文章來自:5號黯區
官方網站:http://www.dark5.net/
Web綜合滲透方向
《Web安全攻防:滲透測試實戰指南》
該書出版於2018-7,全書416頁,涉及知識面雖廣,但90%的知識點都不深入,在新手層面相對深入講解了SQL注入的利用;知識排序銜接存在一定的問題。如:SQL注入雖不一定都會進后台,但是不能直接拿SHELL的時候都會想辦法進后台,而文件上傳一般都會在后台,包括管理和用戶后台,所以文件上傳章節排在SQL后面較為合適。
該書90%的文字是不涉及原理的,截圖和基礎部分占了非常大的篇幅,總體來說,新人朋友可以閱讀學習,操作不多的朋友還是有益處的。
(私以為,涉及面廣那么目錄就會顯得高大上,對於沒買到只能看目錄和新手朋友來說,咋一看:哇,賊強!買了,作者肯定很用心。其實,emmm……該書展現出來的意思其實就是想賺個名頭,為后期搞錢做鋪墊,當然這無可厚非。)
豆瓣書評:https://book.douban.com/subject/30280378/
推薦星級:⭐⭐⭐
新手閱讀推薦星級:⭐⭐⭐⭐
《Web安全深度剖析》
該書出版於2015-04-01,全書360頁,然里面的內容至今(2020年03月16日 23:17:55)卻沒有過時。該書內容符合“Web安全”的主題,沒有過多涉及其他領域的知識,相對比較專一,深度和廣度適中,有一定的原理講解,算是由淺入深了。 該書雖比《Web安全攻防:滲透測試實戰指南》少了56頁,但是就Web滲透的內容來說會更加深入、細致,適合有一定計算機基礎的人閱讀學習。
豆瓣書評:https://book.douban.com/subject/26348894/
推薦星級:⭐⭐⭐⭐
新手閱讀推薦星級:⭐⭐⭐
《白帽子講web安全》
用3個詞形容:專業、全面、較為深入。
專業意味着一般人是看不懂的,有很多的專業名詞,比較晦澀,一般人看不懂,估計看着看着就想睡覺。
全面意味着80%的知識你現階段都沒辦法用得到,所以會比較難掌握,畢竟想要掌握知識點就要實際操作一波才能記牢。
深入指的是相對上面兩本來說會更加深入,但是不用使用一些圖片來展示,而是用文字來概括。
總結說來,全書能不用圖片就不用圖片,能不涉及具體案例就不涉及,當然是會引用一些事件來表明某些技術的特性和產生原因。你看完全書,並不會發現自己的滲透技術會提高很多,好像書中沒啥子營養,但感覺又很有味道,具體是啥又講不出。
為了得到答案,我們看下該書作者的背景吧。該書作者是吳翰清,道上稱其道哥,早年叫“刺”,也被人敬稱為“刺總”,是阿里巴巴雲計算有限公司的安全專家。他自2005年起就任職於阿里巴巴,到2014年該書出版,他將近工作20年,包括工作前的實戰經驗,超過20年。這樣一位身經百戰的安全專家,我能感覺到他在努力地講解web滲透的技術,但是20年的經歷使得他的安全視角變得非常高,不會拘泥於其中的技術細節,更多的是其安全觀的闡述和安全理論的表達。
鹿銜草是這樣說的:普通滲透選手看這本書就類似於本科生看院士的書,思想知識儲備都不在一個層面上,作者是安全專家,從高屋建瓴地角度去刻畫web安全,更側重框架的構建,而小白往往更關注一個技術在實際當中的體現,所以這本書更適合於理論實踐都到達一個層次之后,回頭去總結審視自己的web安全觀。
豆瓣書評:https://book.douban.com/subject/10546925/
豆瓣書評:https://book.douban.com/subject/25910557/【紀念版】
推薦星級:⭐⭐⭐⭐⭐
新手閱讀推薦星級:⭐
《黑客攻防技術寶典 Web實戰篇 第2版》
摘抄一段該書籍前言中的幾段話:
- “本書是發現並利用Web應用程序安全漏洞的實用指南。”
- “如果你想了解如何運行端口掃描器、攻擊防火牆或者以其他方式對服務器進行滲透測試,我們建議你閱讀其他圖書。**但是,如果你希望了解滲透測試員如何攻擊Web應用程序、竊取敏感數據、執行未授權操作,那么本書可以滿足你的需要。”
- “本書極其注重實用性。”
該書也如起前言說的,從原理到實踐,詳細、透測、全面。乃實戰滲透的經典之作。畢竟作者團隊是Burp suite的團隊,注重實戰。
翻譯版不足:我本人沒有細看,根據豆瓣評書的評論,該書翻譯的並不好。
推薦有了一定實戰經驗的人群閱讀學習。
豆瓣書評:https://book.douban.com/subject/10793814/
推薦星級:⭐⭐⭐⭐⭐
新手閱讀推薦星級:⭐⭐
Web專項滲透
《SQL注入攻擊與防御(第二版)》
該書共426頁,就講SQL注入的攻防,這也就是為什么這么多年來,各種培訓課程都會有很大的篇幅講解SQL注入,因為SQL注入的內容確實多!
同樣的,這種專業的書,是需要有基礎的,因為提到了各種數據庫,至少來說你得熟悉其中一種數據庫,不然玩不轉的。
想要深入SQL注入的朋友,必看這本書。
豆瓣書評:https://book.douban.com/subject/25815527/
推薦星級:⭐⭐⭐⭐
新手閱讀推薦星級:⭐
《XSS跨站腳本攻擊剖析與防御》
該書共263頁,適合有javascript和html基礎的朋友看,只講XSS攻防,相對於SQL注入少了很多了,且書內圖片、代碼占了不少的篇幅,不過專門講XSS的書就這本,講的其實也不錯,想要深入XSS的可以看一下,說真的,我不會XSS。
豆瓣評分:https://book.douban.com/subject/25711796/
推薦星級:⭐⭐⭐⭐
新手閱讀推薦星級:⭐
社會工程
這個話,其實也挺看天賦,有些人天生就能吹牛,跟人自然熟。后天也能學習一下,這個沒啥子推薦的,飽覽群書就行,把淘寶天貓京東當當能買到的關於社工、心理學、社交學的書都看一遍咯。
如果非要推薦一本跟咱們滲透接近的,那就《社會工程:安全體系中的人性漏洞》
豆瓣評書:https://book.douban.com/subject/25768304/
綜合滲透
《灰帽黑客》
該書是業界大佬【不能告訴你們是誰】推薦看的,我沒有具體看,看了一頁,寫的確實不錯,想要看這本書,沒有深厚的各類編程基礎和幾年的實戰經驗,還是不要看了。
其他
Kali
這個我打算單獨寫個文章,因為對於新手想學kali這件事情感觸頗多,寥寥幾行怎能表達我的憤懣之情。
最后的推薦
無任何基礎的可以先看《Web安全攻防:滲透測試實戰指南》來找找感覺,然后再看一下滲透教程,不過對於網上的那些教程,我不敢推薦,實在是不敢恭維。我還是推薦我們5號黯區的Web滲透培訓課程的,由淺入深,原理和實戰,課程講解思路清晰,文檔結構明了。學完我們的課程之后再用《Web安全深度剖析》查漏補缺。等這些都搞定,且已經都實戰檢驗完成,那去面試安全公司,沒得任何問題。畢竟我們的課程確實夠深度。
書籍電子版可加群獲取