展开全部

主编推荐语

全方位研究和分析MySQL数据库攻防技术。

内容简介

数据库是信息系统的核心,存储着大量高价值的业务数据和客户信息,在众多黑客攻击案例中,数据库一直是黑客攻击的终极目标,因此,数据库攻防研究已经成为企事业单位网络安全工作的重点和难点。

本书从MySQL渗透测试基础、MySQL手工注入分析与安全防范、MySQL工具注入分析与安全防范、MySQL注入Payload原理分析、phpMyAdmin漏洞利用分析与安全防范、MySQL高级漏洞利用分析与安全防范、MySQL提权漏洞分析与安全防范、MySQL安全加固八个方面,对MySQL数据库攻防技术进行全方位研究和分析,实用性强。

目录

  • 版权信息
  • 内容简介
  • 推荐语
  • 前言
  • 本书内容
  • 第1章 MySQL渗透测试基础
  • 第2章 MySQL手工注入分析与安全防范
  • 第3章 MySQL工具注入分析与安全防范
  • 第4章 MySQL注入Payload原理分析
  • 第5章 phpMyAdmin漏洞利用分析与安全防范
  • 第6章 MySQL高级漏洞利用分析与安全防范
  • 第7章 MySQL提权漏洞分析与安全防范
  • 第8章 MySQL安全加固
  • 资源下载
  • 特别声明
  • 反馈与提问
  • 致谢
  • 第1章 MySQL渗透测试基础
  • 1.1 Windows下PHP+MySQL+IIS安全实验平台的搭建
  • 1.1.1 PHP的基本准备工作
  • 1.1.2 MySQL的基本准备工作
  • 1.1.3 让IIS支持PHP
  • 1.1.4 测试PHP环境
  • 1.2 搭建DVWA渗透测试平台
  • 1.2.1 在Windows上搭建DVWA渗透测试平台
  • 1.2.2 在Kali上安装DVWA渗透测试平台
  • 1.3 MySQL基础
  • 1.3.1 MySQL连接
  • 1.3.2 数据库密码操作
  • 1.3.3 数据库操作命令
  • 1.4 MySQL数据库中数据表乱码解决方法
  • 1.4.1 字符集基础知识
  • 1.4.2 字符集乱码转换
  • 1.5 批量修改MySQL数据库引擎
  • 1.5.1 MySQL数据库引擎简介
  • 1.5.2 相关命令
  • 1.5.3 批量修改
  • 1.6 MySQL数据库的导入与导出
  • 1.6.1 Linux下MySQL数据库的导入与导出
  • 1.6.2 Windows下MySQL数据库的导入与导出
  • 1.6.3 将html文件导入MySQL数据库
  • 1.6.4 将MSSQL数据库导入MySQL数据库
  • 1.6.5 将xls和xlsx文件导入MySQL数据库
  • 1.6.6 将xml文件导入Navicat for MySQL
  • 1.6.7 通过Navicat for MySQL代理导入数据
  • 1.6.8 导入技巧和错误处理
  • 1.7 将文本文件去重并导入MySQL数据库
  • 1.7.1 文件排序命令sort
  • 1.7.2 去重命令uniq
  • 1.8 数据库管理利器Adminer
  • 1.8.1 测试程序运行情况
  • 1.8.2 选择并查看数据库
  • 1.8.3 导出和导入数据库
  • 1.9 MySQL数据库密码安全
  • 1.9.1 MySQL数据库的加密方式
  • 1.9.2 MySQL数据库文件结构
  • 1.9.3 MySQL密码散列值
  • 1.9.4 Hashcat和John the Ripper的使用
  • 1.9.5 Cain的使用
  • 第2章 MySQL手工注入分析与安全防范
  • 2.1 SQL注入基础
  • 2.1.1 什么是SQL
  • 2.1.2 什么是SQL注入
  • 2.1.3 SQL注入攻击的产生原因及危害
  • 2.1.4 常见的SQL注入工具
  • 2.2 MySQL注入基础
  • 2.2.1 MySQL系统函数
  • 2.2.2 收集Windows和Linux文件列表
  • 2.2.3 常见的MySQL注入攻击方法
  • 2.3 MySQL手工注入分析
  • 2.3.1 注入基本信息
  • 2.3.2 确定表和字段
  • 2.4 示例:手工注入测试
  • 2.4.1 进行手工注入
  • 2.4.2 获取WebShell
  • 2.4.3 安全防御措施
  • 第3章 MySQL工具注入分析与安全防范
  • 3.1 sqlmap的使用
  • 3.1.1 简介
  • 3.1.2 下载及安装
  • 3.1.3 SQL参数详解
  • 3.1.4 检测SQL注入漏洞
  • 3.1.5 直接连接数据库
  • 3.1.6 数据库相关操作
  • 3.1.7 使用方法
  • 3.2 示例:使用sqlmap对网站进行渗透测试
  • 3.2.1 漏洞扫描与发现
  • 3.2.2 MySQL注入漏洞分析
  • 3.2.3 测试实战
  • 3.2.4 安全防御措施
  • 3.3 示例:使用sqlmap对服务器进行MySQL注入和渗透测试
  • 3.3.1 测试实战
  • 3.3.2 测试技巧
  • 3.3.3 安全防御措施
  • 3.4 示例:使用sqlmap直接连接数据库
  • 3.4.1 适用场景
  • 3.4.2 账号信息获取思路分析
  • 3.4.3 Shell获取思路分析
  • 3.4.4 测试实战
  • 3.4.5 安全防御措施
  • 3.5 示例:利用Metasploit对MySQL进行渗透测试
  • 3.5.1 Metasploit概述
  • 3.5.2 测试思路
  • 3.5.3 信息获取思路分析
  • 3.5.4 密码获取思路分析
  • 3.5.5 MySQL提权测试
  • 3.5.6 溢出漏洞测试模块
  • 3.5.7 测试技巧
  • 3.5.8 安全防御措施
  • 3.6 示例:对MySQL注入漏洞的渗透测试
  • 3.6.1 基本信息获取思路分析
  • 3.6.2 进行SQL注入测试
  • 3.6.3 WebShell获取思路分析
  • 3.6.4 安全防御措施
  • 3.7 示例:使用WebCruiser和Havij对网站进行渗透测试
  • 3.7.1 测试实战
  • 3.7.2 测试技巧
  • 3.7.3 安全防御措施
  • 3.8 示例:使用sqlmap对服务器进行渗透测试
  • 3.8.1 使用sqlmap进行渗透测试的常规思路
  • 3.8.2 sqlmap的自动获取功能
  • 3.8.3 测试实战
  • 3.8.4 安全防御措施
  • 3.9 示例:通过Burp Suite和sqlmap进行SQL注入测试
  • 3.9.1 sqlmap中的相关参数
  • 3.9.2 Burp Suite抓包
  • 3.9.3 使用sqlmap进行SQL注入测试
  • 3.9.4 安全防御措施
  • 3.10 示例:对利用报错信息构造SQL语句并绕过登录页面的分析
  • 3.10.1 登录页面攻击思路分析
  • 3.10.2 密码绕过漏洞原理分析
  • 3.10.3 漏洞实战
  • 3.10.4 安全防御措施
  • 第4章 MySQL注入Payload原理分析
  • 4.1 MySQL注入Payload的类型介绍及原理分析
  • 4.1.1 基于报错的注入
  • 4.1.2 基于布尔运算的盲注
  • 4.1.3 联合查询注入
  • 4.1.4 堆查询注入
  • 4.1.5 基于时间的盲注
  • 4.2 MySQL注入Payload的高级技巧
  • 4.2.1 Web应用防护系统
  • 4.2.2 WAF防范SQL注入的原理
  • 4.2.3 宽字节注入
  • 4.2.4 注释符的使用
  • 4.2.5 对通过Payload绕过WAF检测的分析
  • 4.2.6 对Payload中的MySQL关键字变换绕过的分析
  • 4.2.7 MySQL中的等价函数及符号替换技巧
  • 第5章 phpMyAdmin漏洞利用分析与安全防范
  • 5.1 phpMyAdmin网站路径信息获取分析
  • 5.1.1 网站路径信息获取思路概述
  • 5.1.2 phpinfo信息泄露概述
  • 5.1.3 通过配置文件读取网站信息
  • 5.1.4 通过load_file() 函数读取配置文件
  • 5.1.5 通过错误页面获取网站路径
  • 5.2 源码泄露对系统权限的影响
  • 5.2.1 MySQL root账号密码获取分析
  • 5.2.2 MySQL root账号WebShell获取分析
  • 5.2.3 phpStudy架构常见漏洞分析
  • 5.3 示例:对使用SHODAN获取phpMyAdmin信息的分析
  • 5.3.1 单关键字搜索
  • 5.3.2 多关键字搜索
  • 5.3.3 查看搜索结果
  • 5.3.4 对搜索结果进行测试
  • 5.3.5 搜索技巧
  • 5.4 示例:对phpMyAdmin密码暴力破解的分析
  • 5.4.1 破解准备工作
  • 5.4.2 破解过程分析
  • 5.4.3 安全防御措施
  • 5.5 示例:对获取Linux服务器中网站WebShell的分析
  • 5.5.1 扫描端口开放情况
  • 5.5.2 网站真实路径获取分析
  • 5.5.3 WebShell获取分析
  • 5.5.4 服务器提权分析
  • 5.5.5 安全防御措施
  • 5.6 示例:对通过MySQL的general log file获取WebShell的分析
  • 5.6.1 信息收集分析
  • 5.6.2 WebShell获取分析
  • 5.6.3 常用命令
  • 第6章 MySQL高级漏洞利用分析与安全防范
  • 6.1 MySQL口令扫描
  • 6.1.1 使用Metasploit
  • 6.1.2 使用Nmap
  • 6.1.3 使用xHydra和Hydra
  • 6.1.4 使用Hscan
  • 6.1.5 使用xSQL Scanner
  • 6.1.6 使用Bruter
  • 6.1.7 使用Medusa
  • 6.1.8 使用Python脚本
  • 6.1.9 小结
  • 6.2 示例:通过MySQL数据库对网站进行渗透测试
  • 6.2.1 失败的MySQL工具测试
  • 6.2.2 换一种思路进行测试
  • 6.2.3 小结
  • 6.3 示例:phpinfo信息泄露漏洞分析
  • 6.3.1 漏洞分析
  • 6.3.2 安全防御措施
  • 6.4 示例:my.php文件SQL注入漏洞分析
  • 6.4.1 漏洞分析
  • 6.4.2 测试过程
  • 6.4.3 安全防御措施
  • 6.5 示例:faq.php文件SQL注入漏洞分析
  • 6.5.1 漏洞分析
  • 6.5.2 测试过程
  • 6.5.3 安全防御措施
  • 6.6 示例:Zabbix SQL注入漏洞分析
  • 6.6.1 漏洞概述
  • 6.6.2 漏洞原理分析
  • 6.6.3 漏洞利用方法分析
  • 6.6.4 在线漏洞检测
  • 6.6.5 漏洞修复方案
  • 6.7 示例:LuManager SQL注入漏洞分析
  • 6.7.1 测试过程
  • 6.7.2 漏洞修复方案
  • 第7章 MySQL提权漏洞分析与安全防范
  • 7.1 MySQL提权漏洞概述
  • 7.1.1 MySQL提权的条件
  • 7.1.2 MySQL密码获取与破解
  • 7.1.3 通过MySQL获取WebShell
  • 7.2 MOF提权漏洞分析
  • 7.2.1 漏洞利用方法分析
  • 7.2.2 漏洞测试
  • 7.2.3 安全防范措施
  • 7.3 UDF提权漏洞分析
  • 7.3.1 UDF简介
  • 7.3.2 Windows UDF提权分析
  • 7.3.3 漏洞测试
  • 7.3.4 安全防范措施
  • 第8章 MySQL安全加固
  • 8.1 Windows平台PHP+MySQL+IIS架构通用安全配置
  • 8.1.1 NTFS权限简介
  • 8.1.2 NTFS详解之磁盘配额
  • 8.1.3 NTFS详解之Windows权限
  • 8.1.4 特殊的Windows权限配置
  • 8.2 Windows平台PHP+MySQL+IIS架构高级安全配置
  • 8.2.1 php.ini
  • 8.2.2 php.ini的安全设置
  • 8.2.3 IIS的安全设置
  • 8.2.4 身份验证高级配置
  • 8.2.5 设置服务器只支持PHP脚本
  • 8.2.6 Web目录高级权限配置
  • 8.3 MySQL用户管理与权限管理
  • 8.3.1 MySQL权限简介
  • 8.3.2 与MySQL权限相关的表
  • 8.3.3 MySQL权限安全配置原则
  • 8.3.4 MySQL权限管理操作
  • 8.4 Linux平台MySQL数据库安全配置
  • 8.4.1 安全地规划和安装MySQL数据库
  • 8.4.2 文件的授权管理与归属
  • 8.4.3 安全地设置密码和使用MySQL数据库
  • 8.4.4 mysqld安全相关启动项
  • 8.4.5 MySQL数据库备份策略
  • 8.4.6 编写安全的MySQL程序代码
  • 8.4.7 部署SQL注入检测和防御模块
  • 8.5 MySQL数据库安全加固措施
  • 8.5.1 补丁安装
  • 8.5.2 账户密码设置
  • 8.5.3 匿名账户设置
  • 8.5.4 数据库授权
  • 8.5.5 网络连接
  • 8.5.6 文件安全
  • 8.6 示例:一次对网站入侵的快速处理
  • 8.6.1 入侵情况分析
  • 8.6.2 对服务器进行第一次安全处理
  • 8.6.3 对服务器进行第二次安全处理
  • 8.6.4 日志分析和追踪
  • 8.6.5 小结
展开全部

评分及书评

评分不足
1个评分
  • 用户头像
    给这本书评了
    5.0

    数据库是信息系统的核心,存储着大量高价值的业务数据和客户信息,在众多黑客攻击案例中,数据库一直是黑客攻击的终极目标,因此,数据库攻防研究已经成为企事业单位网络安全工作的重点和难点。本书从 MySQL 渗透测试基础、MySQL 手工注入分析与安全防范、MySQL 工具注入分析与安全防范、MySQL 注入 Payload 原理分析、phpMyAdmin 漏洞利用分析与安全防范、MySQL 高级漏洞利用分析与安全防范、MySQL 提权漏洞分析与安全防范、MySQL 安全加固八个方面,对 MySQL 数据库攻防技术进行全方位研究和分析,实用性强。

      转发
      评论

    出版方

    电子工业出版社

    电子工业出版社成立于1982年10月,是国务院独资、工信部直属的中央级科技与教育出版社,是专业的信息技术知识集成和服务提供商。经过三十多年的建设与发展,已成为一家以科技和教育出版、期刊、网络、行业支撑服务、数字出版、软件研发、软科学研究、职业培训和教育为核心业务的现代知识服务集团。出版物内容涵盖了电子信息技术的各个分支及工业技术、经济管理、科普与少儿、社科人文等领域,综合出版能力位居全国出版行业前列。