信息安全漏洞檢測(cè)工具指南

一、背景... 8
二、滲透測(cè)試介紹... 8
2.1滲透測(cè)試定義... 8
2.2工作流程... 8
2.2.1開始之前... 9
2.2.2第一階段... 10
2.2.3第二階段... 15
2.2.4第三階段... 23
三、工具使用指南... 29
3.1漏洞掃描... 29
3.1.1 RSAS. 30
3.1.2 Nessus. 44
3.1.3 WVSS. 51
3.1.4 AppScan. 61
3.1.5 AWVS. 65
3.2端口掃描... 69
3.2.1 Nmap. 69
3.2.2 Superscan. 71
3.3抓包改包... 74
3.3.1 Fiddler. 74
3.3.2 BurpSuite. 80
3.4 SQL注入... 91
3.4.1 Pangolin. 91
3.4.2 Sqlmap. 97
3.5 Webshell工具... 98
3.5.1 中國(guó)菜刀... 98
3.6口令破解... 101
3.6.1 Hydra. 101
3.7數(shù)據(jù)庫(kù)連接工具... 104
3.7.1 Navicat. 104
3.8應(yīng)急查殺... 111
3.8.1 D盾Web查殺工具... 111
3.8.2 Rootkit Hunter. 113
3.9漏洞利用... 113
3.9.1 Metasploit. 113
四、常見系統(tǒng)漏洞攻擊與防范... 117
4.1 MS08-067漏洞... 117
4.1.1 漏洞檢測(cè)與利用... 118
4.1.2 漏洞攻擊防范... 119
4.2 MS10-061漏洞... 120
4.2.1 漏洞檢測(cè)與利用... 120
4.2.2 漏洞攻擊防范... 121
4.3 MS12-020漏洞... 122
4.3.1 漏洞檢測(cè)與利用... 122
4.3.2 漏洞攻擊防范... 124
五、常見WEB應(yīng)用漏洞攻擊與防范... 125
5.1 SQL注入漏洞... 125
5.1.1 漏洞檢測(cè)與利用... 125
5.1.2 漏洞攻擊防范... 129
5.2 Struts2遠(yuǎn)程代碼執(zhí)行... 131
5.2.1 漏洞檢測(cè)與利用... 132
5.2.2 漏洞攻擊防范... 133
5.3 IIS短文件名泄露漏洞... 133
5.3.1 漏洞檢測(cè)與利用... 133
5.3.1 漏洞攻擊防范... 135
5.4 WEB表單口令暴力猜解漏洞... 136
5.4.1 漏洞檢測(cè)與利用... 136
5.4.1 漏洞攻擊防范... 141
六、社會(huì)工程學(xué)攻擊及防范... 144
6.1 社會(huì)工程學(xué)定義... 144
6.2常見攻擊手段... 144
6.2.1信息分析... 144
6.2.2環(huán)境滲透... 144
6.2.3網(wǎng)絡(luò)騙局... 145
6.3防范措施... 145
6.3.1增強(qiáng)防范意識(shí)... 145
6.3.2制定安全方案... 145
6.3.3強(qiáng)化檢查監(jiān)督... 145
七、案例實(shí)操... 146
7.1 系統(tǒng)漏洞攻防環(huán)境... 146
7.2 Web應(yīng)用攻防環(huán)境... 146
八、結(jié)束語(yǔ)... 148