本书梳理了作者多年来在网络安全前沿技术研究和关键系统设计中总结的经验与形成的观点。本书首先通过大量实例,解释威胁为何经常防不住;再将网络安全与其他学科类比,证明网络安全是一门科学,安全对抗中有制胜的理论基础;随后,从问题的角度出发,揭示安全之道是业务确定性而非威胁驱动,安全之法是OODA(观察—判断—决策—行动)循环而非防御,安全之术是韧性架构而非威胁防御体系;最后通过安全之用,介绍韧性方案的安全
电子书
编辑推荐
本书不仅介绍各种常见安全问题出现的原理,还有攻击是如何产生的,以及重要的是如何防护各种攻击。
内容简介
本书内容包括注入攻击、XSS与XXE攻击、认证与授权攻击、开放重定向与IFrame框架钓鱼攻击、CSRF/SSRF与远程代码执行攻击、不安全配置与路径遍历攻击、不安全的直接对象引用与应用层逻辑漏洞攻击、客户端绕行与文件上传攻击、弱与不安全的加密算法攻击、暴力破解与HTTP Header攻击、HTTP参数污染\篡改与缓存溢出攻击,还讲解了两种安全测试工具的使用,包括Burp Suite和ZAP。
本书既可作为高等院校计算机类、信息类、工程和管理类专业网络安全相关课程的教材,也可作为软件开发工程师、软件测试工程师、信息安全工程师、信息安全架构师等的参考书或培训指导书。
章节目录
- 封面
- 题名页
- 版权页
- 高等教育网络空间安全规划教材编委会成员名单
- 前言
- 目录
- 第1章 注入攻击实训
- 1.1 知识要点与实验目标
- 1.1.1 SQL注入攻击
- 1.1.2 HTML注入攻击
- 1.1.3 CRLF注入攻击
- 1.1.4 XPath注入攻击
- 1.1.5 Template注入攻击
- 1.1.6 实验目的及需要达到的目标
- 1.2 Testfire 网站有 SQL 注入风险
- 1.3 Testasp 网站有 SQL 注入风险
- 1.4 CTF Micro-CMS v2网站有SQL注入风险
- 1.5 Testfire网站有HTML注入风险
- 1.6 近期注入攻击披露
- 1.7 扩展练习
- 第2章 XSS与XXE攻击实训
- 2.1 知识要点与实验目标
- 2.1.1 XSS攻击定义及产生原理
- 2.1.2 XSS攻击危害及分类
- 2.1.3 XSS漏洞常出现场合
- 2.1.4 XXE攻击定义及产生原理
- 2.1.5 XXE攻击危害
- 2.1.6 实验目的及需要达到的目标
- 2.2 Testfire网站有XSS攻击风险
- 2.3 Webscantest网站存在XSS攻击危险
- 2.4 CTF Micro-CMS v1网站有XSS攻击风险
- 2.5 近期XSS与XXE攻击披露
- 2.6 扩展练习
- 第3章 认证与授权攻击实训
- 3.1 知识要点与实验目标
- 3.1.1 认证与授权定义
- 3.1.2 认证与授权攻击产生原因
- 3.1.3 认证可能出现的问题
- 3.1.4 授权可能出现的问题
- 3.1.5 常见授权类型
- 3.1.6 实验目的及需要达到的目标
- 3.2 Zero网站能获得管理员身份
- 3.3 CTF Postbook用户A能修改用户B数据
- 3.4 CTF Postbook用户A能用他人身份创建数据
- 3.5 近期认证与授权攻击披露
- 3.6 扩展练习
- 第4章 开放重定向与IFrame框架钓鱼攻击实训
- 4.1 知识要点与实验目标
- 4.1.1 开放重定向定义和产生原理
- 4.1.2 开放重定向常见样例与危害
- 4.1.3 IFrame框架钓鱼定义和产生原理
- 4.1.4 钓鱼网站传播途径与IFrame框架分类
- 4.1.5 实验目的及需要达到的目标
- 4.2 Testasp网站未经认证的跳转
- 4.3 Testaspnet网站未经认证的跳转
- 4.4 Testaspnet网站有框架钓鱼风险
- 4.5 Testasp网站有框架钓鱼风险
- 4.6 近期开放重定向与IFrame框架钓鱼攻击披露
- 4.7 扩展练习
- 第5章 CSRF/SSRF与远程代码执行攻击实训
- 5.1 知识要点与实验目标
- 5.1.1 CSRF定义与产生原理
- 5.1.2 SSRF定义与产生原因
- 5.1.3 CSRF/SSRF攻击危害
- 5.1.4 远程代码执行定义与产生原理
- 5.1.5 远程代码执行攻击危害
- 5.1.6 实验目的及需要达到的目标
- 5.2 南大小百合BBS存在CSRF攻击漏洞
- 5.3 新浪weibo存在CSRF攻击漏洞
- 5.4 CTF Cody' s First Blog网站有RCE攻击1
- 5.5 CTF Cody' s First Blog网站有RCE攻击2
- 5.6 近期CSRF/SSRF与远程代码执行攻击披露
- 5.7 扩展练习
- 第6章 不安全配置与路径遍历攻击实训
- 6.1 知识要点与实验目标
- 6.1.1 不安全配置定义与产生原因
- 6.1.2 不安全的配置危害与常见攻击场景
- 6.1.3 路径遍历攻击定义与产生原因
- 6.1.4 路径遍历攻击常见变种
- 6.1.5 实验目的及需要达到的目标
- 6.2 Testphp网站出错页暴露服务器信息
- 6.3 Testphp网站服务器信息泄露
- 6.4 Testphp网站目录列表暴露
- 6.5 言若金叶软件工程师成长之路目录能被遍历
- 6.6 近期不安全配置与路径遍历攻击披露
- 6.7 扩展练习
- 第7章 不安全的直接对象引用与应用层逻辑漏洞攻击实训
- 7.1 知识要点与实验目标
- 7.1.1 不安全的直接对象引用定义
- 7.1.2 不安全的直接对象引用产生原因
- 7.1.3 应用层逻辑漏洞定义与产生原因
- 7.1.4 应用层逻辑漏洞危害与常见场景
- 7.1.5 实验目的及需要达到的目标
- 7.2 Oricity用户注销后还能邀请好友
- 7.3 Testphp网站数据库结构泄露
- 7.4 Oricity网站有内部测试网页
- 7.5 智慧绍兴-积分管理页随机数问题
- 7.6 近期不安全的直接对象引用与应用层逻辑漏洞攻击披露
- 7.7 扩展练习
- 第8章 客户端绕行与文件上传攻击实训
- 8.1 知识要点与实验目标
- 8.1.1 客户端绕行攻击定义
- 8.1.2 客户端绕行攻击的产生原因与危害
- 8.1.3 文件上传攻击定义与产生原因
- 8.1.4 文件上传攻击常见场景
- 8.1.5 实验目的及需要达到的目标
- 8.2 Oricity网站JS前端控制被绕行
- 8.3 Oricity网站轨迹名采用不同验证规则
- 8.4 Oricity网站上传文件大小限制问题
- 8.5 智慧绍兴-电子刻字不限制上传文件类型
- 8.6 近期客户端绕行与文件上传攻击披露
- 8.7 扩展练习
- 第9章 弱与不安全的加密算法攻击实训
- 9.1 知识要点与实验目标
- 9.1.1 数据加密算法简介
- 9.1.2 Base64编码
- 9.1.3 单项散列函数
- 9.1.4 对称加密算法
- 9.1.5 非对称加密
- 9.1.6 数字证书 (权威机构CA)
- 9.1.7 实验目的及需要达到的目标
- 9.2 CTF Postbook删除帖子有不安全加密算法
- 9.3 CTF Postbook用户身份Cookie有不安全加密算法
- 9.4 近期弱与不安全的加密算法攻击披露
- 9.5 扩展练习
- 第10章 暴力破解与HTTP Header攻击实训
- 10.1 知识要点与实验目标
- 10.1.1 暴力破解与定义
- 10.1.2 暴力破解分类
- 10.1.3 HTTP Header安全定义
- 10.1.4 HTTP Header安全常见设置
- 10.1.5 实验目的及需要达到的目标
- 10.2 Testfire网站登录页面有暴力破解风险
- 10.3 CTF Micro-CMS v2网站有暴力破解风险
- 10.4 Testfire网站Cookies没有HttpOnly
- 10.5 Testphp网站密码未加密传输
- 10.6 近期暴力破解与HTTP Header攻击披露
- 10.7 扩展练习
- 第11章 HTTP 参数污染/篡改与缓存溢出攻击实训
- 11.1 知识要点与实验目标
- 11.1.1 HTTP参数污染定义与产生原因
- 11.1.2 HTTP参数篡改定义与产生原因
- 11.1.3 HTTP参数污染/篡改的危害
- 11.1.4 缓存溢出攻击定义与产生原因
- 11.1.5 常见缓存溢出攻击方式
- 11.1.6 实验目的及需要达到的目标
- 11.2 Oricity网站URL篡改暴露代码细节
- 11.3 CTF Postbook网站查看帖子id可以参数污染
- 11.4 CTF Cody' s First Blog网站admin篡改绕行漏洞
- 11.5 近期HTTP 参数污染/篡改与缓存溢出攻击披露
- 11.6 扩展练习
- 第12章 安全集成攻击平台Burp Suite实训
- 12.1 Burp Suite主要功能
- 12.2 安装Burp Suite
- 12.2.1 环境需求
- 12.2.2 安装步骤
- 12.3 工作流程及配置
- 12.3.1 Burp Suite框架与工作流程
- 12.3.2 Burp Suite代理配置
- 12.3.3 浏览器代理配置
- 12.4 Proxy工具
- 12.5 Spider工具
- 12.6 Scanner工具
- 12.6.1 Scanner使用介绍
- 12.6.2 Scanner操作
- 12.6.3 Scanner报告
- 12.7 Intruder工具
- 12.7.1 字典攻击步骤
- 12.7.2 字典攻击结果
- 12.8 Repeater工具
- 12.9 Sequencer工具
- 12.10 Decoder工具
- 12.11 Comparer工具
- 12.12 扩展练习
- 第13章 安全渗透测试工具ZAP实训
- 13.1 ZAP工具的特点
- 13.2 安装ZAP
- 13.2.1 环境需求
- 13.2.2 安装步骤
- 13.3 基本原则
- 13.3.1 配置代理
- 13.3.2 ZAP的整体框架
- 13.3.3 用户界面
- 13.3.4 基本设置
- 13.3.5 工作流程
- 13.4 自动扫描实例
- 13.4.1 扫描配置
- 13.4.2 扫描步骤
- 13.4.3 进一步扫描
- 13.4.4 扫描结果
- 13.5 手动扫描实例
- 13.5.1 扫描配置
- 13.5.2 扫描步骤
- 13.5.3 扫描结果
- 13.6 扫描报告
- 13.6.1 IDE中的警报Alerts
- 13.6.2 生成报告
- 13.6.3 安全扫描报告分析
- 13.7 扩展练习
- 参考文献
- 封底
展开全部
网络空间安全实验教程是2020年由机械工业出版社出版,作者王顺。
温馨提示:
1.本电子书已获得正版授权,由出版社通过知传链发行。
2.该电子书为虚拟物品,付费之后概不接收任何理由退款。电子书内容仅支持在线阅读,不支持下载。
3.您在本站购买的阅读使用权仅限于您本人阅读使用,您不得/不能给任何第三方使用,由此造成的一切相关后果本平台保留向您追偿索赔的权利!版权所有,后果自负!
得书感谢您对《网络空间安全实验教程》关注和支持,如本书内容有不良信息或侵权等情形的,请联系本网站。
电子书
电子书
本书从博弈论基础开始,系统地介绍了博弈论在数据安全中的应用,汇集了近年来基于博弈论研究数据安全的最新成果,重点探讨了秘密共享的可公开验证模型及博弈论分析、数据外包情况下的博弈模型、激励相容机制和抗共谋机制以及隐私保护的博弈分析、基于信息论的理性委托攻防模型,为数据外包更新提出了有效策略。本书观点新颖独到,研究内容均为作者原创科研成果,对制定正确的数据安全策略,提高数据安全保障能力具有重要的参考价值
电子书
本书以HCIP-Security和HCIE-Security认证考试大纲为依托,介绍了防火墙和VPN的关键技术,包括安全策略、NAT、双机热备、虚拟系统、链路负载均衡、服务器负载均衡、L2TPVPN、IPsecVPN和SSLVPN。本书详细介绍了每一种技术的产生背景、技术实现原理、配置方法,旨在帮助读者掌握组建安全通信基础设施的技术,顺利通过认证考试。本书是学习和了解网络安全技术的实用指南,内容全
电子书
OSSIM(OpenSourceSecurityInformationManagement,开源安全信息管理)系统是一个非常流行和完整的开源安全架构体系,通过将开源产品进行集成,从而提供一种能实现安全监控功能的基础平台。《开源安全运维平台OSSIM疑难解析:提高篇》精选了作者在OSSIM日常运维操作中遇到的许多疑难杂症,并给出了相应的解决方案。本书共分为12章,内容包括入侵检测Snort与Suri
电子书
资深安全专家图解网络安全防御技术原理与应用实践。
电子书
本书围绕网络安全的定义、标准、模型,以及常见的网络安全威胁进行系统介绍和分析,从网络管理与安全防护入手,详细讲述和分析入侵检测、数据加密、身份验证、防火墙,以及无线网安全等多方面的理论与技术,同时结合现场工程应用,将网络安全管理技术与主流系统软硬件结合,强调对实践能力的培养。本书适合作为高职高专院校计算机网络技术、信息安全技术、计算机应用技术等专业的教材,也可作为广大网络管理人员及技术人员学习网络
电子书
《Android安全技术揭秘与防范》从分析Android系统的运行原理、框架和主要模块入手,着重分析了Android系统存在的安全技术问题,以及这些技术在移动设备上产生的安全问题,帮助读者了解如何静态分析Android软件,如何动态调试Android软件,如何开发出安全的App,如何使自己的系统不被盗版,以及Android漏洞、逆向工程和反汇编等核心技术。《Android安全技术揭秘与防范》几乎每
电子书
本书根据高职院校的教学特点和培养目标,全面介绍了计算机网络安全的基本框架、基本理论,以及计算机网络安全方面的管理、配置和维护。全书共7章,主要内容包括计算机网络安全概述、黑客常用的系统攻击方法、计算机病毒、数据加密技术、防火墙技术、WindowsServer的安全及Web应用安全。本书注重实用,以实验为依托,将实验内容融合在课程内容中,使理论紧密联系实际。本书可作为高职高专计算机及相关专业的教材,
