*滲透測試之資訊收集,包括域名、子域名、旁站C段、通訊埠、社會工程學
*DVWA漏洞平臺、SQL注入平臺、XSS測試平臺
*滲透測試過程中「神器」:SQLMap、Burp Suite和Nmap
*暴力破解漏洞、SQL注入漏洞、XSS漏洞、CSRF漏洞、SSRF漏洞、檔案上傳漏洞、命令執行漏洞、越權存取漏洞、XXE漏洞、反序列化漏洞、邏輯漏洞
*WAF的基本概念、分類、處理流程、繞過WAF及WebShell的變形方式
*雲端環境和Redis服務的滲透
*Metasploit和PowerShell技術實戰
全書共分9章:
第一章主要介紹進行滲透測試之前,最重要的資訊收集。
第二章說明漏洞環境的架設(使用Docker),示範了DVWA漏洞平臺、SQL注入平臺、XSS測試平臺。
第三章介紹常用的滲透測試工具SQLMap、Burp Suite和Nmap。
第四章說明Web滲透測試的核心技術包括暴力破解漏洞、SQL注入漏洞、XSS漏洞、CSRF漏洞、SSRF漏洞、檔案上傳漏洞、命令執行漏洞、越權存取漏洞、XXE漏洞、反序列化漏洞、邏輯漏洞。
第五章介紹WAF的基本概念、分類、處理流程和如何辨識。
第六章詳細介紹雲端環境和Redis服務的概念、滲透想法、實際應用以及實戰案例。
第七章講解程式稽核的學習路線、常見漏洞的稽核場景和技巧。
第八章說明Metasploit的發展歷史、主要特點、使用方法和攻擊步驟,並介紹具體的內網滲透測試實例,也介紹了PowerShell的基本概念、重要命令和指令稿知識。
第九章過幾個實際案例介紹了程式稽核和滲透測試過程中常見漏洞的利用過程,讓讀者累積經驗,關注細節,最終挖掘到漏洞。
