商品详情
书名:网络空间*实践能力分级培养(IV)
定价:99.8
ISBN:9787115624246
作者:崔永泉 汤学明 骆婷 陈凯
版次:第1版
出版时间:2023-09
内容提要:
网络空间*实践分级通关课程建设了一系列的教材,第四级课程教材面向已经学过个一*三级课程教材、具备相应专业基础的高年级学生,以网络空间*综合性攻防实践为主,让学生对网络空间*的*攻防体系有系统的认知及*了解。从渗透攻击的角度而言,教材按照渗透攻击流程,介绍渗透测试方法和典型的渗透测试工具;从*防护的角度而言,参照等保2.0的通用技术要求,贴近实际应用需求,设计并实现信息*防护方案,锻炼学生综合分析和解决实际问题的能力,攻防并重。教材的主要内容包括渗透测试计划与信息采集、网络端口扫描与测试目标管理、获取目标访问的过程和方法、后渗透测试处理、渗透测试报告、网络*等级保护技术要求、信息系统*防护综合设计与实践、数据存储*方案设计与实现、网络空间*攻防对抗总结等。
作者简介:
崔永泉,博士,副研究员、硕士生导师,中国计算机学会会员,密码学会会员,湖北省网络空间*协会会员。主要研究领域为访问控制、格基密码体制和数据库*。主持和参与国家自然科学基金、军队总装备部预研和型号项目、中国工程物理研究院项目、国家重要部门涉密项目共20余项。主持和参与了SQY02数据库加密系统研制,中国商用密码二级产品数据库加密系统研制。获发明专利5项,获得军队科技技术二等奖1项、密码科技进步二等奖1项。在SCI和中文重要期刊发表论文20余篇。曾获得华中科技大学“*班主任”等称号。
目录:
目 录
第 1章 Cardinal平台搭建和模拟靶机系统 1
1.1 Cardinal平台搭建 1
1.1.1 预先配置环境 1
1.1.2 下载编译安装Cardinal软件包 2
1.1.3 安装与设置Cardinal 2
1.1.4 平台访问 3
1.1.5 靶机部署 3
1.1.6 Cardinal平台管理 4
1.1.7 连接Asteroid大屏显示 5
1.2 模拟靶机系统 5
1.2.1 模拟靶机背景 5
1.2.2 总体架构设计 5
1.2.3 系统教学漏洞设计 8
第 2章 安装与配置Kali Linux系统 11
2.1 下载镜像 11
2.1.1 获取镜像 11
2.1.2 校验镜像 13
2.2 虚拟机安装 14
2.2.1 获取VMware软件 15
2.2.2 创建Kali Linux虚拟机 15
2.2.3 安装操作系统 19
2.3 配置Kali Linux网络 29
2.3.1 配置网络连接 29
2.3.2 配置VPN 33
2.4 配置软件源 33
2.4.1 什么是软件源 33
2.4.2 添加软件源 34
2.4.3 更新软件源/系统 34
2.5 安装软件源软件 34
2.5.1 确认软件包的名称 34
2.5.2 安装/更新软件 34
2.5.3 移除软件 35
2.6 典型攻击工具使用示例 35
2.6.1 Metasploit 35
2.6.2 Nmap 40
2.6.3 sqlmap 41
第3章 渗透测试计划与信息采集 42
3.1 制定渗透测试计划 42
3.1.1 信息收集 42
3.1.2 漏洞探测 43
3.1.3 漏洞利用,获得WebShell 43
3.1.4 内网转发 44
3.1.5 内网渗透 44
3.1.6 痕迹* 45
3.1.7 撰写渗透测试报告 45
3.2 组织渗透测试小组 45
3.3 收集目标对象信息 46
3.3.1 枚举服务信息 46
3.3.2 网络范围信息 46
3.3.3 活跃的主机信息 46
3.3.4 打开的端口信息 47
3.3.5 系统指纹信息 47
3.3.6 服务指纹信息 47
3.4 信息收集典型工具 47
3.4.1 跟踪路由工具Scapy 47
3.4.2 网络映射器工具Nmap 48
3.4.3 指纹识别工具p0f 48
3.4.4 服务枚举工具 49
3.4.5 Recon-NG框架 49
3.5 信息综合分析 50
3.5.1 信息综合分析方法 51
3.5.2 信息综合分析目的 51
第4章 网络端口扫描与测试目标管理 52
4.1 网络主机扫描 53
4.1.1 网络主机扫描常用技术 53
4.1.2 基于Nmap的主机扫描 56
4.2 网络端口与服务获取 57
4.2.1 开放扫描 57
4.2.2 隐蔽扫描 59
4.2.3 半开放扫描 61
4.2.4 认证扫描 63
4.2.5 服务的指纹识别 63
4.2.6 Nmap的简单使用 64
4.3 网络拓扑结构获取 65
4.3.1 Nmap、Zenmap 65
4.3.2 The Dude 67
4.4 网络扫描典型工具 69
4.4.1 NBTscan 1.7.2 69
4.4.2 Metasploit v6.3.2-dev 70
4.4.3 Zenmap 7.93 71
4.5 完整目标信息获取 73
4.5.1 发现目标主机 73
4.5.2 扫描目标端口和服务 73
4.5.3 发现目标*漏洞等信息 73
第5章 获取目标访问的过程和方法 74
5.1 通过Web服务获取访问 74
5.1.1 利用MSF攻击Web站点的漏洞获取*权限 74
5.1.2 利用MSF控制目标计算机 79
5.2 口令猜测与远程溢出 82
5.2.1 暴力破解 82
5.2.2 彩虹表 82
5.2.3 字典攻击 83
5.2.4 缓冲区溢出攻击 83
5.2.5 堆溢出攻击技术 84
5.2.6 整型溢出攻击技术 85
5.2.7 格式化字符串溢出攻击技术 86
5.2.8 单字节溢出攻击技术 86
5.2.9 溢出保护技术 87
5.3 漏洞扫描 88
5.3.1 添加策略和任务 93
5.3.2 扫描本地漏洞 96
5.3.3 扫描指定Windows的系统漏洞 98
5.4 漏洞利用 99
5.4.1 文件上传漏洞利用 101
5.4.2 Log4j2漏洞利用 108
5.4.3 弱口令漏洞利用 119
5.4.4 elFinder ZIP参数与任意命令注入 126
5.4.5 SQL注入漏洞 129
5.5 逆向工程 147
5.5.1 脱壳 147
5.5.2 反汇编 149
5.6 获取访问典型工具介绍 150
第6章 后渗透测试处理 154
6.1 植入后门远程控制 155
6.1.1 persistence后渗透攻击模块 155
6.1.2 metsvc后渗透攻击模块 156
6.1.3 getgui后渗透攻击模块 157
6.2 提升访问权限 157
6.2.1 getsystem命令 158
6.2.2 利用MS10-073和MS10-092中的漏洞 158
6.2.3 利用MS17-010漏洞进行后渗透攻击 161
6.3 获取系统信息 163
6.3.1 dumplink模块 164
6.3.2 enum_applications模块 164
6.3.3 键盘记录的用户输入模块 165
6.4 内网横向扩展 165
6.4.1 添加路由 165
6.4.2 进行端口扫描 166
6.4.3 攻击过程 166
6.4.4 识别存有漏洞的服务 167
6.4.5 攻击PostgreSQL数据库服务 170
6.4.6 利用已公开漏洞 171
6.5 消灭访问痕迹 173
6.5.1 clearev命令 174
6.5.2 timestomp命令 174
6.5.3 event_manager工具 175
6.6 后渗透典型工具介绍 176
6.6.1 Empire 176
6.6.2 Cobalt Strike 176
6.6.3 SharpStrike 177
6.6.4 Koadic 177
第7章 渗透测试报告 178
7.1 渗透测试目标 178
7.2 渗透测试方案 179
7.2.1 渗透测试范围 179
7.2.2 渗透测试工具 179
7.2.3 渗透测试步骤 180
7.3 渗透测试过程 181
7.3.1 *的渗透测试报告过程标准 181
7.3.2 良好的渗透测试报告过程标准 181
7.3.3 较差的渗透测试报告过程标准 182
7.4 系统*漏洞与*风险 182
7.4.1 SQL注入漏洞 182
7.4.2 XSS漏洞 183
7.4.3 跨站请求伪造(CSRF) 183
7.4.4 文件上传漏洞 183
7.4.5 代码执行漏洞 184
7.4.6 URL重定向漏洞 184
7.5 系统*增强建议 184
7.6 渗透测试报告典型案例 186
7.6.1 概述 186
7.6.2 详细测试结果 186
第8章 网络*等级保护技术要求 198
8.1 计算机系统*等级保护概述 198
8.1.1 等保2.0主要内容 198
8.1.2 等保2.0覆盖范围 199
8.1.3 网络*关键条款变化 200
8.1.4 等保2.0集中管控 200
8.1.5 等保2.0防护理念 201
8.1.6 等保2.0测评周期与结果 203
8.2 计算机系统*等级划分准则 203
8.2.1 结构化保护级 203
8.2.2 访问验证保护级 205
8.3 计算机系统*等级保护要求 207
8.3.1 等级保护总体要求 207
8.3.2 第三级系统保护需求 208
8.4 网络*等级保护测评要求 212
8.4.1 边界防护 212
8.4.2 访问控制 213
8.4.3 入侵防范 214
8.4.4 恶意代码和垃圾邮件防范 215
8.4.5 *审计 216
8.4.6 可信验证 217
第9章 信息系统*防护综合设计与实践 218
9.1 信息系统实例 218
9.1.1 学生学籍管理系统 218
9.1.2 学生课程成绩管理系统 218
9.1.3 信息系统*检查需求 219
9.2 信息系统*方案总体设计 219
9.2.1 系统总体防护体系 219
9.2.2 *分域保护方案设计 221
9.3 *通信子系统设计与实现 223
9.3.1 *通信功能需求分析 223
9.3.2 *通信流程分析 223
9.3.3 *通信子系统功能实现 224
9.3.4 通信*审计功能实现 228
9.4 *区域边界子系统设计与实现 229
9.4.1 *边界防御功能需求分析 229
9.4.2 防火墙功能实现 229
9.4.3 DDoS防范功能实现 233
9.4.4 病毒与恶意代码防范功能实现 234
9.4.5 入侵检测功能实现 238
9.4.6 边界*审计功能实现 246
9.5 *计算子系统设计与实现 247
9.5.1 *计算子系统功能需求分析 247
9.5.2 服务器主机* 247
9.5.3 数据库服务器* 251
9.5.4 应用系统* 251
9.6 *管理子系统设计与实现 255
9.6.1 系统资源与授权管理设计 256
9.6.2 系统*管理功能设计 258
9.6.3 *审计管理设计 259
9.7 Web应用防火墙(WAF)配置与实践 261
9.7.1 ModSecurity简介 261
9.7.2 安装ModSecurity 261
9.7.3 ModSecurity规则 263
9.7.4 自定义规则 265
第 10章 数据存储*方案设计与实现 267
10.1 数据存储*风险分析 267
10.2 数据库*技术 268
10.2.1 Oracle 11g*机制分析 269
10.2.2 达梦DM数据库管理系统*机制分析 270
10.2.3 其他数据库*相关研究 271
10.2.4 *数据库技术概述 272
10.2.5 *数据库系统强制访问控制技术 273
10.2.6 数据加密存储技术 277
10.3 数据库存储*方案设计 280
10.3.1 事前预警:数据库风险扫描 280
10.3.2 事前预警:应用服务器端代码审查 282
10.3.3 事中防护:数据库*授权 283
10.3.4 事中防护:数据库透明加密 283
10.3.5 事中监测:数据库状态监控 284
10.3.6 事后追溯:数据库*审计 285
10.4 数据库存储备份与恢复方案 287
10.4.1 MariaDB数据库备份基础知识 287
10.4.2 MariaDB备份与恢复方案 288
10.5 操作系统与数据库*加固 289
10.5.1 操作系统*加固 289
10.5.2 数据库*加固 292
第 11章 网络空间*攻防对抗总结 295
11.1 渗透测试常见问题与解决方案 295
11.1.1 虚拟主机结构*风险 295
11.1.2 MySQL权限配置*问题 296
11.1.3 XXE漏洞 296
11.1.4 XSS漏洞 296
11.1.5 SQL注入漏洞 297
11.1.6 内网服务器存在IPC弱口令风险 298
11.1.7 MySQL弱口令 298
11.1.8 CSRF漏洞 298
11.1.9 SSRF漏洞 299
11.1.10 文件上传漏洞 300
11.1.11 代码执行漏洞 300
11.1.12 暴力破解漏洞 301
11.1.13 越权访问漏洞 301
11.1.14 登录绕过漏洞 302
11.1.15 明文传输漏洞 302
11.1.16 SLOW HTTP DoS拒绝服务 303
11.1.17 URL跳转漏洞 303
11.1.18 网页木马 303
11.1.19 备份文件泄露 304
11.1.20 敏感信息泄露 304
11.1.21 短信/邮件轰炸 305
11.1.22 CRLF注入 305
11.1.23 LDAP注入 305
11.2 信息系统*防护 306
11.2.1 系统主机防护功能增强 306
11.2.2 数据层*防护增强 309
11.3 系统回归渗透测试 311
11.4 *运维测试响应 312
11.5 攻防对抗总结 313
11.5.1 网络信息*范围 313
11.5.2 网络信息*设计 315
11.5.3 总结与展望 318
定价:99.8
ISBN:9787115624246
作者:崔永泉 汤学明 骆婷 陈凯
版次:第1版
出版时间:2023-09
内容提要:
网络空间*实践分级通关课程建设了一系列的教材,第四级课程教材面向已经学过个一*三级课程教材、具备相应专业基础的高年级学生,以网络空间*综合性攻防实践为主,让学生对网络空间*的*攻防体系有系统的认知及*了解。从渗透攻击的角度而言,教材按照渗透攻击流程,介绍渗透测试方法和典型的渗透测试工具;从*防护的角度而言,参照等保2.0的通用技术要求,贴近实际应用需求,设计并实现信息*防护方案,锻炼学生综合分析和解决实际问题的能力,攻防并重。教材的主要内容包括渗透测试计划与信息采集、网络端口扫描与测试目标管理、获取目标访问的过程和方法、后渗透测试处理、渗透测试报告、网络*等级保护技术要求、信息系统*防护综合设计与实践、数据存储*方案设计与实现、网络空间*攻防对抗总结等。
作者简介:
崔永泉,博士,副研究员、硕士生导师,中国计算机学会会员,密码学会会员,湖北省网络空间*协会会员。主要研究领域为访问控制、格基密码体制和数据库*。主持和参与国家自然科学基金、军队总装备部预研和型号项目、中国工程物理研究院项目、国家重要部门涉密项目共20余项。主持和参与了SQY02数据库加密系统研制,中国商用密码二级产品数据库加密系统研制。获发明专利5项,获得军队科技技术二等奖1项、密码科技进步二等奖1项。在SCI和中文重要期刊发表论文20余篇。曾获得华中科技大学“*班主任”等称号。
目录:
目 录
第 1章 Cardinal平台搭建和模拟靶机系统 1
1.1 Cardinal平台搭建 1
1.1.1 预先配置环境 1
1.1.2 下载编译安装Cardinal软件包 2
1.1.3 安装与设置Cardinal 2
1.1.4 平台访问 3
1.1.5 靶机部署 3
1.1.6 Cardinal平台管理 4
1.1.7 连接Asteroid大屏显示 5
1.2 模拟靶机系统 5
1.2.1 模拟靶机背景 5
1.2.2 总体架构设计 5
1.2.3 系统教学漏洞设计 8
第 2章 安装与配置Kali Linux系统 11
2.1 下载镜像 11
2.1.1 获取镜像 11
2.1.2 校验镜像 13
2.2 虚拟机安装 14
2.2.1 获取VMware软件 15
2.2.2 创建Kali Linux虚拟机 15
2.2.3 安装操作系统 19
2.3 配置Kali Linux网络 29
2.3.1 配置网络连接 29
2.3.2 配置VPN 33
2.4 配置软件源 33
2.4.1 什么是软件源 33
2.4.2 添加软件源 34
2.4.3 更新软件源/系统 34
2.5 安装软件源软件 34
2.5.1 确认软件包的名称 34
2.5.2 安装/更新软件 34
2.5.3 移除软件 35
2.6 典型攻击工具使用示例 35
2.6.1 Metasploit 35
2.6.2 Nmap 40
2.6.3 sqlmap 41
第3章 渗透测试计划与信息采集 42
3.1 制定渗透测试计划 42
3.1.1 信息收集 42
3.1.2 漏洞探测 43
3.1.3 漏洞利用,获得WebShell 43
3.1.4 内网转发 44
3.1.5 内网渗透 44
3.1.6 痕迹* 45
3.1.7 撰写渗透测试报告 45
3.2 组织渗透测试小组 45
3.3 收集目标对象信息 46
3.3.1 枚举服务信息 46
3.3.2 网络范围信息 46
3.3.3 活跃的主机信息 46
3.3.4 打开的端口信息 47
3.3.5 系统指纹信息 47
3.3.6 服务指纹信息 47
3.4 信息收集典型工具 47
3.4.1 跟踪路由工具Scapy 47
3.4.2 网络映射器工具Nmap 48
3.4.3 指纹识别工具p0f 48
3.4.4 服务枚举工具 49
3.4.5 Recon-NG框架 49
3.5 信息综合分析 50
3.5.1 信息综合分析方法 51
3.5.2 信息综合分析目的 51
第4章 网络端口扫描与测试目标管理 52
4.1 网络主机扫描 53
4.1.1 网络主机扫描常用技术 53
4.1.2 基于Nmap的主机扫描 56
4.2 网络端口与服务获取 57
4.2.1 开放扫描 57
4.2.2 隐蔽扫描 59
4.2.3 半开放扫描 61
4.2.4 认证扫描 63
4.2.5 服务的指纹识别 63
4.2.6 Nmap的简单使用 64
4.3 网络拓扑结构获取 65
4.3.1 Nmap、Zenmap 65
4.3.2 The Dude 67
4.4 网络扫描典型工具 69
4.4.1 NBTscan 1.7.2 69
4.4.2 Metasploit v6.3.2-dev 70
4.4.3 Zenmap 7.93 71
4.5 完整目标信息获取 73
4.5.1 发现目标主机 73
4.5.2 扫描目标端口和服务 73
4.5.3 发现目标*漏洞等信息 73
第5章 获取目标访问的过程和方法 74
5.1 通过Web服务获取访问 74
5.1.1 利用MSF攻击Web站点的漏洞获取*权限 74
5.1.2 利用MSF控制目标计算机 79
5.2 口令猜测与远程溢出 82
5.2.1 暴力破解 82
5.2.2 彩虹表 82
5.2.3 字典攻击 83
5.2.4 缓冲区溢出攻击 83
5.2.5 堆溢出攻击技术 84
5.2.6 整型溢出攻击技术 85
5.2.7 格式化字符串溢出攻击技术 86
5.2.8 单字节溢出攻击技术 86
5.2.9 溢出保护技术 87
5.3 漏洞扫描 88
5.3.1 添加策略和任务 93
5.3.2 扫描本地漏洞 96
5.3.3 扫描指定Windows的系统漏洞 98
5.4 漏洞利用 99
5.4.1 文件上传漏洞利用 101
5.4.2 Log4j2漏洞利用 108
5.4.3 弱口令漏洞利用 119
5.4.4 elFinder ZIP参数与任意命令注入 126
5.4.5 SQL注入漏洞 129
5.5 逆向工程 147
5.5.1 脱壳 147
5.5.2 反汇编 149
5.6 获取访问典型工具介绍 150
第6章 后渗透测试处理 154
6.1 植入后门远程控制 155
6.1.1 persistence后渗透攻击模块 155
6.1.2 metsvc后渗透攻击模块 156
6.1.3 getgui后渗透攻击模块 157
6.2 提升访问权限 157
6.2.1 getsystem命令 158
6.2.2 利用MS10-073和MS10-092中的漏洞 158
6.2.3 利用MS17-010漏洞进行后渗透攻击 161
6.3 获取系统信息 163
6.3.1 dumplink模块 164
6.3.2 enum_applications模块 164
6.3.3 键盘记录的用户输入模块 165
6.4 内网横向扩展 165
6.4.1 添加路由 165
6.4.2 进行端口扫描 166
6.4.3 攻击过程 166
6.4.4 识别存有漏洞的服务 167
6.4.5 攻击PostgreSQL数据库服务 170
6.4.6 利用已公开漏洞 171
6.5 消灭访问痕迹 173
6.5.1 clearev命令 174
6.5.2 timestomp命令 174
6.5.3 event_manager工具 175
6.6 后渗透典型工具介绍 176
6.6.1 Empire 176
6.6.2 Cobalt Strike 176
6.6.3 SharpStrike 177
6.6.4 Koadic 177
第7章 渗透测试报告 178
7.1 渗透测试目标 178
7.2 渗透测试方案 179
7.2.1 渗透测试范围 179
7.2.2 渗透测试工具 179
7.2.3 渗透测试步骤 180
7.3 渗透测试过程 181
7.3.1 *的渗透测试报告过程标准 181
7.3.2 良好的渗透测试报告过程标准 181
7.3.3 较差的渗透测试报告过程标准 182
7.4 系统*漏洞与*风险 182
7.4.1 SQL注入漏洞 182
7.4.2 XSS漏洞 183
7.4.3 跨站请求伪造(CSRF) 183
7.4.4 文件上传漏洞 183
7.4.5 代码执行漏洞 184
7.4.6 URL重定向漏洞 184
7.5 系统*增强建议 184
7.6 渗透测试报告典型案例 186
7.6.1 概述 186
7.6.2 详细测试结果 186
第8章 网络*等级保护技术要求 198
8.1 计算机系统*等级保护概述 198
8.1.1 等保2.0主要内容 198
8.1.2 等保2.0覆盖范围 199
8.1.3 网络*关键条款变化 200
8.1.4 等保2.0集中管控 200
8.1.5 等保2.0防护理念 201
8.1.6 等保2.0测评周期与结果 203
8.2 计算机系统*等级划分准则 203
8.2.1 结构化保护级 203
8.2.2 访问验证保护级 205
8.3 计算机系统*等级保护要求 207
8.3.1 等级保护总体要求 207
8.3.2 第三级系统保护需求 208
8.4 网络*等级保护测评要求 212
8.4.1 边界防护 212
8.4.2 访问控制 213
8.4.3 入侵防范 214
8.4.4 恶意代码和垃圾邮件防范 215
8.4.5 *审计 216
8.4.6 可信验证 217
第9章 信息系统*防护综合设计与实践 218
9.1 信息系统实例 218
9.1.1 学生学籍管理系统 218
9.1.2 学生课程成绩管理系统 218
9.1.3 信息系统*检查需求 219
9.2 信息系统*方案总体设计 219
9.2.1 系统总体防护体系 219
9.2.2 *分域保护方案设计 221
9.3 *通信子系统设计与实现 223
9.3.1 *通信功能需求分析 223
9.3.2 *通信流程分析 223
9.3.3 *通信子系统功能实现 224
9.3.4 通信*审计功能实现 228
9.4 *区域边界子系统设计与实现 229
9.4.1 *边界防御功能需求分析 229
9.4.2 防火墙功能实现 229
9.4.3 DDoS防范功能实现 233
9.4.4 病毒与恶意代码防范功能实现 234
9.4.5 入侵检测功能实现 238
9.4.6 边界*审计功能实现 246
9.5 *计算子系统设计与实现 247
9.5.1 *计算子系统功能需求分析 247
9.5.2 服务器主机* 247
9.5.3 数据库服务器* 251
9.5.4 应用系统* 251
9.6 *管理子系统设计与实现 255
9.6.1 系统资源与授权管理设计 256
9.6.2 系统*管理功能设计 258
9.6.3 *审计管理设计 259
9.7 Web应用防火墙(WAF)配置与实践 261
9.7.1 ModSecurity简介 261
9.7.2 安装ModSecurity 261
9.7.3 ModSecurity规则 263
9.7.4 自定义规则 265
第 10章 数据存储*方案设计与实现 267
10.1 数据存储*风险分析 267
10.2 数据库*技术 268
10.2.1 Oracle 11g*机制分析 269
10.2.2 达梦DM数据库管理系统*机制分析 270
10.2.3 其他数据库*相关研究 271
10.2.4 *数据库技术概述 272
10.2.5 *数据库系统强制访问控制技术 273
10.2.6 数据加密存储技术 277
10.3 数据库存储*方案设计 280
10.3.1 事前预警:数据库风险扫描 280
10.3.2 事前预警:应用服务器端代码审查 282
10.3.3 事中防护:数据库*授权 283
10.3.4 事中防护:数据库透明加密 283
10.3.5 事中监测:数据库状态监控 284
10.3.6 事后追溯:数据库*审计 285
10.4 数据库存储备份与恢复方案 287
10.4.1 MariaDB数据库备份基础知识 287
10.4.2 MariaDB备份与恢复方案 288
10.5 操作系统与数据库*加固 289
10.5.1 操作系统*加固 289
10.5.2 数据库*加固 292
第 11章 网络空间*攻防对抗总结 295
11.1 渗透测试常见问题与解决方案 295
11.1.1 虚拟主机结构*风险 295
11.1.2 MySQL权限配置*问题 296
11.1.3 XXE漏洞 296
11.1.4 XSS漏洞 296
11.1.5 SQL注入漏洞 297
11.1.6 内网服务器存在IPC弱口令风险 298
11.1.7 MySQL弱口令 298
11.1.8 CSRF漏洞 298
11.1.9 SSRF漏洞 299
11.1.10 文件上传漏洞 300
11.1.11 代码执行漏洞 300
11.1.12 暴力破解漏洞 301
11.1.13 越权访问漏洞 301
11.1.14 登录绕过漏洞 302
11.1.15 明文传输漏洞 302
11.1.16 SLOW HTTP DoS拒绝服务 303
11.1.17 URL跳转漏洞 303
11.1.18 网页木马 303
11.1.19 备份文件泄露 304
11.1.20 敏感信息泄露 304
11.1.21 短信/邮件轰炸 305
11.1.22 CRLF注入 305
11.1.23 LDAP注入 305
11.2 信息系统*防护 306
11.2.1 系统主机防护功能增强 306
11.2.2 数据层*防护增强 309
11.3 系统回归渗透测试 311
11.4 *运维测试响应 312
11.5 攻防对抗总结 313
11.5.1 网络信息*范围 313
11.5.2 网络信息*设计 315
11.5.3 总结与展望 318
- 人民邮电出版社有限公司 (微信公众号认证)
- 人民邮电出版社微店,为您提供最全面,最专业的一站式购书服务
- 扫描二维码,访问我们的微信店铺
- 随时随地的购物、客服咨询、查询订单和物流...
