书名:Web安全攻防渗透测试实战指南 作者:徐焱 李文轩 王东亚 出版:电子工业出版社
▍内容介绍
基础信息收集:介绍域名及子域名信息收集、旁站和 C 段、端口信息收集、社会工程学和信息收集的综合利用等。
Web 应用漏洞:讲解常见的 Web 应用程序安全漏洞,如 SQL 注入、跨站脚本攻击(XSS)、跨站请求伪造(CSRF)等,以及这些漏洞产生的原因和利用方式。
渗透测试流程:阐述渗透测试的流程,包括信息收集、漏洞扫描、漏洞验证和后渗透等阶段,并介绍了如何使用各种工具进行测试。
代码审计与评估:介绍如何进行代码审计和安全评估,包括代码审计的技巧、安全漏洞的分类和评级、以及如何编写安全评估报告等。
安全加固与防御:介绍如何对 Web 应用程序进行安全加固和防御,包括输入验证、输出编码、权限管理和会话管理等措施。
▍作者介绍
徐焱:北京交通大学长三角研究院安全研究员,民革党员,ms08067 安全实验室创始人。2002 年接触网络安全,主要研究方向是内网渗透和 APT 攻击,有丰富的网络安全渗透经验。已出版图书《网络攻防实战研究:漏洞利用与提权》,曾在《黑客防线》《黑客 X 档案》《黑客手册》、FreeBuf、360 安全客、阿里云盾先知、嘶吼等杂志和媒体上发表过多篇技术文章。
王东亚:常用 ID 为 0xExploit,曾任绿盟科技、天融信高级安全顾问,现任职安徽三实安全总监,ATK 团队发起人。擅长渗透测试和代码审计,活跃于多个漏洞报告平台,报告过数千个安全漏洞,包括多个 CNVD、CVE 漏洞。曾在 FreeBuf、绿盟技术季刊等杂志和媒体发表过多篇专业技术文章,获得多个 CTF 比赛名次。
丁延彪:ms08067 安全实验室代码审计讲师,某金融保险单位高级信息安全工程师。主要从事甲方安全需求设计评审、源代码安全审计等方面的研究,对 java 安全漏洞有深入的研究。
胡前伟:密码学硕士,ms08067 安全实验室 web 安全讲师,天津智慧城市数字安全研究院(360 集团控股)安全专家,主要从事攻防、工控安全、数据安全等方面的研究,已出版《代码审计与实操》《网络安全评估(中级)》。
洪子祥:id 为 hong2x,现为 ms08067 安全实验室 web 安全讲师,先后就职于安全狗、网宿科技、奇安信,主要从事 web 安全、内网渗透、红蓝对抗、安全工具等方面的研究。