本书是国家职业教育信息安全与管理专业教学资源库配套教材。 全书共分6章，系统介绍网络信息系统最常见的5类漏洞的渗透与防护，由浅入深、循序渐进地讲解各类常见漏洞的基本概念、形成原理、利用方式和防范手段。本书结构清晰、实例丰富、讲解详细，实训中使用的工具和平台都可以从网络中下载并使用。读者在学习过程中，可以参照实例动手进行操作实践，从而快速和系统地掌握本书的各个知识点。 本书为新形态一体化教材，配套建设了微课视频、课程标准、教学大纲、教学计划、电子课件PPT、互动仿真实训环境、习题题库等数字资源。与本书配套的数字课程“网络渗透与防护”在“智慧职教”（www.icve.com.cn）上线，读者可以登录进行学习并下载基本教学资源，详见“智慧职教服务指南”，也可发邮件至编辑邮箱1548103297@qq.com获取相关资源。 本书既可作为应用型本科和高职院校网络渗透与防护基础课程的教材，也可作为CISP系列考试的入门材料，还可作为网络信息安全技术爱好者的参考用书。

前辅文
第1 章 初识网络渗透
  1.1 了解网络渗透与渗透测试
   1.1.1 网络渗透的概念
   1.1.2 渗透测试的概念
   1.1.3 渗透测试岗位应具备的知识
  1.2 网络渗透的步骤
   1.2.1 信息收集
   1.2.2 漏洞利用
   1.2.3 网络渗透的后续步骤
  1.3 网络渗透常用工具
   1.3.1 信息收集类工具
   1.3.2 漏洞利用类工具
   1.3.3 工具套件及辅助类工具
  1.4 小结
  习题与思考
第2 章 信息收集
  2.1 网络踩点
   2.1.1 Google Hacking
   2.1.2 Whois 查询
   2.1.3 域名和子域名查询
   2.1.4 IP 地址查询
   2.1.5 网络踩点的防范
  2.2 主机扫描
   2.2.1 ICMP 主机扫描
   2.2.2 SYN 主机扫描
   2.2.3 UDP 主机扫描
   2.2.4 主机扫描的防范
  2.3 端口扫描
   2.3.1 全连接端口扫描
   2.3.2 半连接端口扫描
   2.3.3 隐蔽端口扫描
   2.3.4 UDP 端口扫描
   2.3.5 端口扫描的防范
  2.4 系统类型探查
   2.4.1 操作系统类型探查
   2.4.2 服务类型探查
   2.4.3 服务类型探查的防范
  2.5 漏洞扫描
   2.5.1 漏洞概述
   2.5.2 漏洞扫描概述
   2.5.3 系统软件漏洞扫描
   2.5.4 Web 应用漏洞的扫描
   2.5.5 漏洞扫描的防范措施
  2.6 网络查点
  2.7 小结
  习题与思考
第3 章 网络协议漏洞与利用
  3.1 嗅探概述
   3.1.1 嗅探原理
   3.1.2 Wireshark 的应用
   3.1.3 嗅探的防御
  3.2 ARP 欺骗
   3.2.1 ARP 工作原理
   3.2.2 ARP 欺骗的工作原理
   3.2.3 中间人攻击
   3.2.4 ARP 欺骗攻击的检测和防范
  3.3 IP 地址欺骗
   3.3.1 IP 地址欺骗的原理
   3.3.2 IP 地址欺骗的防御
  3.4 DNS 欺骗
   3.4.1 DNS 的工作原理
   3.4.2 DNS 欺骗的原理
  3.5 拒绝服务攻击
   3.5.1 拒绝服务攻击的原理
   3.5.2 SYN 泛洪攻击的原理
   3.5.3 UDP 泛洪攻击的原理
   3.5.4 CC 攻击
   3.5.5 拒绝服务攻击的防御
  3.6 小结
  习题与思考
第4 章 密码口令渗透
  4.1 口令概述
   4.1.1 身份认证技术
   4.1.2 口令认证技术的优缺点
   4.1.3 破解口令的常见方式
   4.1.4 口令攻击的防范措施
  4.2 弱口令攻击
   4.2.1 字典攻击
   4.2.2 暴力破解
   4.2.3 撞库攻击
   4.2.4 强口令的诀窍
  4.3 Windows 系统口令破解
   4.3.1 Windows 口令原理
   4.3.2 Windows 本地口令破解
   4.3.3 Windows 远程口令破解
   4.3.4 Windows 口令破解的防范
  4.4 Linux 系统口令破解
   4.4.1 Linux 口令原理
   4.4.2 Linux 本地口令破解
   4.4.3 SSH 登录口令原理
   4.4.4 SSH 远程登录口令破解
  4.5 网站登录口令破解
  4.6 无线口令破解
   4.6.1 WiFi 技术简介
   4.6.2 WEP 口令破解
   4.6.3 WPA 口令破解
   4.6.4 WiFi 口令破解的防范
  4.7 小结
  习题与思考
第5 章 缓冲区溢出渗透
  5.1 缓冲区溢出利用原理
   5.1.1 缓冲区溢出简介
   5.1.2 缓冲区溢出利用原理
   5.1.3 函数调用过程验证
   5.1.4 缓冲区溢出的利用过程
  5.2 缓冲区溢出利用案例
   5.2.1 Metasploit 的使用
   5.2.2 IIS6.0-CVE-2017-7269漏洞利用
   5.2.3 基于MySQL BIGINT 溢出错误的SQL 注入
   5.2.4 MS17-010 漏洞利用
   5.2.5 MS11-050 漏洞利用
   5.2.6 Office-CVE-2017-11882漏洞利用
   5.2.7 FreeBSD telnetd 漏洞利用
  5.3 小结
  习题与思考
第6 章 Web 应用的渗透
  6.1 Web 应用漏洞概述
   6.1.1 Web 应用基础知识
   6.1.2 Web 应用面临的威胁
  6.2 SQL 注入漏洞
   6.2.1 SQL 注入概述
   6.2.2 POST 型SQL 注入
   6.2.3 联合查询SQL 注入
   6.2.4 报错SQL 注入
   6.2.5 盲注
   6.2.6 SQL 注入的防范方式
  6.3 跨站脚本漏洞
   6.3.1 跨站脚本漏洞概述
   6.3.2 存储型XSS
   6.3.3 反射型XSS
   6.3.4 DOM 型XSS
   6.3.5 XSS 的利用与过滤绕过
   6.3.6 XSS 的防范
  6.4 其他常见Web 应用漏洞及攻击
   6.4.1 CSRF 攻击
   6.4.2 文件上传漏洞
   6.4.3 信息泄露
   6.4.4 其他Web 应用漏洞
  6.5 小结
  习题与思考
参考文献