第1章Web开发技术概述1
1.1Web基本概念1
1.1.1HTTP协议1
1.1.2Web服务器5
1.1.3浏览器7
1.1.4网络程序开发体系结构8
1.2常见Web开发技术体系8
1.2.1PHP体系9
1.2.2Java Web体系11
1.2.3ASP.NET体系17
1.2.4Python体系20
1.2.5Node.js体系21
1.3本章小结24
1.4习题24
第2章Web渗透测试技术概述25
2.1渗透测试基本概念25
2.1.1渗透测试定义25
2.1.2常见Web漏洞25
2.1.3渗透测试分类26
2.2渗透测试基本流程27
2.3渗透测试靶场搭建28
2.3.1法律28
2.3.2DVWA靶场29
2.3.3Pikachu靶场31
2.3.4Vulhub靶场32
2.4CTF实战演练平台36
2.5渗透测试常用工具37
2.5.1Burp Suite37
2.5.2Proxy SwitchyOmega插件39
2.5.3AWVS40
2.5.4Kali Linux44
2.5.5MSF44
2.5.6CS49
2.6本章小结53
2.7习题53
第3章SQL注入漏洞54
3.1漏洞概述54
3.2SQL注入常用函数54
3.2.1concat函数54
3.2.2length函数55
3.2.3ascii函数55
3.2.4substr函数55
3.2.5left、right函数56
3.2.6if函数56
3.2.7updatexml函数56
3.3漏洞分类及利用57
3.3.1基于联合查询的SQL注入57
3.3.2盲注60
3.3.3宽字节66
3.3.4insert/update/delete注入66
3.3.5header注入69
3.4sqli-labs训练平台71
3.5SQLMap76
3.6CTF实战演练79
3.7漏洞防御83
3.7.1使用过滤函数83
3.7.2预编译语句84
3.7.3输入验证84
3.7.4WAF84
3.8本章小结84
3.9习题85
第4章RCE漏洞87
4.1漏洞概述87
4.2漏洞分类87
4.2.1管道符87
4.2.2命令执行漏洞88
4.2.3代码注入漏洞89
4.3漏洞利用90
4.4CTF实战演练93
4.5漏洞防御96
4.6本章小结96
4.7习题96
第5章XSS漏洞98
5.1漏洞概述98
5.2漏洞分类98
5.2.1反射型98
5.2.2存储型100
5.2.3DOM型漏洞101
5.3漏洞利用102
5.3.1盗取Cookie103
5.3.2钓鱼104
5.3.3键盘记录105
5.4Beef107
5.5绕过XSS漏洞防御方法110
5.5.1大小写混合110
5.5.2利用过滤后返回语句110
5.5.3标签属性110
5.5.4事件111
5.5.5利用编码111
5.5.6实例演示112
5.6CTF实战演练116
5.7漏洞防御120
5.8本章小结121
5.9习题121
第6章CSRF漏洞123
6.1漏洞概述123
6.2漏洞原理123
6.3漏洞利用124
6.3.1CSRF_GET类型124
6.3.2CSRF_POST类型126
6.4漏洞防御127
6.5本章小结128
6.6习题128
第7章SSRF漏洞129
7.1漏洞概述129
7.2漏洞原理129
7.2.1file_get_contents函数130
7.2.2fsockopen函数130
7.2.3curl_exec函数130
7.3漏洞挖掘131
7.4伪协议131
7.4.1file://协议131
7.4.2dict://协议132
7.4.3sftp://协议132
7.4.4gopher://协议132
7.5漏洞利用132
7.5.1curl函数132
7.5.2file_get_content函数133
7.6CTF实战演练135
7.7漏洞防御138
7.8本章小结139
7.9习题139
第8章文件上传漏洞140
8.1漏洞概述140
8.2Web服务器解析漏洞140
8.2.1IIS解析漏洞141
8.2.2Apache解析漏洞141
8.2.3Nginx解析漏洞141
8.3漏洞测试141
8.4文件上传验证145
8.4.1白名单和黑名单规则145
8.4.2前端验证145
8.4.3服务端防御146
8.5文件上传验证绕过147
8.5.1绕过前端验证147
8.5.2绕过服务端验证149
8.6upload-labs训练平台152
8.7CTF实战演练158
8.8漏洞防御161
8.9本章小结161
8.10习题161
第9章文件包含漏洞164
9.1漏洞概述164
9.2文件包含函数164
9.3漏洞利用涉及的伪协议165
9.3.1测试模型165
9.3.2file://协议165
9.3.3http://协议165
9.3.4zip://、phar://协议166
9.3.5php://协议167
9.3.6data://协议169
9.4漏洞利用170
9.4.1图片木马利用170
9.4.2Access.log利用171
9.5CTF实战演练173
9.6漏洞防御177
9.7本章小结177
9.8习题177
第10章暴力破解漏洞179
10.1漏洞概述179
10.2漏洞利用179
10.2.1基于表单的暴力破解179
10.2.2基于验证码绕过(on client)184
10.2.3基于验证码绕过(on server)185
10.2.4基于Token验证绕过186
10.3CTF实战演练189
10.4漏洞防御191
10.5本章小结191
10.6习题191
第11章其他漏洞193
11.1反序列化漏洞193
11.1.1基本概念193
11.1.2漏洞概述194
11.1.3漏洞利用194
11.1.4CTF实战演练195
11.2XXE漏洞196
11.2.1基本概念196
11.2.2漏洞利用198
11.2.3CTF实战演练199
11.2.4漏洞防御201
11.3任意文件下载漏洞201
11.3.1漏洞概述201
11.3.2漏洞利用201
11.3.3CTF实战演练202
11.3.4漏洞防御204
11.4越权漏洞205
11.4.1漏洞概述205
11.4.2漏洞利用205
11.4.3漏洞防御207
11.5本章小结208
11.6习题208
第12章综合漏洞209
12.1CMS漏洞209
12.1.1基本概念209
12.1.2漏洞案例209
12.1.3CTF实战演练220
12.2Web框架漏洞230
12.2.1基本概念230
12.2.2漏洞案例230
12.3Web第三方组件漏洞240
12.3.1基本概念240
12.3.2漏洞案例240
12.4Web服务器漏洞246
12.5CTF实战演练253
12.6本章小结262
12.7习题262
温馨提示:请使用浙江图书馆的读者帐号和密码进行登录
