信息安全漏洞檢測工具指南

一、背景... 8
二、滲透測試介紹... 8
2.1滲透測試定義... 8
2.2工作流程... 8
2.2.1開始之前... 9
2.2.2第一階段... 10
2.2.3第二階段... 15
2.2.4第三階段... 23
三、工具使用指南... 29
3.1漏洞掃描... 29
3.1.1 RSAS. 30
3.1.2 Nessus. 44
3.1.3 WVSS. 51
3.1.4 AppScan. 61
3.1.5 AWVS. 65
3.2端口掃描... 69
3.2.1 Nmap. 69
3.2.2 Superscan. 71
3.3抓包改包... 74
3.3.1 Fiddler. 74
3.3.2 BurpSuite. 80
3.4 SQL注入... 91
3.4.1 Pangolin. 91
3.4.2 Sqlmap. 97
3.5 Webshell工具... 98
3.5.1 中國菜刀... 98
3.6口令破解... 101
3.6.1 Hydra. 101
3.7數(shù)據(jù)庫連接工具... 104
3.7.1 Navicat. 104
3.8應(yīng)急查殺... 111
3.8.1 D盾Web查殺工具... 111
3.8.2 Rootkit Hunter. 113
3.9漏洞利用... 113
3.9.1 Metasploit. 113
四、常見系統(tǒng)漏洞攻擊與防范... 117
4.1 MS08-067漏洞... 117
4.1.1 漏洞檢測與利用... 118
4.1.2 漏洞攻擊防范... 119
4.2 MS10-061漏洞... 120
4.2.1 漏洞檢測與利用... 120
4.2.2 漏洞攻擊防范... 121
4.3 MS12-020漏洞... 122
4.3.1 漏洞檢測與利用... 122
4.3.2 漏洞攻擊防范... 124
五、常見WEB應(yīng)用漏洞攻擊與防范... 125
5.1 SQL注入漏洞... 125
5.1.1 漏洞檢測與利用... 125
5.1.2 漏洞攻擊防范... 129
5.2 Struts2遠程代碼執(zhí)行... 131
5.2.1 漏洞檢測與利用... 132
5.2.2 漏洞攻擊防范... 133
5.3 IIS短文件名泄露漏洞... 133
5.3.1 漏洞檢測與利用... 133
5.3.1 漏洞攻擊防范... 135
5.4 WEB表單口令暴力猜解漏洞... 136
5.4.1 漏洞檢測與利用... 136
5.4.1 漏洞攻擊防范... 141
六、社會工程學攻擊及防范... 144
6.1 社會工程學定義... 144
6.2常見攻擊手段... 144
6.2.1信息分析... 144
6.2.2環(huán)境滲透... 144
6.2.3網(wǎng)絡(luò)騙局... 145
6.3防范措施... 145
6.3.1增強防范意識... 145
6.3.2制定安全方案... 145
6.3.3強化檢查監(jiān)督... 145
七、案例實操... 146
7.1 系統(tǒng)漏洞攻防環(huán)境... 146
7.2 Web應(yīng)用攻防環(huán)境... 146
八、結(jié)束語... 148