本书通过对多个样例的分析,详细阐述了对Web漏洞的挖掘及利用过程。本书的组织按照从简单到复杂,从基础到能力的先后顺序进行组织。首先是对漏洞基础知识的介绍,使读者对漏洞的概念和分类体系等方面有一个整体的了解。随后对常用的漏洞挖掘方法进行阐述,而对这些方法的实际应用,则在后面的章节中进行介绍;第二章对近几年爆出的一些典型漏洞进行详细分析,阐述漏洞产生和利用的细节情况;在第三章,通过一些未公布漏洞样例,梳理漏洞挖掘的思路和过程,这要求对基础安全知识的掌握和熟练应用;在发现漏洞后,基于漏洞实现渗透的过程,而渗透过程中所需要的编程技术和相关工具,则在第四和第六章进行详细介绍。本书的重点在漏洞的挖掘和利用上,作者对漏洞的形成原因进行了详细的描述,希望读者能够举一反三,全面掌握渗透测试的方法,以推动我国计算机安全行业的发展。
内容源于实践,可以举一反三延伸到更多领域,引导读者进入更深层次的安全世界。
前 言
随着国内互联网行业的快速发展,针对互联网行业的Web攻击行为大量增加,根据乌云发布的漏洞统计数据来看,近年与Web相关的漏洞的数量保持在两位数的增长速度。因此,大家对Web安全的关注也日益增加。
本书通过对多个实例的分析,详细阐述了对Web漏洞的挖掘及利用过程。本书按照从简单到复杂,从基础到进阶的先后顺序进行组织。第1章是对漏洞基础知识的介绍,使读者对漏洞的概念和分类体系等有一个整体的了解。然后对常用的漏洞挖掘方法进行阐述,对这些方法的实际应用会在后面的章节进行介绍;第2章对近几年爆出的一些典型漏洞进行详细分析,阐述漏洞产生和利用的细节情况;第3章,通过一些未公布的漏洞实例梳理漏洞挖掘的思路和过程,这要求对基础安全知识熟练掌握和应用;第4章介绍如何基于漏洞实现渗透的过程,而在渗透过程中所需要的编程技术和相关工具,则在第5~7章进行详细介绍。
主要的目标读者为Web应用程序渗透测试人员以及相关开发人员。与现有其它资料相比较,本书对已公布的漏洞或基础知识涉及较少,注重对未知漏洞的挖掘和利用,将主要笔墨集中在如何通过读者已经掌握的基础的安全知识去发现漏洞,从而提升相关能力水平。为了便于读者理解漏洞的细节信息,书中提供了部分代码片段,需要读者具有一定的编程基础和安全经验。
相信读者通过阅读本书,能够提升在安全开发以及测试方面的能力,进而提升企业在安全方面的防护能力。作为一名网络安全研究人员,对Web应用的安全测试是一种必备能力,一种生活乐趣,同时,也是一份责任。希望读者能够通过学习书中描述的思路和方法提升漏洞分析和挖掘的能力,但也提醒各位,未经他人同意或授权,请不要利用书中讲述的技术攻击他人。
赵显阳
2017年5月
推 荐 序
第一次见到赵显阳是2008年在中关村软件园,那时他已经是一位高级安全工程师。参加过中国科学院、北京机场、奥运会等众多安全渗透测试服务,不仅具有丰富的渗透和漏洞挖掘经验,还精通Delphi等编程技术,是一位不可多得的全方位安全专家。
漏洞挖掘是一门艺术,同时也是对技术要求较高的安全领域的技能。本书很好地阐述了作者挖掘各种漏洞的宝贵经验,很值得大家借鉴。安全技术发展到今天,漏洞研究、渗透测试和安全工具的编写已经成为一个信息安全高手必须具备的基本条件,本书作者正是从这些方面入手,将自己多年宝贵的安全实践经验融汇成一本珍贵的信息安全结晶,给大家提供踏上安全专家之路的捷径。
本书关于漏洞挖掘的章节主要讲述知名PHP产品代码漏洞,其中很多技巧和思路都非常具有代表性。现今绝大部分网站都由PHP驱动,因此研究PHP漏洞对整个互联网Web安全具有较大覆盖范围,而且也可以举一反三应用到ASP、ASPX、以及JSP领域。在编程章节从多个角度展开了从漏洞研究到工具实现的过渡,为安全技术进阶铺平了道路。最后作者以常用安全工具结尾,作为本书的画龙点睛之笔。对于有一定安全经验的工作者,非常建议从本书进阶。
石祖文
安全伞科技创始人国家漏洞库特聘专家
2017年7月7日
电子书版本
- Epub
下载地址没了作者记得看到更新啊
工具怎么下载啊,网址没有了
下载地址怎么没有了?