陳明照編著的《網站滲透測試實戰入門》從一個初踏入網站滲透測試領域的初學者出發，在較短的時間內，以*有效的方式讓初學者一窺滲透測試的全貌。讓讀者學習到在真實的網絡環境中，如何運用黑客技術和工具的“矛”進行“滲透”和“入侵”，以便發現網站的漏洞和防御弱點，將黑客技術用於網站“盾”的檢測和檢驗，*終為構築完備的“盾”提供思路和方向。本書可供大中專院校信息安全及相關專業的師生學習參考。

陳明照編著的《網站滲透測試實戰入門》從實戰 的角度出發，通過網站滲透測試工具的介紹，詳述如 伺建立繫統安全防範意識，強化滲透測試的概念，如 伺防範新的安全弱點等，以保證從業者能夠保護網絡 繫統的信息安全；也盡可毹降低新手的學習門檻。 本書主要包括滲透測試的基本程序、滲透測試的 練習環境、網站弱點、信息搜集、網站探測及弱點評 估、網站滲透、離線密碼破解、滲透測試報告等內容 。 本書內容全面，用淺顯的文字讓讀者在短時間內 ，以最有效的方式一窺滲透測試的全貌，適合廣大滲 透測試的入門者閱讀，也可供大中專院校信息安全及 相關專業的師生學習參考。

序
第1章 關於滲透測試
滲透測試的目的
了解入侵者可能利用的途徑
了解繫統及網絡的安全強度
了解弱點、強化安全
理論中的滲透測試
我眼中的滲透測試
滲透測試的入門知識
為什麼隻在網站中進行滲透測試
本書的目的
重點提示
第2章 滲透測試的基本程序
執行步驟
測試程序的PDCA
重點提示
第3章 滲透測試的練習環境
在線提供的滲透測試網站
自建模擬測試環境
安裝WebGoat環境
安裝DVWA環境
安裝Mutillidae
使用真實的網站環境
準備滲透工具的執行環境
重點提示
第4章 網站弱點概述
OWASP ***0
A1——Injection（注入攻擊）
A2——Broken Authentication and Session Management
（失效的驗證與會話管理）
A3——Cross-Site Scripting（XSS，跨站腳本攻擊）
A4——Insecure Direct Object References（不安全的直接對像引用）
A5——Security Misconfiguration（不當的安全設置）
A6——Sensitive Data Exposure（敏感數據暴露）
A7——Missing Function Level Access Control
（訪問控制缺乏權限分級功能）
A8——Cross Site Request Forgery（CSRF，跨站冒名請求）
A9——Using Components with Known Vulnerabilities
（使用存在已知漏洞的組件）
A10——Unvalidated Redirects and Forwards（未經驗證的重定向與轉送）
其他常見的網頁程序弱點
B1——過度信息揭露
B2——robots.txt 洩漏網站架構
B3——文件上傳機制
B4——AJAX機制
B5——Cross Frame Scripting（XFS，跨框架腳本攻擊）
B6——殘存備份文件或備份目錄
補充說明
關於Blind SQL Injection
關於Cross Site Scripting（XSS）
關於Session Hijacking
關於Clickjacking
重點提示
第5章 信息搜集
nslookup
whois
SiteDigger
theHarvester.py
HTTrack
DirBuster
在線漏洞數據庫
archive.org（網址：https://web.archive.org）
WooYun.org（網址：http://www.wooyun.org）
重點提示
第6章 網站探測及弱點評估
NMAP
OWASP ZAP
w3af
調校w3af
其他輔助型的 Plugin
MSBSA
Wfetch
重點提示
第7章 網站滲透
關於Local Proxy
WebScarab
WebScarab的基礎操作
為什麼攔截
調整攔截結果
ZAP
BurpSuite
thc-hydra
hydra選項
利用hydra猜測賬號
SQLmap
重點提示
第8章 離線密碼破解
在線破解
RainbowCrack
建立自己的彩虹表
排序彩虹表
使用彩虹表
John the Ripper
簡單模式
密碼字典模式
暴力猜解模式
關於john.pot
暫時中斷執行
重點提示
第9章 滲透測試報告
準備好滲透測試記錄
撰寫滲透測試報告書
報告書的撰寫建議
重點
圖表重於文字
結果與建議
重點提示
**0章 持續精進技巧
延伸閱讀
重點提示
附錄