定 價:55 元
叢書名:“十三五”國家重點出版物出版規(guī)劃項目 高等教育網(wǎng)絡(luò)空間安全規(guī)劃教材
- 作者:王順 著
- 出版時間:2020/11/1
- ISBN:9787111665472
- 出 版 社:機械工業(yè)出版社
- 中圖法分類:TP393.08
- 頁碼:227
- 紙張:膠版紙
- 版次:1
- 開本:16開
《網(wǎng)絡(luò)空間安全實驗教程》內(nèi)容包括注入攻擊、XSS與XXE攻擊�����、認證與授權(quán)攻擊�����、開放重定向與IFrame框架釣魚攻擊����、CSRF/SSRF與遠程代碼執(zhí)行攻擊、不安全配置與路徑遍歷攻擊���、不安全的直接對象引用與應(yīng)用層邏輯漏洞攻擊����、客戶端繞行與文件上傳攻擊、弱與不安全的加密算法攻擊�����、暴力破解與HTTP Header攻擊����、HTTP參數(shù)污染\篡改與緩存溢出攻擊,還講解了兩種安全測試工具的使用���,包括Burp Suite和ZAP����。
《網(wǎng)絡(luò)空間安全實驗教程》既可作為高等院校計算機類���、信息類�、工程和管理類專業(yè)網(wǎng)絡(luò)安全相關(guān)課程的教材���,也可作為軟件開發(fā)工程師�、軟件測試工程師、信息安全工程師���、信息安全架構(gòu)師等的參考書或培訓指導書���。
適讀人群 :高等院校計算機類、信息類����、工程和管理類專業(yè)學生 配套資源:電子課件
本書特色:
本書偏動手實驗與實訓,與之配套的《網(wǎng)絡(luò)空間安全技術(shù)》偏理論與技術(shù)研究���。
本書不僅介紹各種常見安全問題出現(xiàn)的原理�,還有攻擊是如何產(chǎn)生的����,以及*重要的是如何防護各種攻擊�����。
每章都配有攻擊成功案例與復(fù)現(xiàn)方法����,對于這些案例只需要讀者能上網(wǎng)就可以進行實驗�。
為實施國家安全戰(zhàn)略�����,加快網(wǎng)絡(luò)空間安全高層次人才培養(yǎng)��,2015年6月����,“網(wǎng)絡(luò)空間安全”已正式被教育部批準為國家一級學科。
網(wǎng)絡(luò)空間安全的英文名字是Cyberspace Security����。早在1982年,加拿大作家威廉·吉布森在其短篇科幻小說《燃燒的鉻》中創(chuàng)造了 Cyberspace一詞���,意指由計算機創(chuàng)建的虛擬信息空間�����。Cyberspace 在這里強調(diào)計算機愛好者在游戲機前體驗到交感幻覺��,體現(xiàn)了 Cyberspace 不僅是信息的簡單聚合體���,也包含了信息對人類思想認知的影響�。此后�,隨著信息技術(shù)的快速發(fā)展和互聯(lián)網(wǎng)的廣泛應(yīng)用,Cyberspace的概念不斷豐富和演化��。2008 年����,美國第54號總統(tǒng)令對Cyberspace 進行了定義:Cyberspace 是信息環(huán)境中的一個整體域,它由獨立且互相依存的信息基礎(chǔ)設(shè)施和網(wǎng)絡(luò)組成��,包括互聯(lián)網(wǎng)�����、電信網(wǎng)���、計算機系統(tǒng)���、嵌入式處理器和控制器系統(tǒng)等���。
網(wǎng)絡(luò)空間既是人的生存環(huán)境��,也是信息的生存環(huán)境�,因此網(wǎng)絡(luò)空間安全是人和信息對網(wǎng)絡(luò)空間的基本要求。另一方面�����,網(wǎng)絡(luò)空間是所有信息系統(tǒng)的集合��,而且是復(fù)雜的龐大系統(tǒng)���,人在其中與信息相互作用����、相互影響�。因此,網(wǎng)絡(luò)空間安全問題更加綜合�、更加復(fù)雜。
網(wǎng)絡(luò)空間安全涉及面很廣���,如何通過書籍的形式把最想要表達的內(nèi)容與知識呈現(xiàn)給廣大讀者����,并且如何把理論與實踐緊密結(jié)合在一起����,深入淺出���,讓讀者體會到網(wǎng)絡(luò)空間安全實際與我們每個人的生活息息相關(guān)。這是本書所要深入考慮的問題����。
由于作者參與研發(fā)的在線會議系統(tǒng)直接面向國際市場,典型客戶包括世界著名的銀行��、金融機構(gòu)����、IT業(yè)界、通信公司���、政府部門等�,這使得作者早在十多年前就可以接觸國際上最前沿的各類網(wǎng)絡(luò)空間安全攻擊方式��,研究每種攻擊方式會給網(wǎng)站或客戶可能帶來的損害���,以及針對每種攻擊的最佳解決方案���。
由于Web的開放與普及性,導致目前世界網(wǎng)絡(luò)空間70%以上的安全問題都來自于Web安全攻擊��,所以本書的選材更偏向Web安全��。多年來�,作者一直活躍在各種Web安全問題的解決方案上,力圖從系統(tǒng)設(shè)計���、產(chǎn)品代碼����、軟件測試與運營維護多個角度全方位打造安全的產(chǎn)品體系�。雖然在網(wǎng)絡(luò)空間安全領(lǐng)域“破壞總比創(chuàng)建容易”,編者也曾為尋找某類攻擊最佳解決方案碰到過許多挫折����,但在網(wǎng)絡(luò)空間安全求真求實的路上從不忘初心,令人欣慰的是��,這世上“方法總比困難多”��。
本書偏動手實驗與實訓�,與之配套的《網(wǎng)絡(luò)空間安全技術(shù)》偏理論與技術(shù)研究。
《網(wǎng)絡(luò)空間安全技術(shù)》包括三大篇章:1 技術(shù)原理��;2 安全攻擊;3 安全防護����。不僅有各種常見安全問題出現(xiàn)的原理,還有攻擊是如何產(chǎn)生的����,以及最重要的是如何防護各種攻擊。同時有大數(shù)據(jù)����、人工智能方面的安全應(yīng)用,安全法律法規(guī)等�����,有深度防御��、總體防御�、安全開發(fā)生命周期SDL、連續(xù)監(jiān)測與主動防御等��。該書試圖用一個完整的體系和最新的技術(shù)來構(gòu)建安全的網(wǎng)絡(luò)空間體系���,該書官網(wǎng)及配套資料下載地址:http://books.roqisoft.com/isec����。
《網(wǎng)絡(luò)空間安全實驗教程》從國內(nèi)國際排名最高的各種攻擊的定義、產(chǎn)生原理�����、攻擊方式����、可能產(chǎn)生的危害等入手�����,每章都配有攻擊成功案例與復(fù)現(xiàn)方法���,對于這些案例只需要讀者能上網(wǎng)就可以進行實驗�����。
本書每章除有經(jīng)典攻擊成功案例供讀者練習外���,還有目前國內(nèi)外已經(jīng)發(fā)生的同類安全漏洞披露,讓讀者體會到網(wǎng)絡(luò)空間安全實際就在身邊��,同時配有擴展訓練習題,以指導讀者深入地進行學習�。
為保持本書與其配套教材的連貫性,書中所有章節(jié)安排與選材���,以及實驗都由王順完成����。
由于時間倉促��,書中難免存在不妥之處���,請讀者原諒����,并提出寶貴意見��。
第1章注入攻擊實訓
11知識要點與實驗?zāi)繕?
111SQL注入攻擊
112HTML注入攻擊
113CRLF注入攻擊
114XPath注入攻擊
115Template注入攻擊
116實驗?zāi)康募靶枰_到的目標
12Testfire網(wǎng)站有SQL注入風險
13Testasp網(wǎng)站有SQL注入風險
14CTF Micro-CMS v2網(wǎng)站有SQL注入風險
15Testfire網(wǎng)站有HTML注入風險
16近期注入攻擊披露
17擴展練習
第2章XSS與XXE攻擊實訓
21知識要點與實驗?zāi)繕?
211XSS攻擊定義及產(chǎn)生原理
212XSS攻擊危害及分類
213XSS漏洞常出現(xiàn)場合
214XXE攻擊定義及產(chǎn)生原理
215XXE攻擊危害
216實驗?zāi)康募靶枰_到的目標
22Testfire網(wǎng)站有XSS攻擊風險
23Webscantest網(wǎng)站存在XSS攻擊危險
24CTF Micro-CMS v1網(wǎng)站有XSS攻擊風險
25近期XSS與XXE攻擊披露
26擴展練習
第3章認證與授權(quán)攻擊實訓
31知識要點與實驗?zāi)繕?
311認證與授權(quán)定義
312認證與授權(quán)攻擊產(chǎn)生原因
313認證可能出現(xiàn)的問題
314授權(quán)可能出現(xiàn)的問題
315常見授權(quán)類型
316實驗?zāi)康募靶枰_到的目標
32Zero網(wǎng)站能獲得管理員身份
33CTF Postbook用戶A能修改用戶B數(shù)據(jù)
34CTF Postbook用戶A能用他人身份創(chuàng)建數(shù)據(jù)
35近期認證與授權(quán)攻擊披露
36擴展練習
第4章開放重定向與IFrame框架釣魚攻擊實訓
41知識要點與實驗?zāi)繕?
411開放重定向定義和產(chǎn)生原理
412開放重定向常見樣例與危害
413IFrame框架釣魚定義和產(chǎn)生原理
414釣魚網(wǎng)站傳播途徑與IFrame框架分類
415實驗?zāi)康募靶枰_到的目標
42Testasp網(wǎng)站未經(jīng)認證的跳轉(zhuǎn)
43Testaspnet網(wǎng)站未經(jīng)認證的跳轉(zhuǎn)
44Testaspnet網(wǎng)站有框架釣魚風險
45Testasp網(wǎng)站有框架釣魚風險
46近期開放重定向與IFrame框架釣魚攻擊披露
47擴展練習
第5章CSRF/SSRF與遠程代碼執(zhí)行攻擊實訓
51知識要點與實驗?zāi)繕?
511CSRF定義與產(chǎn)生原理
512SSRF定義與產(chǎn)生原因
513CSRF/SSRF攻擊危害
514遠程代碼執(zhí)行定義與產(chǎn)生原理
515遠程代碼執(zhí)行攻擊危害
516實驗?zāi)康募靶枰_到的目標
52南大小百合BBS存在CSRF攻擊漏洞
53新浪weibo存在CSRF攻擊漏洞
54CTF Cody's First Blog網(wǎng)站有RCE攻擊1
55CTF Cody's First Blog網(wǎng)站有RCE攻擊2
56近期CSRF/SSRF與遠程代碼執(zhí)行攻擊披露
57擴展練習
第6章不安全配置與路徑遍歷攻擊實訓
61知識要點與實驗?zāi)繕?
611不安全配置定義與產(chǎn)生原因
612不安全的配置危害與常見攻擊場景
613路徑遍歷攻擊定義與產(chǎn)生原因
614路徑遍歷攻擊常見變種
615實驗?zāi)康募靶枰_到的目標
62Testphp網(wǎng)站出錯頁暴露服務(wù)器信息
63Testphp網(wǎng)站服務(wù)器信息泄露
64Testphp網(wǎng)站目錄列表暴露
65言若金葉軟件工程師成長之路目錄能被遍歷
66近期不安全配置與路徑遍歷攻擊披露
67擴展練習
第7章不安全的直接對象引用與應(yīng)用層邏輯漏洞攻擊實訓
71知識要點與實驗?zāi)繕?
711不安全的直接對象引用定義
712不安全的直接對象引用產(chǎn)生原因
713應(yīng)用層邏輯漏洞定義與產(chǎn)生原因
714應(yīng)用層邏輯漏洞危害與常見場景
715實驗?zāi)康募靶枰_到的目標
72Oricity用戶注銷后還能邀請好友
73Testphp網(wǎng)站數(shù)據(jù)庫結(jié)構(gòu)泄露
74Oricity網(wǎng)站有內(nèi)部測試網(wǎng)頁
75智慧紹興-積分管理頁隨機數(shù)問題
76近期不安全的直接對象引用與應(yīng)用層邏輯漏洞攻擊披露
77擴展練習
第8章客戶端繞行與文件上傳攻擊實訓
81知識要點與實驗?zāi)繕?
811客戶端繞行攻擊定義
812客戶端繞行攻擊的產(chǎn)生原因與危害
813文件上傳攻擊定義與產(chǎn)生原因
814文件上傳攻擊常見場景
815實驗?zāi)康募靶枰_到的目標
82Oricity網(wǎng)站JS前端控制被繞行
83Oricity網(wǎng)站軌跡名采用不同驗證規(guī)則
84Oricity網(wǎng)站上傳文件大小限制問題
85智慧紹興-電子刻字不限制上傳文件類型
86近期客戶端繞行與文件上傳攻擊披露
87擴展練習
第9章弱與不安全的加密算法攻擊實訓
91知識要點與實驗?zāi)繕?
911數(shù)據(jù)加密算法簡介
912Base64編碼
913單項散列函數(shù)
914對稱加密算法
915非對稱加密
916數(shù)字證書(權(quán)威機構(gòu)CA)
917實驗?zāi)康募靶枰_到的目標
92CTF Postbook刪除帖子有不安全加密算法
93CTF Postbook用戶身份Cookie有不安全加密算法
94近期弱與不安全的加密算法攻擊披露
95擴展練習
第10章暴力破解與HTTP Header攻擊實訓
101知識要點與實驗?zāi)繕?
1011暴力破解與定義
1012暴力破解分類
1013HTTP Header安全定義
1014HTTP Header安全常見設(shè)置
1015實驗?zāi)康募靶枰_到的目標
102Testfire網(wǎng)站登錄頁面有暴力破解風險
103CTF Micro-CMS v2網(wǎng)站有暴力破解風險
104Testfire網(wǎng)站Cookies沒有HttpOnly
105Testphp網(wǎng)站密碼未加密傳輸
106近期暴力破解與HTTP Header攻擊披露
107擴展練習
第11章HTTP 參數(shù)污染/篡改與緩存溢出攻擊實訓
111知識要點與實驗?zāi)繕?
書單推薦
