本书梳理了作者多年来在网络安全前沿技术研究和关键系统设计中总结的经验与形成的观点。本书首先通过大量实例,解释威胁为何经常防不住;再将网络安全与其他学科类比,证明网络安全是一门科学,安全对抗中有制胜的理论基础;随后,从问题的角度出发,揭示安全之道是业务确定性而非威胁驱动,安全之法是OODA(观察—判断—决策—行动)循环而非防御,安全之术是韧性架构而非威胁防御体系;最后通过安全之用,介绍韧性方案的安全
电子书
编辑推荐
本书不仅介绍各种常见安全问题出现的原理,还有攻击是如何产生的,以及重要的是如何防护各种攻击。
内容简介
本书内容包括注入攻击、XSS与XXE攻击、认证与授权攻击、开放重定向与IFrame框架钓鱼攻击、CSRF/SSRF与远程代码执行攻击、不安全配置与路径遍历攻击、不安全的直接对象引用与应用层逻辑漏洞攻击、客户端绕行与文件上传攻击、弱与不安全的加密算法攻击、暴力破解与HTTP Header攻击、HTTP参数污染\篡改与缓存溢出攻击,还讲解了两种安全测试工具的使用,包括Burp Suite和ZAP。
本书既可作为高等院校计算机类、信息类、工程和管理类专业网络安全相关课程的教材,也可作为软件开发工程师、软件测试工程师、信息安全工程师、信息安全架构师等的参考书或培训指导书。
章节目录
- 封面
- 题名页
- 版权页
- 高等教育网络空间安全规划教材编委会成员名单
- 前言
- 目录
- 第1章 注入攻击实训
- 1.1 知识要点与实验目标
- 1.1.1 SQL注入攻击
- 1.1.2 HTML注入攻击
- 1.1.3 CRLF注入攻击
- 1.1.4 XPath注入攻击
- 1.1.5 Template注入攻击
- 1.1.6 实验目的及需要达到的目标
- 1.2 Testfire 网站有 SQL 注入风险
- 1.3 Testasp 网站有 SQL 注入风险
- 1.4 CTF Micro-CMS v2网站有SQL注入风险
- 1.5 Testfire网站有HTML注入风险
- 1.6 近期注入攻击披露
- 1.7 扩展练习
- 第2章 XSS与XXE攻击实训
- 2.1 知识要点与实验目标
- 2.1.1 XSS攻击定义及产生原理
- 2.1.2 XSS攻击危害及分类
- 2.1.3 XSS漏洞常出现场合
- 2.1.4 XXE攻击定义及产生原理
- 2.1.5 XXE攻击危害
- 2.1.6 实验目的及需要达到的目标
- 2.2 Testfire网站有XSS攻击风险
- 2.3 Webscantest网站存在XSS攻击危险
- 2.4 CTF Micro-CMS v1网站有XSS攻击风险
- 2.5 近期XSS与XXE攻击披露
- 2.6 扩展练习
- 第3章 认证与授权攻击实训
- 3.1 知识要点与实验目标
- 3.1.1 认证与授权定义
- 3.1.2 认证与授权攻击产生原因
- 3.1.3 认证可能出现的问题
- 3.1.4 授权可能出现的问题
- 3.1.5 常见授权类型
- 3.1.6 实验目的及需要达到的目标
- 3.2 Zero网站能获得管理员身份
- 3.3 CTF Postbook用户A能修改用户B数据
- 3.4 CTF Postbook用户A能用他人身份创建数据
- 3.5 近期认证与授权攻击披露
- 3.6 扩展练习
- 第4章 开放重定向与IFrame框架钓鱼攻击实训
- 4.1 知识要点与实验目标
- 4.1.1 开放重定向定义和产生原理
- 4.1.2 开放重定向常见样例与危害
- 4.1.3 IFrame框架钓鱼定义和产生原理
- 4.1.4 钓鱼网站传播途径与IFrame框架分类
- 4.1.5 实验目的及需要达到的目标
- 4.2 Testasp网站未经认证的跳转
- 4.3 Testaspnet网站未经认证的跳转
- 4.4 Testaspnet网站有框架钓鱼风险
- 4.5 Testasp网站有框架钓鱼风险
- 4.6 近期开放重定向与IFrame框架钓鱼攻击披露
- 4.7 扩展练习
- 第5章 CSRF/SSRF与远程代码执行攻击实训
- 5.1 知识要点与实验目标
- 5.1.1 CSRF定义与产生原理
- 5.1.2 SSRF定义与产生原因
- 5.1.3 CSRF/SSRF攻击危害
- 5.1.4 远程代码执行定义与产生原理
- 5.1.5 远程代码执行攻击危害
- 5.1.6 实验目的及需要达到的目标
- 5.2 南大小百合BBS存在CSRF攻击漏洞
- 5.3 新浪weibo存在CSRF攻击漏洞
- 5.4 CTF Cody' s First Blog网站有RCE攻击1
- 5.5 CTF Cody' s First Blog网站有RCE攻击2
- 5.6 近期CSRF/SSRF与远程代码执行攻击披露
- 5.7 扩展练习
- 第6章 不安全配置与路径遍历攻击实训
- 6.1 知识要点与实验目标
- 6.1.1 不安全配置定义与产生原因
- 6.1.2 不安全的配置危害与常见攻击场景
- 6.1.3 路径遍历攻击定义与产生原因
- 6.1.4 路径遍历攻击常见变种
- 6.1.5 实验目的及需要达到的目标
- 6.2 Testphp网站出错页暴露服务器信息
- 6.3 Testphp网站服务器信息泄露
- 6.4 Testphp网站目录列表暴露
- 6.5 言若金叶软件工程师成长之路目录能被遍历
- 6.6 近期不安全配置与路径遍历攻击披露
- 6.7 扩展练习
- 第7章 不安全的直接对象引用与应用层逻辑漏洞攻击实训
- 7.1 知识要点与实验目标
- 7.1.1 不安全的直接对象引用定义
- 7.1.2 不安全的直接对象引用产生原因
- 7.1.3 应用层逻辑漏洞定义与产生原因
- 7.1.4 应用层逻辑漏洞危害与常见场景
- 7.1.5 实验目的及需要达到的目标
- 7.2 Oricity用户注销后还能邀请好友
- 7.3 Testphp网站数据库结构泄露
- 7.4 Oricity网站有内部测试网页
- 7.5 智慧绍兴-积分管理页随机数问题
- 7.6 近期不安全的直接对象引用与应用层逻辑漏洞攻击披露
- 7.7 扩展练习
- 第8章 客户端绕行与文件上传攻击实训
- 8.1 知识要点与实验目标
- 8.1.1 客户端绕行攻击定义
- 8.1.2 客户端绕行攻击的产生原因与危害
- 8.1.3 文件上传攻击定义与产生原因
- 8.1.4 文件上传攻击常见场景
- 8.1.5 实验目的及需要达到的目标
- 8.2 Oricity网站JS前端控制被绕行
- 8.3 Oricity网站轨迹名采用不同验证规则
- 8.4 Oricity网站上传文件大小限制问题
- 8.5 智慧绍兴-电子刻字不限制上传文件类型
- 8.6 近期客户端绕行与文件上传攻击披露
- 8.7 扩展练习
- 第9章 弱与不安全的加密算法攻击实训
- 9.1 知识要点与实验目标
- 9.1.1 数据加密算法简介
- 9.1.2 Base64编码
- 9.1.3 单项散列函数
- 9.1.4 对称加密算法
- 9.1.5 非对称加密
- 9.1.6 数字证书 (权威机构CA)
- 9.1.7 实验目的及需要达到的目标
- 9.2 CTF Postbook删除帖子有不安全加密算法
- 9.3 CTF Postbook用户身份Cookie有不安全加密算法
- 9.4 近期弱与不安全的加密算法攻击披露
- 9.5 扩展练习
- 第10章 暴力破解与HTTP Header攻击实训
- 10.1 知识要点与实验目标
- 10.1.1 暴力破解与定义
- 10.1.2 暴力破解分类
- 10.1.3 HTTP Header安全定义
- 10.1.4 HTTP Header安全常见设置
- 10.1.5 实验目的及需要达到的目标
- 10.2 Testfire网站登录页面有暴力破解风险
- 10.3 CTF Micro-CMS v2网站有暴力破解风险
- 10.4 Testfire网站Cookies没有HttpOnly
- 10.5 Testphp网站密码未加密传输
- 10.6 近期暴力破解与HTTP Header攻击披露
- 10.7 扩展练习
- 第11章 HTTP 参数污染/篡改与缓存溢出攻击实训
- 11.1 知识要点与实验目标
- 11.1.1 HTTP参数污染定义与产生原因
- 11.1.2 HTTP参数篡改定义与产生原因
- 11.1.3 HTTP参数污染/篡改的危害
- 11.1.4 缓存溢出攻击定义与产生原因
- 11.1.5 常见缓存溢出攻击方式
- 11.1.6 实验目的及需要达到的目标
- 11.2 Oricity网站URL篡改暴露代码细节
- 11.3 CTF Postbook网站查看帖子id可以参数污染
- 11.4 CTF Cody' s First Blog网站admin篡改绕行漏洞
- 11.5 近期HTTP 参数污染/篡改与缓存溢出攻击披露
- 11.6 扩展练习
- 第12章 安全集成攻击平台Burp Suite实训
- 12.1 Burp Suite主要功能
- 12.2 安装Burp Suite
- 12.2.1 环境需求
- 12.2.2 安装步骤
- 12.3 工作流程及配置
- 12.3.1 Burp Suite框架与工作流程
- 12.3.2 Burp Suite代理配置
- 12.3.3 浏览器代理配置
- 12.4 Proxy工具
- 12.5 Spider工具
- 12.6 Scanner工具
- 12.6.1 Scanner使用介绍
- 12.6.2 Scanner操作
- 12.6.3 Scanner报告
- 12.7 Intruder工具
- 12.7.1 字典攻击步骤
- 12.7.2 字典攻击结果
- 12.8 Repeater工具
- 12.9 Sequencer工具
- 12.10 Decoder工具
- 12.11 Comparer工具
- 12.12 扩展练习
- 第13章 安全渗透测试工具ZAP实训
- 13.1 ZAP工具的特点
- 13.2 安装ZAP
- 13.2.1 环境需求
- 13.2.2 安装步骤
- 13.3 基本原则
- 13.3.1 配置代理
- 13.3.2 ZAP的整体框架
- 13.3.3 用户界面
- 13.3.4 基本设置
- 13.3.5 工作流程
- 13.4 自动扫描实例
- 13.4.1 扫描配置
- 13.4.2 扫描步骤
- 13.4.3 进一步扫描
- 13.4.4 扫描结果
- 13.5 手动扫描实例
- 13.5.1 扫描配置
- 13.5.2 扫描步骤
- 13.5.3 扫描结果
- 13.6 扫描报告
- 13.6.1 IDE中的警报Alerts
- 13.6.2 生成报告
- 13.6.3 安全扫描报告分析
- 13.7 扩展练习
- 参考文献
- 封底
展开全部
网络空间安全实验教程是2020年由机械工业出版社出版,作者王顺。
温馨提示:
1.本电子书已获得正版授权,由出版社通过知传链发行。
2.该电子书为虚拟物品,付费之后概不接收任何理由退款。电子书内容仅支持在线阅读,不支持下载。
3.您在本站购买的阅读使用权仅限于您本人阅读使用,您不得/不能给任何第三方使用,由此造成的一切相关后果本平台保留向您追偿索赔的权利!版权所有,后果自负!
得书感谢您对《网络空间安全实验教程》关注和支持,如本书内容有不良信息或侵权等情形的,请联系本网站。
电子书
电子书
本书从博弈论基础开始,系统地介绍了博弈论在数据安全中的应用,汇集了近年来基于博弈论研究数据安全的最新成果,重点探讨了秘密共享的可公开验证模型及博弈论分析、数据外包情况下的博弈模型、激励相容机制和抗共谋机制以及隐私保护的博弈分析、基于信息论的理性委托攻防模型,为数据外包更新提出了有效策略。本书观点新颖独到,研究内容均为作者原创科研成果,对制定正确的数据安全策略,提高数据安全保障能力具有重要的参考价值
电子书
本书以HCIP-Security和HCIE-Security认证考试大纲为依托,介绍了防火墙和VPN的关键技术,包括安全策略、NAT、双机热备、虚拟系统、链路负载均衡、服务器负载均衡、L2TPVPN、IPsecVPN和SSLVPN。本书详细介绍了每一种技术的产生背景、技术实现原理、配置方法,旨在帮助读者掌握组建安全通信基础设施的技术,顺利通过认证考试。本书是学习和了解网络安全技术的实用指南,内容全
电子书
《边做边学信息安全:基础知识基本技能与职业导引》一书紧紧围绕着信息安全技术岗位的职业发展,以“信息安全师国家职业标准”为依据,将信息安全知识的学习与职业能力的培养和职业素养的提升相结合。为遵循职业成长过程,全书共分为4个项目、8个任务,主要内容包括初识职场、职业素养与职业道德、信息安全基本认识、操作系统安全基本认识、病毒检测与防御、密码设置与破解防范、信息认证与隐藏与信息安全管理等。本书可作为高职
电子书
软件定义安全由软件定义网络引申而来,实现安全由业务和应用驱动,从而实现复杂网络的安全防护,提升安全防护能力和用户安全体验。可编程对抗防御系统是F5公司提出的一种基于云端的安全服务,可以灵活、便捷地应对各种攻击。《软件定义安全及可编程对抗系统实战》以作者多年的工作经验为基础,详细介绍了软件定义安全以及可编程对抗系统的相关概念和具体应用。本书共分10章,从安全现状、核心问题、防御架构、成功案例等几个方
电子书
本书参考信息安全工程与管理领域的**新成果,结合目前信息安全教学的需要,全面系统的讲述了信息安全工程以及安全项目管理的概念、原理和方法,通过信息安全工程实践和安全项目管理实训,使读者能够理论联系实际,全面掌握信息安全工程与管理的体系结构。
电子书
本书系统介绍网络安全的基本理论和关键技术,共分三部分14章。其中,第1~7章是基础技术,介绍网络安全概述、密码技术、身份认证、访问控制、网络攻击等;第8~13章是中级防护,介绍系统安全、反恶意代码、网络边界安全、网络服务安全、网络信息内容安全等;第14章是进阶,介绍云计算、大数据、物联网、工控网等网络安全。本书旨在为全国各级领导干部提供网络安全方面的理论指南、实践指导和趋势指引,也可以作为从事网络
电子书
本书内容全面覆盖Web安全、移动安全、企业安全、电子取证、云与数据、软件安全、APT等热点安全领域,还涉及国家网络空间战略、新兴威胁、工控安全、车联网安全、信息安全立法等新兴安全领域。此外,本书集趣味性和知识性于一体,内容包含了如网络攻防挑战赛、信息安全训练营、车联网系统破解大赛等项目介绍。
