从实践中学习sqlmap数据库注入测试
  • 书名

    从实践中学习sqlmap数据库注入测试

    信息安全技术大讲堂
  • 作者朱振方张鹏
  • 出版社机械工业出版社 / 2022-03
  • 字数约 142,000 字
  • 全本定价¥65.88
免费试读

作品简介

随着IT的发展,Web技术从传统的网站领域延伸到了手机App领域。而大部分网站都采用数据库存储数据,这使得SQL注入攻击成为Web安全防护的重点。为了保证网站的安全,开发人员和安全人员需要对网站上成百上千个网页逐一进行检查,以验证其对各种SQL注入攻击的防护效果,这会带来庞大的工作量。sqlmap是一款开源的SQL注入自动化测试工具,它不仅可以大幅度减少检测时间,而且还可以验证漏洞存在的危害性,在Web安防领域有着广泛的应用。本书结合260个操作实例,详细介绍sqlmap注入测试的相关知识。

本书共14章,分为3篇。第1篇“测试准备”,主要介绍sqlmap环境配置、指定目标、连接目标、探测注入漏洞及数据库类型等相关知识;第2篇“信息获取”,主要介绍如何基于sqlmap获取4种主流数据库信息(MySQL、MSSQL、Access和Oracle),以及如何手工获取数据库信息;第3篇“高级技术”,主要介绍sqlmap所使用的注入技术、访问后台数据库管理系统、优化注入、保存和输出数据、规避防火墙等相关内容。

本书适合渗透测试人员、网络维护人员、网站开发人员和信息安全爱好者阅读。通过阅读本书,读者可以系统掌握SQL注入测试技术,并对危害性评估等相关知识有所了解。

朱振方,博士,教授,博士生导师,“计算机科学与技术”国家级一流专业建设点负责人。现任山东交通学院信息科学与电气工程学院计算机系主任,山东交通学院融媒体智能计算与安全技术研究中心主任。主要研究兴趣为网络信息安全和自然语言处理等。

张鹏,精通Web安全技术,熟悉OWASP TOP10漏洞的原理与修复方案,以及渗透测试的步骤、方法和流程,对各类操作系统和应用平台的弱点有较深入的理解。熟悉常见脚本语言,能够进行Web渗透测试,以及恶意代码的检测和分析。

作品目录

  • 前言
  • 第1篇 测试准备
  • 第1章 sqlmap环境配置
  • 1.1 sqlmap基础知识
  • 1.2 安装sqlmap
  • 1.3 启动sqlmap
  • 1.4 sqlmap使用技巧
  • 第2章 指定目标
  • 2.1 单个目标
  • 2.2 批量测试
  • 2.3 日志文件
  • 2.4 HTTP请求文件
  • 2.5 从谷歌搜索引擎中获取目标
  • 2.6 爬取网站
  • 第3章 连接目标
  • 3.1 设置认证信息
  • 3.2 代理网络
  • 3.3 Tor匿名网络
  • 3.4 处理连接错误
  • 3.5 检测WAF/IPS
  • 3.6 调整连接选项
  • 第4章 探测注入漏洞及数据库类型
  • 4.1 探测GET参数
  • 4.2 探测POST参数
  • 4.3 探测Cookie参数
  • 4.4 探测UA参数
  • 4.5 探测Referer参数
  • 4.6 添加额外的HTTP头
  • 4.7 指定测试参数
  • 第2篇 信息获取
  • 第5章 获取MySQL数据库信息
  • 5.1 MySQL数据库简介
  • 5.2 获取数据库标识
  • 5.3 获取服务器主机名
  • 5.4 获取数据库的用户名
  • 5.5 获取数据库用户的密码
  • 5.6 获取数据库的名称
  • 5.7 获取数据表
  • 5.8 获取数据库架构
  • 5.9 获取数据表中的列
  • 5.10 获取数据表中的内容
  • 5.11 获取数据表的条目数
  • 5.12 获取数据库的所有信息
  • 5.13 搜索数据库信息
  • 第6章 获取MSSQL数据库信息
  • 6.1 获取数据库标识
  • 6.2 检测是否为DBA用户
  • 6.3 获取数据库的名称
  • 6.4 获取数据表的名称
  • 6.5 获取数据库架构
  • 6.6 获取数据表中的列
  • 6.7 获取数据表中的内容
  • 6.8 获取数据库用户的权限
  • 6.9 获取数据库用户和密码
  • 第7章 获取Access数据库信息
  • 7.1 Access数据库简介
  • 7.2 指纹识别
  • 7.3 暴力破解数据表名
  • 7.4 暴力破解数据表中的列
  • 7.5 导出数据表中的列
  • 第8章 获取Oracle数据库信息
  • 8.1 指纹信息
  • 8.2 获取数据库服务的主机名
  • 8.3 获取数据库的用户
  • 8.4 获取数据库用户的密码
  • 8.5 获取数据库用户的角色
  • 8.6 获取数据库用户的权限
  • 8.7 获取数据库的名称
  • 8.8 获取数据表
  • 8.9 获取数据表结构
  • 8.10 获取数据表信息
  • 第9章 使用SQL语句获取数据库信息
  • 9.1 SQL语句
  • 9.2 数据库变量与内置函数
  • 9.3 执行SQL语句的方式
  • 9.4 获取数据库信息
  • 第3篇 高级技术
  • 第10章 注入技术
  • 10.1 基于布尔的盲注
  • 10.2 基于错误的注入
  • 10.3 基于时间的盲注
  • 10.4 联合查询注入
  • 10.5 堆叠注入
  • 10.6 DNS注入
  • 10.7 二级SQL注入
  • 10.8 自定义注入
  • 第11章 访问后台数据库管理系统
  • 11.1 连接数据库
  • 11.2 执行操作系统命令
  • 11.3 访问文件系统
  • 11.4 访问Windows注册表
  • 11.5 建立带外TCP连接
  • 第12章 使用sqlmap优化注入
  • 12.1 跳过低成功率的启发式测试
  • 12.2 优化sqlmap性能
  • 12.3 设置超时
  • 12.4 处理请求和响应
  • 第13章 保存和输出数据
  • 13.1 保存HTTP数据包信息
  • 13.2 处理输出数据
  • 13.3 指定输出位置
  • 13.4 会话管理
  • 第14章 规避防火墙
  • 14.1 设置安全模式
  • 14.2 绕过CSRF防护
  • 14.3 其他绕过防护系统的方式
  • 14.4 使用脚本绕过防火墙
展开全部
声明:本站不产生/存储任何数据,所有资源均来自网络。