2. 程式人生 > >Kali Linux Web滲透測試手冊(第二版) ---目錄

Kali Linux Web滲透測試手冊(第二版) ---目錄

阿新 發佈:2018-11-09

---------------------------------------------------------

前言:

        這本書新出的,目前只有英文版,雖說英語能看懂幾個單詞,但是真看起來英文手冊,還挺費時間的。跟幾個老哥不謀而合,準備一起翻譯一下,說翻譯好聽,只不過是用些翻譯器,然後在校對下,看似輕鬆,整理簡單的一小節發現也挺麻煩的,語句要通順,排版也要賞心悅目。但讀幾遍下來,到時內容記住了,挺不錯的一個工作,今天先把目錄分享一下,滿足一下各位老友的胃口,然後後續將翻譯的內容一章一章的釋出出來。

        也算是為安全圈的老哥們奉獻一份小力量了。結尾會有原版pdf的連線,可以自行儲存。

 

----------------------------------------------------------

1.配置Kali Linux和搭建實驗環境

介紹

在Windows和Linux上安裝VirtualBox

建立一個Kali Linux虛擬機器

更新和升級Kali Linux

為滲透測試配置web瀏覽器

建立客戶端虛擬機器

為正確的通訊配置虛擬機器

瞭解易受攻擊的虛擬機器上的web應用程式

 

2.偵察

介紹

被動偵察

使用Recon-ng收集資訊

使用Nmap掃描和標識服務

標識web應用程式防火牆

確定HTTPS加密引數

使用瀏覽器的開發工具分析和更改基本行為

獲取和修改cookie

利用robots.txt

 

3.使用代理、爬行器和爬蟲

介紹

用DirBuster找到檔案和資料夾

使用ZAP查詢檔案和資料夾

使用Burp套件檢視和修改請求

使用Burp套件的Intruder模組來查詢檔案和資料夾

使用ZAP代理檢視和修改請求

使用ZAP爬蟲

使用Burp套件爬蟲一個網站

使用Burp套件的中繼器重複請求

使用WebScarab

從爬行結果中識別相關檔案和目錄

 

4.測試身份驗證和會話管理

介紹

使用者名稱列舉

使用Burp 和字典攻擊登入頁面

使用Hydra強制執行基本身份驗證

用Metasploit攻擊Tomcat的密碼

手動識別cookie中的漏洞

攻擊會話固定漏洞

使用Burp的Sequencer模組評估會話識別符號的安全

濫用不安全的直接物件引用

執行跨站點請求偽造攻擊

 

 

5.跨站點指令碼編寫和客戶端攻擊

介紹

使用瀏覽器繞過客戶端控制元件

識別跨站點指令碼編制漏洞

通過XSS獲取會話cookie

利用DOM XSS

用XSS和BeEF實現瀏覽器中間者攻擊

從web儲存中提取資訊

使用ZAP測試WebSockets

使用XSS和Metasploit獲得遠端shell

 

 

6.利用注入漏洞

介紹

尋找檔案包含

濫用檔案包含和上傳

手動識別SQL注入

逐步的基於錯誤的SQL注入

識別和利用盲SQL注入

使用SQLMap查詢和利用SQL注入

利用XML外部實體注入

檢測和利用命令注入漏洞

 

7.利用平臺的漏洞

介紹

使用資料庫開發心臟出血漏洞

通過使用Shellshock執行命令

使用Metasploit建立和捕獲一個反向shell

Linux上的許可權升級

Windows上的特權升級

使用Tomcat管理器執行程式碼

使用John the Ropper配合字典攻擊密碼雜湊

使用Hashcat蠻力破解密碼雜湊

 

8.使用自動掃描器

介紹

掃描與Nikto

自動掃描時的注意事項

尋找Wapiti的漏洞

使用OWASP ZAP掃描漏洞

掃描與Skipfish

用WPScan軟體在WordPress中尋找漏洞

使用JoomScan尋找Joomla中的漏洞

用CMSmap掃描Drupal

 

9.繞過基本的安全控制

介紹

跨站點指令碼攻擊中的基本輸入驗證繞過

使用模糊程式碼開發跨站點指令碼

繞過檔案上傳限制

避免web服務中的CORS限制

使用跨站點指令碼繞過CSRF保護和CORS限制

利用HTTP引數汙染

利用漏洞通過HTTP頭

 

10.緩解OWASP top10 漏洞

介紹

A1 & # x2013;防止注入攻擊

A2 & # x2013;建立適當的身份驗證和會話管理

A3 & # x2013;保護敏感資料

A4 & # x2013;安全地使用XML外部實體

A5 & # x2013;安全訪問控制

A6 & # x2013;基本安全配置指南

A7 & # x2013;防止跨站點指令碼編制

A8 & # x2013;實現物件序列化和反序列化;在哪裡查詢第三方元件的已知漏洞

A10 & # x2013;web應用程式安全性的日誌和監視

 

---------------------------------

 

原版連線(自行儲存,如果失效請聯絡我):

https://pan.baidu.com/s/1T90R9G4p1oEwBMLf5gNYLg

提取碼:fqej

 

想要實時接收一手學習筆記,可以關注我的公眾號哦,慢慢會發很多東西哦 ~

相關推薦

Kali Linux Web滲透測試手冊(第二) ---目錄

--------------------------------------------------------- 前言:         這本書新出的,目前只有英文版,雖說英語能看懂幾個單詞,但是真看起來英文手冊,還挺費時間

Kali Linux Web滲透測試手冊(第二) --- 安裝kali及一些瀏覽器外掛

前言: Kali Linux Web Penetration Testing Cookbook這本手冊第一章講的是如何安裝kali和測試環境,對於kali安裝網上有太多教程了,沒什麼難的,我就將我安裝流程貼出來,畢竟原版安裝的是英文版kali,如果有啥問題,度娘是最好的解決。然後我發現這章有趣的地方是給Fi

Kali Linux Web滲透測試手冊(第二) - 2.1 - 被動資訊收集

  翻譯來自:掣雷小組 成員資訊: thr0cyte,Gr33k,花花,MrTools,R1ght0us,7089bAt, 關注下面公眾號,跟我一起學習鴨! 另外關注,回覆"資源"可獲取英文原版PDF一份   前言: 資訊收集是一個很有趣的過程,收集到的資訊,大

Kali Linux Web滲透測試手冊(第二) - 2.3 - 使用Nmap進行掃描和識別應用服務

  標記紅色的部分為今日更新內容。 第二章:偵察 介紹 2.1、被動資訊收集 2.2、使用Recon-ng收集資訊 2.3、使用Nmap掃描和識別應用服務 2.4、標識web應用程式防火牆 2.5、確定HTTPS加密引數 2.6、使用瀏覽器的開發工具分析和更改基本行為 2.7

Kali Linux Web滲透測試手冊(第二) - 2.4 - 識別Web應用防火牆

  翻譯來自:掣雷小組 成員資訊: thr0cyte,Gr33k,花花,MrTools,R1ght0us,7089bAt, 這個公眾號,一定要關注哦,慢慢會跟上面老哥們一起分享很多幹貨哦~~       標記紅色的部分為今日更新內容。

Kali Linux Web滲透測試手冊(第二) - 2.6 - 使用瀏覽器自帶的開發工具來做基本的分析和修改

翻譯來自:掣雷小組 成員資訊: thr0cyte,Gr33k,花花,MrTools,R1ght0us,7089bAt, 這個公眾號,一定要關注哦,慢慢會跟上面老哥們一起分享很多幹貨哦~~ 第二章:偵察 介紹 2.1、被動資訊收集 2.2、使用Recon-ng收集資訊 2.3、

Kali Linux Web滲透測試手冊(第二) - 2.8 - 利用robots.txt

翻譯來自:掣雷小組 成員資訊: thr0cyte,Gr33k,花花,MrTools,R1ght0us,7089bAt, 這個公眾號,一定要關注哦,慢慢會跟上面老哥們一起分享很多幹貨哦~~ 標記紅色的部分為今日更新內容。 第二章:偵察 介紹 2.1、被動資訊收集 2.2、使用R

Kali Linux Web滲透測試手冊(第二) - 3.1 - 使用DirBuster尋找敏感檔案和目錄

    翻譯來自:掣雷小組 成員資訊: thr0cyte,Gr33k,花花,MrTools,R1ght0us,7089bAt, 這個公眾號,一定要關注哦,慢慢會跟上面老哥們一起分享很多幹貨哦~~     標記紅色的部分為今日更新內容。 第

Kali Linux Web 滲透測試祕籍 第五章 自動化掃描

第五章 自動化掃描 作者:Gilberto Najera-Gutierrez 譯者:飛龍 簡介 幾乎每個滲透測試專案都需要遵循嚴格的日程,多數由客戶的需求或開發交談日期決定。對於滲透測試者,擁有一種工具,它可以在很短的時間

Kali Linux 無線滲透測試入門指南 第五章 攻擊 Web 設施

第五章 攻擊 Web 設施 作者:Vivek Ramachandran, Cameron Buchanan 譯者:飛龍 簡介 故上兵伐謀 – 孫子,《孫子兵法》 這一章中,我們會攻擊 WLAN 設施的核

kali linux 網路滲透測試學習筆記(一)

筆者準備在csdn上面寫寫技術部落格,畢竟平時自己也經常看csdn,卻沒有相應的產出來反饋給其他人,來幫助其他人,如果不寫部落格,那麼這就是一種十分自私的行為。這樣就略略感覺比較尷尬了。而且一個人的技術部落格反映了一個人的技術水平以及最近研究方向,在某些不對的平臺上寫

Kali Linux 無線滲透測試入門指南 第一章 配置無線環境

第一章 配置無線環境 作者:Vivek Ramachandran, Cameron Buchanan 譯者:飛龍 簡介 如果我要在八個小時之內砍倒一棵樹,我會花六個小時來磨我的斧子。 – 亞伯拉罕·林肯,第

Kali Linux 無線滲透測試入門指南 第七章 高階 WLAN 攻擊

第七章 高階 WLAN 攻擊 作者:Vivek Ramachandran, Cameron Buchanan 譯者:飛龍 簡介 知己知彼,百戰不殆。 孫子,《孫子兵法》 作為滲透測試者,瞭解黑客可以執行

Kali Linux 滲透測試手冊(1.1)安裝虛擬機器

翻譯來自:掣雷小組 成員資訊: thr0cyte, Gr33k, 花花, 小丑, R1ght0us, 7089bAt, 一.配置KALI Linux和滲透測試環境 在這一章,我們將覆蓋以下內容: 在Windows和Linux上安裝VirtualBox 建立一個Kali L

【安全牛學習筆記】Kali實戰-Web滲透

信息安全 kali linux security+ web滲透 1、動態web: 可以接受客戶端提交的數據,動態交互數據,就會有漏洞的存在 2、web大致框架:(1)瀏覽器--->web服務器--->應用服務器--->數據庫(2)程序代碼 3、http協議基礎:

Web滲透測試思路整理

容器類 web 框架 容器 web前端 掃描端口 開發 web滲透測試 註入 信息收集: 域名/IP 子域名列表 whois: 註冊地址,註冊人,聯系方式等 whois反查: 同ip有哪些站點(旁註),同一個註冊人註冊了哪些域名 社工註冊人信息 指紋識別:

黑客教父郭盛華:Kali Linux黑客滲透系統為何如此重要?

研究 win 技術趨勢 預安裝 測試 未來 最全 年輕 東方   Kali Linux黑客滲透系統技術有多重要?近日,中國知名黑客教父,東方聯盟創始人郭盛華對Kali Linux滲透系統作出了一系列詳細的視頻講解。   郭盛華說,Kali Linux是一個強大的浸透測試、

Web滲透測試3個要點(資訊收集→漏洞發現→漏洞利用)

現在,隨著企業資訊化建設的開展,越來越多的重要資料會以電子媒介的形式存放,這在方便企業辦公的同時,也造成了極大的安全隱患。近年來,隨著APT攻擊的蔓延,使得越來越多的企業遭受不可挽回的重大損失。一個偶然的機會,有幸邀請到了一家國外專門做web安全的公司來對自己的web系統做安全測試。4周下來,我與幾位安全專家

小白入坑 Web 滲透測試必備指南

本文來自作者肖志華 在 GitChat 上分享「Web 滲透測試入坑必備指南」,「閱讀原文」檢視交流實錄 「文末高能」 編輯 | 黑石 小白如何快速入門 由於本人技術性受限制,可能部

Web滲透測試學習路線圖

原文:http://www.zhihu.com/question/21914899 Web安全相關概念 熟悉基本概念(SQL注入、上傳、XSS、CSRF、一句話木馬等)。 通過關鍵字(SQL注入、上傳、XSS、CSRF、一句話木馬等)進行Google/SecWiki