sql注入實戰

A. Web滲透技術及實戰案例解析的內容簡介

本書從Web滲透的專業角度，結合網路安全中的實際案例，圖文並茂地再現Web滲透的精彩過程。本書共分7章，由淺入深地介紹和分析了目前網路流行的Web滲透攻擊方法和手段，並結合作者多年的網路安全實踐經驗給出了相對應的安全防範措施，對一些經典案例還給出了經驗總結和技巧，通過閱讀本書可以快速掌握目前Web滲透的主流技術。本書最大的特色就是實用和實戰性強，思維靈活。內容主要包括Web滲透必備技術、Google黑客技術、文件上傳滲透技術、SQL注入、高級滲透技術、0day攻擊和Windows提權與安全防範等。
前言
經過近一年時間的艱辛苦戰，終於將本書完成。本書是我寫的第三本書，主要從Web滲透的專業角度來討論網路安全的攻防技術，盡可能地再現Web滲透場景，每一個小節都代表某一個場景，此書是我工作數年的總結，最後終於不辱使命將所有成果放在本書中與大家分享。
本書是在我上一本書《黑客攻防及實戰案例解析》基礎上的又一本安全類書籍，主要討論Web滲透攻防技術。攻擊與防護是辯證統一的關系，掌握了攻擊技術，也就掌握了防護技術。Web滲透是網路安全攻防的最熱門技術，通過滲透Web伺服器，利用已有信息，逐漸深入公司或者大型網路，最終完成滲透目標。
最近二年來網路安全特別火爆，可以說從事網路安全還是蠻有前途的職業之一。目前網路安全界非常缺人，特別是在2011年CSDN、天涯等大型網站用戶資料庫泄露後，各大公司對安全人士求賢若渴，掌握網路安全攻防技術，擁有豐富經驗的從業人員，年薪一般在10萬以上，能夠獨立挖掘漏洞的從業人員年薪一般在20萬以上。其實Web安全滲透技術也不是那麼高不可攀，只要自己鎖定這個方向，持之以恆，不斷地進行試驗和研究，終將成為一名高手，而且安全攻防技術還跟學歷無關，很多技術高手都沒有上過大學。
Web滲透攻防技術可以通過以下方法來自學，一是通過安全站點漏洞更新通告、安全文章，了解漏洞的形成原理和利用過程，掌握漏洞的核心原理；二是在本地搭建試驗環境進行實際測試，掌握漏洞利用方法；三是在互聯網上對存在漏洞的站點進行實際操作，在真實環境下進行驗證，提出修補漏洞的方法。在技術研究的同時還要做好記錄，總結失敗和成功的方法，積累技巧和經驗，我曾經看過一位牛人，Web漏洞收集超過10GB數據！
本書以Web滲透攻擊與防禦為主線，主要通過典型的滲透實際案例來介紹Web滲透和防禦技術，在每一個小節中除了技術原理外，還對這些技術進行總結和提煉，掌握和理解這些技術後，讀者在遇到類似的滲透場景時可以自己去進行滲透。本書採用最為通俗易懂的圖文解說，按照書中的步驟即可還原當時的攻防情景。通過閱讀本書，初學者可以很快掌握Web攻防的流程、最新的一些技術和方法，有經驗的讀者可以在技術上更上一層樓，使攻防技術從理論和實踐中更加系統化，同時可以使用本書中介紹的一些防禦方法來加固伺服器系統。
本書共分為7章，由淺入深，依照Web攻防的一些技術特點安排內容，每一小節都是一個具體Web攻防技術的典型應用，同時結合案例給予講解，並給出一些經典的總結。本書主要內容安排如下。
第1章 Web滲透必備技術
介紹Web滲透的一些必備的基本知識，創建和使用VPN隱藏自己，獲取操作系統密碼、破解MD5密碼、破解MySQL密碼、資料庫還原等，這些技術可以在Web滲透中使用，也可以在網路管理中使用。
第2章 Google——我愛你又恨你
利用Google等搜索引擎技術來獲取信息，輔助Web滲透，在某些場景中往往會起到意想不到的效果，也被稱為Nday攻擊（0day後的數天持續攻擊）。在進行Web攻防技術研究的同時，可以通過Google來進行實際演練，最好的效果就是網上爆出漏洞後利用Goolge技術來抓肉雞。
第3章 都是上傳惹的禍
上傳是Web滲透中最容易獲得WebShell的捷徑之一，在本章中介紹了如何利用WebEditor、FCKeditor、CuteEditor等典型編輯器漏洞來獲取WebShell的方法，同時還對登錄繞過後通過Flash上傳、文件上傳等方法來獲取WebShell進行探討。
第4章 SQL注入——滲透主樂章
SQL注入是Web滲透的核心技術，本章主要介紹使用SQL注入方法獲取WebShell，穿插介紹使用多種掃描軟體、攻擊工具來滲透Web伺服器並提權。
第5章 高級滲透技術
本章介紹如何充分利用多種技術組合，結合巧妙的思路，最終成功滲透一些高難度的Web伺服器。
第6章 0day攻擊
0day是Web滲透中的「神器」，幾乎是無往不勝，所向披靡，本章介紹利用Discuz!6.0、Discuz!7.2、Discuz!NT、PHP168、WordPress、Citrix、Art2008cms、Phpcms2008sp4等0day滲透Web伺服器的一些方法。
第7章 Windows提權與安全防範
獲取WebShell後，獲得伺服器許可權一直是Web滲透的終極目標，本章對主流的一些提權方法進行介紹，掌握這些方法和原理後，可以舉一反三，觸類旁通。最後還對如何設置一個安全「變態」的Web伺服器進行介紹。
雖然本書內容已經很豐富與完整，但仍然無法涵蓋所有的Web滲透的技術，但通過本書的學習，可以快速了解和掌握Web滲透技術，加固自己的伺服器。本書的目的是通過Web滲透技術並結合一些案例來探討網路安全，更好地加固Web伺服器、遠離黑客的威脅。