计算机 类型
可以朗读 语音朗读
470千字 字数
2022-03-01 发行日期
展开全部

主编推荐语

本书按照SQL注入的测试流程,详细介绍sqlmap的使用方法。

内容简介

随着信息技术的发展,网站(Web)技术广泛应用于人们的生活和工作中。无论是传统的网站还是手机App,它们都借助Web技术从服务器上读写数据。但Web服务器往往存在诸多潜在的安全风险和隐患,如SQL注入攻击、跨站脚本攻击和命令注入攻击等。尤其是Web服务器广泛使用数据库技术,这导致SQL注入攻击成为最常见的攻击方式。

一个Web服务器上可能存储着成百上千个网页,用于接收用户数据,并从数据库中读写数据,只要其中一个网页对用户数据过滤得不严格,就会形成SQL注入漏洞,加之SQL注入的方式众多,这些因素都导致手动测试的工作量巨大。sqlmap是一款业界知名的开源自动化SQL注入测试工具,支持当下流行的39种数据库。

它不但提供多种目标指定方式,而且还支持多目标批量测试。另外,它还能利用6种主流的注入技术自动探测目标存在的SQL注入漏洞,并验证漏洞的危害程度。本书对sqlmap提交的参数进行详细分析,明确SQL注入的防范机制,另外还重点展现SQL注入带来的各种危害,从而帮助安防人员更好地进行防范。

目录

  • 版权信息
  • 作者简介
  • 前言
  • 第1篇 测试准备
  • 第1章 sqlmap环境配置
  • 1.1 sqlmap基础知识
  • 1.2 安装sqlmap
  • 1.3 启动sqlmap
  • 1.4 sqlmap使用技巧
  • 第2章 指定目标
  • 2.1 单个目标
  • 2.2 批量测试
  • 2.3 日志文件
  • 2.4 HTTP请求文件
  • 2.5 从谷歌搜索引擎中获取目标
  • 2.6 爬取网站
  • 第3章 连接目标
  • 3.1 设置认证信息
  • 3.2 代理网络
  • 3.3 Tor匿名网络
  • 3.4 处理连接错误
  • 3.5 检测WAF/IPS
  • 3.6 调整连接选项
  • 第4章 探测注入漏洞及数据库类型
  • 4.1 探测GET参数
  • 4.2 探测POST参数
  • 4.3 探测Cookie参数
  • 4.4 探测UA参数
  • 4.5 探测Referer参数
  • 4.6 添加额外的HTTP头
  • 4.7 指定测试参数
  • 第2篇 信息获取
  • 第5章 获取MySQL数据库信息
  • 5.1 MySQL数据库简介
  • 5.2 获取数据库标识
  • 5.3 获取服务器主机名
  • 5.4 获取数据库的用户名
  • 5.5 获取数据库用户的密码
  • 5.6 获取数据库的名称
  • 5.7 获取数据表
  • 5.8 获取数据库架构
  • 5.9 获取数据表中的列
  • 5.10 获取数据表中的内容
  • 5.11 获取数据表的条目数
  • 5.12 获取数据库的所有信息
  • 5.13 搜索数据库信息
  • 第6章 获取MSSQL数据库信息
  • 6.1 获取数据库标识
  • 6.2 检测是否为DBA用户
  • 6.3 获取数据库的名称
  • 6.4 获取数据表的名称
  • 6.5 获取数据库架构
  • 6.6 获取数据表中的列
  • 6.7 获取数据表中的内容
  • 6.8 获取数据库用户的权限
  • 6.9 获取数据库用户和密码
  • 第7章 获取Access数据库信息
  • 7.1 Access数据库简介
  • 7.2 指纹识别
  • 7.3 暴力破解数据表名
  • 7.4 暴力破解数据表中的列
  • 7.5 导出数据表中的列
  • 第8章 获取Oracle数据库信息
  • 8.1 指纹信息
  • 8.2 获取数据库服务的主机名
  • 8.3 获取数据库的用户
  • 8.4 获取数据库用户的密码
  • 8.5 获取数据库用户的角色
  • 8.6 获取数据库用户的权限
  • 8.7 获取数据库的名称
  • 8.8 获取数据表
  • 8.9 获取数据表结构
  • 8.10 获取数据表信息
  • 第9章 使用SQL语句获取数据库信息
  • 9.1 SQL语句
  • 9.2 数据库变量与内置函数
  • 9.3 执行SQL语句的方式
  • 9.4 获取数据库信息
  • 第3篇 高级技术
  • 第10章 注入技术
  • 10.1 基于布尔的盲注
  • 10.2 基于错误的注入
  • 10.3 基于时间的盲注
  • 10.4 联合查询注入
  • 10.5 堆叠注入
  • 10.6 DNS注入
  • 10.7 二级SQL注入
  • 10.8 自定义注入
  • 第11章 访问后台数据库管理系统
  • 11.1 连接数据库
  • 11.2 执行操作系统命令
  • 11.3 访问文件系统
  • 11.4 访问Windows注册表
  • 11.5 建立带外TCP连接
  • 第12章 使用sqlmap优化注入
  • 12.1 跳过低成功率的启发式测试
  • 12.2 优化sqlmap性能
  • 12.3 设置超时
  • 12.4 处理请求和响应
  • 第13章 保存和输出数据
  • 13.1 保存HTTP数据包信息
  • 13.2 处理输出数据
  • 13.3 指定输出位置
  • 13.4 会话管理
  • 第14章 规避防火墙
  • 14.1 设置安全模式
  • 14.2 绕过CSRF防护
  • 14.3 其他绕过防护系统的方式
  • 14.4 使用脚本绕过防火墙
展开全部

评分及书评

评分不足
1个评分
  • 用户头像
    给这本书评了
    5.0

    随着信息技术的发展,网站(Web)技术广泛应用于人们的生活和工作中。无论是传统的网站还是手机 App,它们都借助 Web 技术从服务器上读写数据。但 Web 服务器往往存在诸多潜在的安全风险和隐患,如 SQL 注入攻击、跨站脚本攻击和命令注入攻击等。尤其是 Web 服务器广泛使用数据库技术,这导致 SQL 注入攻击成为最常见的攻击方式。

      转发
      评论

    出版方

    机械工业出版社有限公司

    机械工业出版社是全国优秀出版社,自1952年成立以来,坚持为科技、为教育服务,以向行业、向学校提供优质、权威的精神产品为宗旨,以“服务社会和人民群众需求,传播社会主义先进文化”为己任,产业结构不断完善,已由传统的图书出版向着图书、期刊、电子出版物、音像制品、电子商务一体化延伸,现已发展为多领域、多学科的大型综合性出版社,涉及机械、电工电子、汽车、计算机、经济管理、建筑、ELT、科普以及教材、教辅等领域。