
      • A7-Cross-Site Scripting(XSS)
      • A8-Insecure Deserialization
      • A9-Using Components with Known Vulnerabilities
      • A10-Insufficient Logging & Monitoring
    • 其他年度的TOP 10弱點
      • Cross Site Request Forgery(CSRF)
      • Insecure Direct Object References
      • Unvalidated Redirects and Forwards
      • Insecure Cryptograhpic Storage
      • Failure to Restrict URL Access
      • Improper Error Handling
      • Buffer Overflows
    • 其他常見網頁程式弱點
      • Robots.txt設定不當
      • 非預期類型的檔案上傳
      • 可被操控的檔案路徑
      • AJAX機制缺乏保護
      • Cross Frame Scripting (XFS)
      • HTTP Response Splitting
      • 記住密碼
      • 自動填寫表單
      • 未適當保護殘存的備份檔或備份目錄
    • 補充說明
      • 關於Blind SQL Injection
      • 關於反射型XSS
      • 網址列的XSS
      • 關於Cross Site Request Forgery(CSRF)
      • 關於Session Hijacking
      • 關於Clickjacking
    • 本章重點
  • 5 資訊蒐集
    • nslookup
      • 補充說明
    • whois
      • 瀏覽器插件
      • 命令列工具
    • DNSRecon
      • 語法
      • 常用參數
      • 範例
    • Google Hacking
      • 常用的Google搜尋限定詞
      • 實用的搜尋語法
    • hunter.io
    • metagoofil
      • 語法
      • 常用參數
      • 修正metagoofil.py錯誤
      • 範例
    • theHarvester
      • 語法
      • 常用參數
      • 修正theHarvester
      • 範例
      • 安裝Hunter API金鑰
    • HTTrack
    • DirBuster
      • 後續操作
      • 使用Proxy
    • BruteBrowse
    • 線上漏洞資料庫
      • archive.org
      • HitConZeroDay
    • 建立字典檔
      • 如何預備帳號字典?
      • 如何預備密碼字典?
      • 如何預備網址字典?
    • 字典檔產生器
      • crunch
      • RSMangler
      • pw-inspector
    • 後記
    • 本章重點
  • 6 網站探測及弱點評估
    • ZENMAP
    • wFetch
    • OWASP ZAP
      • 選擇Persist(存檔)方式
      • 建立主動掃描原則
      • 執行主動掃描
      • 驗證發現的漏洞
      • 儲存作業結果
    • w3af
      • 執行掃描
      • 查閱掃描結果
      • 調校w3af
      • 輸出掃描報告
      • 其他輔助型的plugin
    • arachni
    • 本章重點
  • 7 網站滲透工具
    • 關於LOCAL Proxy
      • IE 的Proxy 設定
      • Firefox的Proxy設定
      • Chrome的Proxy設定
      • Opera的Proxy設定
    • ZAP
      • 設定Local Proxy
      • ZAP的視窗配置
      • 使用ZAP自帶的瀏覽器
      • 實務探討
    • Burp Suite
      • 設定Local Proxy
      • 限定作業範圍
      • 爬找資源
      • 利用Burp Suite暴力破解登入帳密
    • thc-hydra
      • 語法
      • 常用參數
      • 選擇判斷準則的注意事項
      • 用hydra猜測帳號密碼
      • 當thc-hydra遇到中文字
    • patator
      • 語法
      • 常用參數
      • 共用參數的範例
      • PATATOR的載荷佔位符
      • 利用http_fuzz模組破解網頁登入帳密
      • 當patator遇到中文字
    • ncrack
      • 什麼是WWW身分驗證?
      • 語法
      • 目標參數
      • 選項參數
      • 驗證的選項
      • 輸出選項
      • 其他選項
      • 範例
    • CodeCrack
      • 初次啟動
      • 帳號及密碼字典檔
      • 設定檔
      • 測試用範例網頁
    • SQLMap
      • 直接動手吧!
      • 指令說明
      • 更多參數
    • 本章重點
  • 8 離線密碼破解
    • 利用搜尋引擎尋找答案
    • RainbowCrack
      • 彩虹表的缺點
      • 建立自己的彩虹表
      • 排序彩虹表
      • 利用彩虹表破解雜湊
    • Hashcat
      • 破解模式
      • 整理字典檔
      • Hashcat常用選項
      • 關於OpenCL資訊
      • 命令範例
      • 常見的Hashcat雜湊類型
    • John the Ripper
      • 語法
      • 簡單模式
      • 字典檔模式
      • 暴力猜解模式
      • 字串遮罩模式
      • 指定加密格式
      • john.pot與show選項
      • 暫時中斷執行
    • 破解檔案加密
      • 破解加密的MS Office檔案
      • 破解加密的PDF
      • 破解加密的ZIP
      • 破解加密的7Z
      • 破解加密的RAR
      • 破解加密的SSH私鑰
      • 破解WebDAV連線密碼
    • 本章重點
  • 9 滲透測試報告
    • 先備妥滲透測試紀錄
    • 撰寫滲透測試報告書
    • 報告書的撰寫建議
    • 文件複核
    • 本章重點
  • 10 持續精進技巧
    • 理論及作業基礎
    • 網頁除錯及追蹤技巧
    • 經驗分享
    • 瀏覽器插件與線上工具
    • 延伸閱讀
    • 本章重點
  • A 附錄
    • 附錄1:滲透測試足跡蒐集檢查表
    • 附錄2:滲透測試同意書(範本)
    • 附錄3:滲透測試計畫書(範本)
    • 附錄4:滲透測試報告書(範本)
    • 附錄5:滲透測試紀錄(範本)
    • 附錄6:後記:滲透測試人員的危機與契機
  • 出版地 臺灣
  • 語言 繁體中文
網站滲透測試實務入門(第二版)

評分與評論

請登入後再留言與評分
幫助
您好,請問需要甚麼幫助呢?
使用指南
借閱規則 使用教學
常見問題
下載書紐教育版

客服專線:0800-000-747

服務時間:週一至週五 AM 09:00~PM 06:00

聯絡我們
loading