网络攻防实战研究:MySQL数据库安全
上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人
上一章目录下一章

前言

当今社会,技术和知识的水平决定了个人发展的高度。知识改变生活,知识改变命运。知识需要沉淀,技术更需要沉淀。

近年来,网络安全成为一个热门话题,很多高校单独开设了网络安全专业,很多企业开始创建网络安全培训学院。然而,如何指引有计算机基础的人进入网络安全领域,学习网络安全知识,尚无很好的方法。在笔者20余年的工作经历中,也参加过大大小小的网络安全培训,但真正从中学到的东西不多,很多知识都是“听起来很美”,要落到实处却不那么容易。

此前几本网络攻防实战研究图书的出版,让笔者及团队积累了很多网络安全图书写作方面的经验。说实话,写书是一件辛苦的事,需要耗费很多时间和精力。为了能将实践经验与理论结合起来,从安全总体架构的角度设计网络安全知识体系,让经过正规本科、研究生学习的读者能够通过阅读本书节省从头开始学习的时间,快速上手,从而有更多的时间从事前沿研究,我们费尽心思,几易其稿。

本书内容

数据库是信息系统的核心,存储着大量高价值的业务数据和客户信息。在众多黑客攻击案例中,数据库一直是黑客攻击的终极目标。因此,数据库攻防研究已经成为企事业单位信息安全工作的重点和难点。在数据库应用中,最为普及的是MySQL,但专门讲解MySQL安全知识的图书凤毛麟角。目前,大量电子商务、电子政务、生活类App等都在使用MySQL数据库,然而,MySQL数据库作为Web后台,曾多次暴露出能够被黑客利用的严重安全漏洞。

本书共分为8章,具体内容如下。

第1章 MySQL渗透测试基础

本章着重介绍MySQL的相关基础知识,包括如何搭建与MySQL相关的漏洞测试平台,在使用MySQL的过程中碰到的常见问题及解决方法,以及MySQL数据库的数据处理、导入/导出和密码破解等。

第2章 MySQL手工注入分析与安全防范

本章首先对MySQL手工注入攻击的基础知识进行介绍,然后详细、系统地分析MySQL手工注入的语法、手段、方式等,并通过案例介绍如何防范攻击者通过MySQL手工注入获取WebShell及服务器的权限。

第3章 MySQL工具注入分析与安全防范

本章着重介绍sqlmap、Havij、WebCruiser等注入工具在不同场景中的典型应用,以及如何利用Metasploit(msf)等对MySQL进行渗透测试。在本章的示例中,对漏洞利用思路进行了总结,供读者在实际渗透测试中参考和借鉴。

第4章 MySQL注入Payload原理分析

攻击者从一次成功的SQL注入攻击中能够获得很多信息,这些信息可以是直接显示在页面上的数据,也可以是通过对页面异常或页面响应时间进行判断得到的结果。通过阅读本章的内容,希望读者能够掌握MySQL注入Payload的攻击和防御思路,充实自己的网络安全“武器库”。

第5章 phpMyAdmin漏洞利用分析与安全防范

phpMyAdmin是一个以PHP为基础、以Web-Base方式部署在网站主机上的MySQL数据库管理工具,可以使网站管理人员通过 Web 接口管理 MySQL 数据库。当然,phpMyAdmin 在给 MySQL数据库管理带来便利的同时,也有可能给所在系统带来安全风险。本章将对phpMyAdmin漏洞进行专题分析,并给出相应的安全防范建议。

第6章 MySQL高级漏洞利用分析与安全防范

本章主要对MySQL数据库相关高级漏洞进行分析,并给出安全防范建议,供读者参考和借鉴。

第7章 MySQL提权漏洞分析与安全防范

MySQL 数据库是目前最为流行的数据库软件之一,很多常见的网站架构都会使用 MySQL,例如LAMPP(Linux+Apache+MySQL+PHP+Perl)等,同时,很多流行的CMS 使用 MySQL+PHP 架构。MySQL主要在Windows和Linux操作系统中安装和使用,因此,如果攻击者获得了root权限,就极有可能通过一些工具软件和技巧获取系统的最高权限。本章将对 MySQL 提权漏洞进行专题分析,并给出相应的安全防范建议。

第8章 MySQL安全加固

本章将介绍如何对PHP+MySQL+IIS架构进行安全配置,如何进行MySQL用户管理和权限管理,如何安全地配置MySQL数据库,以及如何对MySQL进行安全加固等。

资源下载

书中提到的相关资源,读者可以访问神州网云(北京)信息技术有限公司网站(http://www.secsky.net/book/mysql.html)下载。神州网云主要为用户提供APT攻击检测、数据库攻防技术研究、利用AI进行攻防技术对抗、电子取证等方面的服务。

书中提到的链接列表,请读者访问http://www.broadview.com.cn/35520下载。

特别声明

本书的目的绝不是为那些怀有不良动机的人提供支持,也不承担因为技术被滥用所产生的连带责任。本书的目的是最大限度地唤醒读者对网络安全的重视,并采取相应的安全措施,从而减少由网络安全漏洞造成的经济损失。

由于笔者水平有限,加之时间仓促,书中疏漏之处在所难免,恳请广大读者批评指正。

反馈与提问

在阅读本书的过程中,如果读者遇到问题或有任何意见,都可以发邮件至 365028876@qq.com与作者直接联系。读者也可加入陈小兵读者交流QQ群(435451741)进行沟通和交流。

扫描下方二维码,订阅作者个人技术公众号。

致谢

本书的主编是祝烈煌、董健、胡光俊,参加本书编写工作的有陈小兵、蒋劭捷、张胜生。

感谢神州网云(北京)信息技术有限公司对本书的大力支持,并在本书创作过程中提供了大量素材、实验环境和下载空间等。

感谢电子工业出版社对本书的大力支持,尤其是策划编辑潘昕为本书出版所做的大量工作。感谢美编对本书进行的精美设计。

感谢家人,是他们的支持和鼓励使本书得以顺利完成。

借此机会,还要感谢多年来在信息安全领域给我们教诲的所有良师益友,以及众多热心读者对本书的支持。

特别感谢亲朋好友及网络安全界朋友王忠儒、吴海春、于志鹏、姜海(北京丁牛科技)、薛继东(北京丁牛合天)、陈哲(海南神州希望)、蒋文乐、张鑫、计东、韩鹏、王成敏、张超、刘新鹏、姜双林(华创网安)、黄朝文、李诗德、袁佳明、邓北京、胡南英、庞香平、徐焱、刘晨、黄小波、刘漩、邱永永、孙立伟、陈海华、易金云等对本书写作提供的帮助。

本书集中了北京理工大学多位老师和安天 365 团队众多“小伙伴”的智慧。我们的团队是一个低调潜心研究技术的团队。衷心感谢团队成员雨人、imiyoo、cnbird、Mickey、Xnet、fido、指尖的秘密、Leoda、pt007、YIXIN、终隐、fivestars、暖色调の微笑、304、Myles等,是你们给了我力量,给了我信念。

最后,要特别致谢安全圈的好友范渊、孙彬、罗诗尧、杨卿、杨哲、杨文飞、林伟、余弦、王亚智、傅烨文、汤志强、菲哥哥、张健、-273.15℃、风宁、杨永清、毕宁、韩晨、叶猛、刘璇,是你们的鼓励、支持和建议,让本书的内容更加完善。

作者

2020年5月于北京

本周热推:
Mastering Windows Security and HardeningMastering Blockchain软件安全保障体系架构Active Directory Administration CookbookHands-On Enterprise Application Development with Python
上一章目录下一章