渗透测试是从事网络安全工作的技术人员必须掌握的基础技术，也是目前检测系统网络安全的主要方法。本书为渗透测试学习的入门书籍，系统地阐述了渗透测试的基础知识和基础操作，主要包括信息安全和网络安全的概念、信息收集的方法、主机漏洞利用、Web漏洞利用、权限维持及提升、痕迹清除与隐藏、防御安全及攻击溯源等，并详细介绍了渗透测试的经典案例。
本书是一本关于网络安全技术的通用工具书，操作性强、实用性强，可供渗透测试的初学人员、从事网络安全或信息安全的人员参考使用。

第1章 概述
1.1 信息安全概述
1.1.1 信息安全基本概念
1.1.2 信息安全重要性及意义
1.2 渗透测试概述
1.2.1 渗透测试基本概念
1.2.2 渗透测试的流程
1.2.3 渗透测试的方法
第2章 初窥门径一渗透测试之信息收集
2.1 信息收集
2.1.1 信息收集目的
2.1.2 端口介绍
2.1.3 常见网站架构介绍
2.2 信息收集方法
2.2.1 Nmap
2.2.2 目录扫描
2.2.3 网站指纹扫描
2.2.4 社会工程学
第3章 略有小成——渗透测试之主机漏洞利用
3.1 口令安全
3.1.1 强口令与弱口令
3.1.2 口令破解——Hydra
3.2 缓冲区漏洞
3.2.1 缓冲区溢出
3.2.2 “永恒之蓝”及wannacry勒索病毒
3.2.3 “永恒之蓝”漏洞复现及利用过程
3.3 中间件安全
3.3.1 中间件
3.3.2 Tomcat常见漏洞及修复方法
3.3.3 webLogic常见漏洞及修复方法
3.3.4 IIs漏洞及修复方法
3.3.5 JBoss漏洞及修复方法
3.3.6 Memcached安全
第4章 驾轻就熟——渗透测试之weh漏洞利用
4.1 超文本传输协议
4.1.1 基础知识
4.1.2 使用Burp来抓包改包
4.2 目录遍历漏洞
4.2.1 基础知识
4.2.2 漏洞检测方法
4.2.3 修复方法
4.2.4 渗透案例
4.3 SQL注入漏洞
4.3.1 基础知识
4.3.2 漏洞检测方法
4.3.3 修复方法
4.3.4 渗透案例
4.4 跨站脚本漏洞
4.4.1 基础知识
4.4.2 漏洞检测方法
4.4.3 修复方法
4.4.4 渗透案例
4.5 文件上传漏洞
4.5.1 基础知识
4.5.2 漏洞检测方法
4.5.3 修复方法
4.5.4 渗透案例
4.6 文件包含漏洞
4.6.1 基础知识
4.6.2 漏洞检测方法
4.6.3 修复方法
4.6.4 渗透案例
4.7 Java反序列化漏洞
4.7.1 漏洞成因
4.7.2 漏洞检测方法
4.7.3 修复方法
4.7.4 渗透案例
4.8 越权访问
4.8.1 漏洞成因
4.8.2 漏洞检测方法
4.8.3 修复方法
4.8.4 渗透案例
4.9 XML实体注入
4.9.1 漏洞成因
4.9.2 漏洞检测方法
4.9.3 修复方法
4.9.4 渗透案例
4.10 SSRF漏洞
4.10.1 漏洞成因
4.10.2 漏洞检测方法
4.10.3 修复方法
4.10.4 渗透案例
4.11 CSRF漏洞
4.11.1 漏洞成因
4.11.2 漏洞检测方法
4.11.3 修复方法
4.11.4 渗透案例
第5章 登堂人室——渗透测试之权限维持及提升
5.1 后门
5.1.1 webshell
5.1.2 Netcat
5.1.3 粘滞键后门
5.1.4 隐藏技术
5.2 提权
5.2.1 Windows提权
5.2.2 Linux提权
5.2.3 数据库提权
5.2.4 Metasploit
5.3 日志清理
5.3.1 常见日志
5.3.2 日志位置
5.3.3 日志清理
第6章 固若金汤——防御安全及攻击溯源
6.1 加固基线
6.1.1 主机加固
6.1.2 数据库加固
6.1.3 中间件加固
6.2 攻击溯源
6.2.1 日志分析
6.2.2 流量分析
第7章 融会贯通——渗透测试之经典案例
7.1 案例一
7.1.1 案例描述
7.1.2 案例分析
7.1.3 操作步骤
7.1.4 案例小结
7.2 案例二
7.2.1 案例描述
7.2.2 案例分析
7.2.3 操作步骤
7.2.4 案例小结