网络攻防技术“十四五”职业教育国家规划教材 pdf下载

　　本书按照项目教学、任务驱动的方法进行组织编排。本书共7个项目，分别为情报收集、漏洞扫描工具的使用、Web系统信息收集、Web常见漏洞利用、操作系统攻击与防范、后门提权以及痕迹清除。本书可作为各类职业院校网络信息安全及相关专业的教材，也可作为信息安全管理初学者的入门自学参考书。

目 录
项目1 情报收集.................................................... 1
项目概述...................................................................... 1
项目分析...................................................................... 1
任务1 使用Nmap 发现主机操作系统.............................. 1
任务2 使用Nmap 探测系统服务.................................... 5
任务3 使用Nmap 探测特定漏洞.................................... 9
项目总结...................................................................... 11
项目2 漏洞扫描工具的使用................................ 12
项目概述...................................................................... 12
项目分析...................................................................... 12
任务1 使用Nessus 探测系统漏洞.................................. 12
任务2 使用AWVS 探测Web 系统漏洞........................... 17
任务3 使用AppScan 探测Web 系统漏洞....................... 22
项目总结...................................................................... 28
项目3 Web 系统信息收集.................................... 29
项目概述...................................................................... 29
项目分析...................................................................... 29
任务1 收集DNS 信息.................................................. 29
任务2 使用搜索引擎收集网站信息................................... 33
任务3 收集Web 服务器指纹信息................................... 36
项目总结...................................................................... 39
项目4 Web 常见漏洞利用................................... 40
项目概述 .................................................................... 40
项目分析...................................................................... 40
任务1 文件上传漏洞利用............................................... 40
任务2 文件下载漏洞利用............................................... 46
任务3 SQL 注入漏洞利用............................................. 54
任务4 反射型跨站脚本利用............................................ 61
任务5 存储型跨站脚本利用............................................ 64
任务6 暴力破解Web 网站弱密码................................... 72
项目总结...................................................................... 83
前言
目 录
项目5 操作系统攻击与防范................................ 84
项目概述...................................................................... 84
项目分析...................................................................... 84
任务1 暴力破解Window 系统弱密码.............................. 84
任务2 使用John the Ripper 暴力破解Linux 系统弱密码.. 88
任务3 通过SSH 暴力破解Linux 系统弱密码................... 94
任务4 拒绝服务攻击.................................................... 101
项目总结...................................................................... 108
项目6 后门提权.................................................... 109
项目概述 .................................................................... 109
项目分析...................................................................... 109
任务1 Windows 隐藏后门账户...................................... 109
任务2 通过替换黏滞键触发程序植入CMD 后门................. 121
任务3 Linux 计划任务后门账户设置............................... 125
任务４ Linux 内核漏洞提权........................................... 129
项目总结...................................................................... 134
项目7 痕迹清除.................................................... 135
项目概述...................................................................... 135
项目分析...................................................................... 135
任务1 删除Windows 系统常见日志............................... 135
任务2 删除Linux 系统常见日志..................................... 141
项目总结...................................................................... 146
附录.......................................................................... 147
附录A 渗透测试介绍.................................................... 1

信息是社会发展的重要战略资源。信息技术和信息产业正在改变传统的生产、经营和生活方式，成为新的经济增长点。信息网络国际化、社会化、开放化、个人化的特点使国家的“信息边疆”不断延伸，国际上围绕信息的获取、使用和控制的斗争愈演愈烈，信息安全成
为维护国家安全和社会稳定的一个焦点，各国都给予极大的关注与投入。近几年，我国对信息安全的重视程度越来越高，很多职业院校都在相继开展信息安全相关专业的教学。
本书内容以模拟攻击者攻击通常采用的步骤进行组织，分技术专题进行讨论。第1 部分包括项目1 ～项目3，介绍了漏洞与恶意代码的产生、分类及检测方法，使读者建立网络攻防的基本概念。第2 部分包括项目4 和项目5，是本书的核心内容，介绍了代表性的Web应用安全，包括自动化扫描工具、Web 站点的文件目录、认证绕过、会话管理、文件上传、敏感信息泄露等常见攻击方法与检测，数据库的注入、跨站脚本等攻击与检测方法。第3 部分包括项目6 和项目7，介绍安全与防护，渗透后针对恶意人员放置的后门检测与处理的过程。通过对本书的学习，读者可以了解安全渗透人员基本的安全技术, 信息收集的方法和策略, 对主机进行风险评估的基本流程与技术，Web 服务相关的基本安全技术，渗透后攻击者会采取的安置后门和清除痕迹的手段，针对主机、Web 应用服务等进行安全管理与安全
配置的方法。
本书建议采用理实一体化方法进行教学，讲授72 学时。
本书由钱雷、胡志齐担任主编，葛睿、葛宇、王永进担任副主编，陆发芹、王晓茹、邢予、李赫参加编写，杜春立主审。其中，项目1 ～项目3、项目5 由钱雷、葛睿、葛宇编写，项目6 和项目7 由胡志齐编写，项目4 及附录由王永进、陆发芹、王晓茹、邢予、李赫编写。
由于编者能力有限，不当之处请读者批评指正。