计算机
类型
可以朗读
语音朗读
470千字
字数
2022-03-01
发行日期
展开全部
主编推荐语
本书按照SQL注入的测试流程,详细介绍sqlmap的使用方法。
内容简介
随着信息技术的发展,网站(Web)技术广泛应用于人们的生活和工作中。无论是传统的网站还是手机App,它们都借助Web技术从服务器上读写数据。但Web服务器往往存在诸多潜在的安全风险和隐患,如SQL注入攻击、跨站脚本攻击和命令注入攻击等。尤其是Web服务器广泛使用数据库技术,这导致SQL注入攻击成为最常见的攻击方式。
一个Web服务器上可能存储着成百上千个网页,用于接收用户数据,并从数据库中读写数据,只要其中一个网页对用户数据过滤得不严格,就会形成SQL注入漏洞,加之SQL注入的方式众多,这些因素都导致手动测试的工作量巨大。sqlmap是一款业界知名的开源自动化SQL注入测试工具,支持当下流行的39种数据库。
它不但提供多种目标指定方式,而且还支持多目标批量测试。另外,它还能利用6种主流的注入技术自动探测目标存在的SQL注入漏洞,并验证漏洞的危害程度。本书对sqlmap提交的参数进行详细分析,明确SQL注入的防范机制,另外还重点展现SQL注入带来的各种危害,从而帮助安防人员更好地进行防范。
目录
- 版权信息
- 作者简介
- 前言
- 第1篇 测试准备
- 第1章 sqlmap环境配置
- 1.1 sqlmap基础知识
- 1.2 安装sqlmap
- 1.3 启动sqlmap
- 1.4 sqlmap使用技巧
- 第2章 指定目标
- 2.1 单个目标
- 2.2 批量测试
- 2.3 日志文件
- 2.4 HTTP请求文件
- 2.5 从谷歌搜索引擎中获取目标
- 2.6 爬取网站
- 第3章 连接目标
- 3.1 设置认证信息
- 3.2 代理网络
- 3.3 Tor匿名网络
- 3.4 处理连接错误
- 3.5 检测WAF/IPS
- 3.6 调整连接选项
- 第4章 探测注入漏洞及数据库类型
- 4.1 探测GET参数
- 4.2 探测POST参数
- 4.3 探测Cookie参数
- 4.4 探测UA参数
- 4.5 探测Referer参数
- 4.6 添加额外的HTTP头
- 4.7 指定测试参数
- 第2篇 信息获取
- 第5章 获取MySQL数据库信息
- 5.1 MySQL数据库简介
- 5.2 获取数据库标识
- 5.3 获取服务器主机名
- 5.4 获取数据库的用户名
- 5.5 获取数据库用户的密码
- 5.6 获取数据库的名称
- 5.7 获取数据表
- 5.8 获取数据库架构
- 5.9 获取数据表中的列
- 5.10 获取数据表中的内容
- 5.11 获取数据表的条目数
- 5.12 获取数据库的所有信息
- 5.13 搜索数据库信息
- 第6章 获取MSSQL数据库信息
- 6.1 获取数据库标识
- 6.2 检测是否为DBA用户
- 6.3 获取数据库的名称
- 6.4 获取数据表的名称
- 6.5 获取数据库架构
- 6.6 获取数据表中的列
- 6.7 获取数据表中的内容
- 6.8 获取数据库用户的权限
- 6.9 获取数据库用户和密码
- 第7章 获取Access数据库信息
- 7.1 Access数据库简介
- 7.2 指纹识别
- 7.3 暴力破解数据表名
- 7.4 暴力破解数据表中的列
- 7.5 导出数据表中的列
- 第8章 获取Oracle数据库信息
- 8.1 指纹信息
- 8.2 获取数据库服务的主机名
- 8.3 获取数据库的用户
- 8.4 获取数据库用户的密码
- 8.5 获取数据库用户的角色
- 8.6 获取数据库用户的权限
- 8.7 获取数据库的名称
- 8.8 获取数据表
- 8.9 获取数据表结构
- 8.10 获取数据表信息
- 第9章 使用SQL语句获取数据库信息
- 9.1 SQL语句
- 9.2 数据库变量与内置函数
- 9.3 执行SQL语句的方式
- 9.4 获取数据库信息
- 第3篇 高级技术
- 第10章 注入技术
- 10.1 基于布尔的盲注
- 10.2 基于错误的注入
- 10.3 基于时间的盲注
- 10.4 联合查询注入
- 10.5 堆叠注入
- 10.6 DNS注入
- 10.7 二级SQL注入
- 10.8 自定义注入
- 第11章 访问后台数据库管理系统
- 11.1 连接数据库
- 11.2 执行操作系统命令
- 11.3 访问文件系统
- 11.4 访问Windows注册表
- 11.5 建立带外TCP连接
- 第12章 使用sqlmap优化注入
- 12.1 跳过低成功率的启发式测试
- 12.2 优化sqlmap性能
- 12.3 设置超时
- 12.4 处理请求和响应
- 第13章 保存和输出数据
- 13.1 保存HTTP数据包信息
- 13.2 处理输出数据
- 13.3 指定输出位置
- 13.4 会话管理
- 第14章 规避防火墙
- 14.1 设置安全模式
- 14.2 绕过CSRF防护
- 14.3 其他绕过防护系统的方式
- 14.4 使用脚本绕过防火墙
展开全部
出版方
机械工业出版社有限公司
机械工业出版社是全国优秀出版社,自1952年成立以来,坚持为科技、为教育服务,以向行业、向学校提供优质、权威的精神产品为宗旨,以“服务社会和人民群众需求,传播社会主义先进文化”为己任,产业结构不断完善,已由传统的图书出版向着图书、期刊、电子出版物、音像制品、电子商务一体化延伸,现已发展为多领域、多学科的大型综合性出版社,涉及机械、电工电子、汽车、计算机、经济管理、建筑、ELT、科普以及教材、教辅等领域。