定 價:55 元
叢書名:“十三五”國家重點出版物出版規(guī)劃項目 高等教育網(wǎng)絡(luò)空間安全規(guī)劃教材
- 作者:王順 著
- 出版時間:2020/11/1
- ISBN:9787111665472
- 出 版 社:機械工業(yè)出版社
- 中圖法分類:TP393.08
- 頁碼:227
- 紙張:膠版紙
- 版次:1
- 開本:16開
《網(wǎng)絡(luò)空間安全實驗教程》內(nèi)容包括注入攻擊、XSS與XXE攻擊、認(rèn)證與授權(quán)攻擊、開放重定向與IFrame框架釣魚攻擊、CSRF/SSRF與遠(yuǎn)程代碼執(zhí)行攻擊、不安全配置與路徑遍歷攻擊、不安全的直接對象引用與應(yīng)用層邏輯漏洞攻擊、客戶端繞行與文件上傳攻擊、弱與不安全的加密算法攻擊、暴力破解與HTTP Header攻擊、HTTP參數(shù)污染\篡改與緩存溢出攻擊,還講解了兩種安全測試工具的使用,包括Burp Suite和ZAP。
《網(wǎng)絡(luò)空間安全實驗教程》既可作為高等院校計算機類、信息類、工程和管理類專業(yè)網(wǎng)絡(luò)安全相關(guān)課程的教材,也可作為軟件開發(fā)工程師、軟件測試工程師、信息安全工程師、信息安全架構(gòu)師等的參考書或培訓(xùn)指導(dǎo)書。
適讀人群 :高等院校計算機類、信息類、工程和管理類專業(yè)學(xué)生 配套資源:電子課件
本書特色:
本書偏動手實驗與實訓(xùn),與之配套的《網(wǎng)絡(luò)空間安全技術(shù)》偏理論與技術(shù)研究。
本書不僅介紹各種常見安全問題出現(xiàn)的原理,還有攻擊是如何產(chǎn)生的,以及*重要的是如何防護(hù)各種攻擊。
每章都配有攻擊成功案例與復(fù)現(xiàn)方法,對于這些案例只需要讀者能上網(wǎng)就可以進(jìn)行實驗。
為實施國家安全戰(zhàn)略,加快網(wǎng)絡(luò)空間安全高層次人才培養(yǎng),2015年6月,“網(wǎng)絡(luò)空間安全”已正式被教育部批準(zhǔn)為國家一級學(xué)科。
網(wǎng)絡(luò)空間安全的英文名字是Cyberspace Security。早在1982年,加拿大作家威廉·吉布森在其短篇科幻小說《燃燒的鉻》中創(chuàng)造了 Cyberspace一詞,意指由計算機創(chuàng)建的虛擬信息空間。Cyberspace 在這里強調(diào)計算機愛好者在游戲機前體驗到交感幻覺,體現(xiàn)了 Cyberspace 不僅是信息的簡單聚合體,也包含了信息對人類思想認(rèn)知的影響。此后,隨著信息技術(shù)的快速發(fā)展和互聯(lián)網(wǎng)的廣泛應(yīng)用,Cyberspace的概念不斷豐富和演化。2008 年,美國第54號總統(tǒng)令對Cyberspace 進(jìn)行了定義:Cyberspace 是信息環(huán)境中的一個整體域,它由獨立且互相依存的信息基礎(chǔ)設(shè)施和網(wǎng)絡(luò)組成,包括互聯(lián)網(wǎng)、電信網(wǎng)、計算機系統(tǒng)、嵌入式處理器和控制器系統(tǒng)等。
網(wǎng)絡(luò)空間既是人的生存環(huán)境,也是信息的生存環(huán)境,因此網(wǎng)絡(luò)空間安全是人和信息對網(wǎng)絡(luò)空間的基本要求。另一方面,網(wǎng)絡(luò)空間是所有信息系統(tǒng)的集合,而且是復(fù)雜的龐大系統(tǒng),人在其中與信息相互作用、相互影響。因此,網(wǎng)絡(luò)空間安全問題更加綜合、更加復(fù)雜。
網(wǎng)絡(luò)空間安全涉及面很廣,如何通過書籍的形式把最想要表達(dá)的內(nèi)容與知識呈現(xiàn)給廣大讀者,并且如何把理論與實踐緊密結(jié)合在一起,深入淺出,讓讀者體會到網(wǎng)絡(luò)空間安全實際與我們每個人的生活息息相關(guān)。這是本書所要深入考慮的問題。
由于作者參與研發(fā)的在線會議系統(tǒng)直接面向國際市場,典型客戶包括世界著名的銀行、金融機構(gòu)、IT業(yè)界、通信公司、政府部門等,這使得作者早在十多年前就可以接觸國際上最前沿的各類網(wǎng)絡(luò)空間安全攻擊方式,研究每種攻擊方式會給網(wǎng)站或客戶可能帶來的損害,以及針對每種攻擊的最佳解決方案。
由于Web的開放與普及性,導(dǎo)致目前世界網(wǎng)絡(luò)空間70%以上的安全問題都來自于Web安全攻擊,所以本書的選材更偏向Web安全。多年來,作者一直活躍在各種Web安全問題的解決方案上,力圖從系統(tǒng)設(shè)計、產(chǎn)品代碼、軟件測試與運營維護(hù)多個角度全方位打造安全的產(chǎn)品體系。雖然在網(wǎng)絡(luò)空間安全領(lǐng)域“破壞總比創(chuàng)建容易”,編者也曾為尋找某類攻擊最佳解決方案碰到過許多挫折,但在網(wǎng)絡(luò)空間安全求真求實的路上從不忘初心,令人欣慰的是,這世上“方法總比困難多”。
本書偏動手實驗與實訓(xùn),與之配套的《網(wǎng)絡(luò)空間安全技術(shù)》偏理論與技術(shù)研究。
《網(wǎng)絡(luò)空間安全技術(shù)》包括三大篇章:1 技術(shù)原理;2 安全攻擊;3 安全防護(hù)。不僅有各種常見安全問題出現(xiàn)的原理,還有攻擊是如何產(chǎn)生的,以及最重要的是如何防護(hù)各種攻擊。同時有大數(shù)據(jù)、人工智能方面的安全應(yīng)用,安全法律法規(guī)等,有深度防御、總體防御、安全開發(fā)生命周期SDL、連續(xù)監(jiān)測與主動防御等。該書試圖用一個完整的體系和最新的技術(shù)來構(gòu)建安全的網(wǎng)絡(luò)空間體系,該書官網(wǎng)及配套資料下載地址:http://books.roqisoft.com/isec。
《網(wǎng)絡(luò)空間安全實驗教程》從國內(nèi)國際排名最高的各種攻擊的定義、產(chǎn)生原理、攻擊方式、可能產(chǎn)生的危害等入手,每章都配有攻擊成功案例與復(fù)現(xiàn)方法,對于這些案例只需要讀者能上網(wǎng)就可以進(jìn)行實驗。
本書每章除有經(jīng)典攻擊成功案例供讀者練習(xí)外,還有目前國內(nèi)外已經(jīng)發(fā)生的同類安全漏洞披露,讓讀者體會到網(wǎng)絡(luò)空間安全實際就在身邊,同時配有擴展訓(xùn)練習(xí)題,以指導(dǎo)讀者深入地進(jìn)行學(xué)習(xí)。
為保持本書與其配套教材的連貫性,書中所有章節(jié)安排與選材,以及實驗都由王順完成。
由于時間倉促,書中難免存在不妥之處,請讀者原諒,并提出寶貴意見。
第1章注入攻擊實訓(xùn)
11知識要點與實驗?zāi)繕?biāo)
111SQL注入攻擊
112HTML注入攻擊
113CRLF注入攻擊
114XPath注入攻擊
115Template注入攻擊
116實驗?zāi)康募靶枰_(dá)到的目標(biāo)
12Testfire網(wǎng)站有SQL注入風(fēng)險
13Testasp網(wǎng)站有SQL注入風(fēng)險
14CTF Micro-CMS v2網(wǎng)站有SQL注入風(fēng)險
15Testfire網(wǎng)站有HTML注入風(fēng)險
16近期注入攻擊披露
17擴展練習(xí)
第2章XSS與XXE攻擊實訓(xùn)
21知識要點與實驗?zāi)繕?biāo)
211XSS攻擊定義及產(chǎn)生原理
212XSS攻擊危害及分類
213XSS漏洞常出現(xiàn)場合
214XXE攻擊定義及產(chǎn)生原理
215XXE攻擊危害
216實驗?zāi)康募靶枰_(dá)到的目標(biāo)
22Testfire網(wǎng)站有XSS攻擊風(fēng)險
23Webscantest網(wǎng)站存在XSS攻擊危險
24CTF Micro-CMS v1網(wǎng)站有XSS攻擊風(fēng)險
25近期XSS與XXE攻擊披露
26擴展練習(xí)
第3章認(rèn)證與授權(quán)攻擊實訓(xùn)
31知識要點與實驗?zāi)繕?biāo)
311認(rèn)證與授權(quán)定義
312認(rèn)證與授權(quán)攻擊產(chǎn)生原因
313認(rèn)證可能出現(xiàn)的問題
314授權(quán)可能出現(xiàn)的問題
315常見授權(quán)類型
316實驗?zāi)康募靶枰_(dá)到的目標(biāo)
32Zero網(wǎng)站能獲得管理員身份
33CTF Postbook用戶A能修改用戶B數(shù)據(jù)
34CTF Postbook用戶A能用他人身份創(chuàng)建數(shù)據(jù)
35近期認(rèn)證與授權(quán)攻擊披露
36擴展練習(xí)
第4章開放重定向與IFrame框架釣魚攻擊實訓(xùn)
41知識要點與實驗?zāi)繕?biāo)
411開放重定向定義和產(chǎn)生原理
412開放重定向常見樣例與危害
413IFrame框架釣魚定義和產(chǎn)生原理
414釣魚網(wǎng)站傳播途徑與IFrame框架分類
415實驗?zāi)康募靶枰_(dá)到的目標(biāo)
42Testasp網(wǎng)站未經(jīng)認(rèn)證的跳轉(zhuǎn)
43Testaspnet網(wǎng)站未經(jīng)認(rèn)證的跳轉(zhuǎn)
44Testaspnet網(wǎng)站有框架釣魚風(fēng)險
45Testasp網(wǎng)站有框架釣魚風(fēng)險
46近期開放重定向與IFrame框架釣魚攻擊披露
47擴展練習(xí)
第5章CSRF/SSRF與遠(yuǎn)程代碼執(zhí)行攻擊實訓(xùn)
51知識要點與實驗?zāi)繕?biāo)
511CSRF定義與產(chǎn)生原理
512SSRF定義與產(chǎn)生原因
513CSRF/SSRF攻擊危害
514遠(yuǎn)程代碼執(zhí)行定義與產(chǎn)生原理
515遠(yuǎn)程代碼執(zhí)行攻擊危害
516實驗?zāi)康募靶枰_(dá)到的目標(biāo)
52南大小百合BBS存在CSRF攻擊漏洞
53新浪weibo存在CSRF攻擊漏洞
54CTF Cody's First Blog網(wǎng)站有RCE攻擊1
55CTF Cody's First Blog網(wǎng)站有RCE攻擊2
56近期CSRF/SSRF與遠(yuǎn)程代碼執(zhí)行攻擊披露
57擴展練習(xí)
第6章不安全配置與路徑遍歷攻擊實訓(xùn)
61知識要點與實驗?zāi)繕?biāo)
611不安全配置定義與產(chǎn)生原因
612不安全的配置危害與常見攻擊場景
613路徑遍歷攻擊定義與產(chǎn)生原因
614路徑遍歷攻擊常見變種
615實驗?zāi)康募靶枰_(dá)到的目標(biāo)
62Testphp網(wǎng)站出錯頁暴露服務(wù)器信息
63Testphp網(wǎng)站服務(wù)器信息泄露
64Testphp網(wǎng)站目錄列表暴露
65言若金葉軟件工程師成長之路目錄能被遍歷
66近期不安全配置與路徑遍歷攻擊披露
67擴展練習(xí)
第7章不安全的直接對象引用與應(yīng)用層邏輯漏洞攻擊實訓(xùn)
71知識要點與實驗?zāi)繕?biāo)
711不安全的直接對象引用定義
712不安全的直接對象引用產(chǎn)生原因
713應(yīng)用層邏輯漏洞定義與產(chǎn)生原因
714應(yīng)用層邏輯漏洞危害與常見場景
715實驗?zāi)康募靶枰_(dá)到的目標(biāo)
72Oricity用戶注銷后還能邀請好友
73Testphp網(wǎng)站數(shù)據(jù)庫結(jié)構(gòu)泄露
74Oricity網(wǎng)站有內(nèi)部測試網(wǎng)頁
75智慧紹興-積分管理頁隨機數(shù)問題
76近期不安全的直接對象引用與應(yīng)用層邏輯漏洞攻擊披露
77擴展練習(xí)
第8章客戶端繞行與文件上傳攻擊實訓(xùn)
81知識要點與實驗?zāi)繕?biāo)
811客戶端繞行攻擊定義
812客戶端繞行攻擊的產(chǎn)生原因與危害
813文件上傳攻擊定義與產(chǎn)生原因
814文件上傳攻擊常見場景
815實驗?zāi)康募靶枰_(dá)到的目標(biāo)
82Oricity網(wǎng)站JS前端控制被繞行
83Oricity網(wǎng)站軌跡名采用不同驗證規(guī)則
84Oricity網(wǎng)站上傳文件大小限制問題
85智慧紹興-電子刻字不限制上傳文件類型
86近期客戶端繞行與文件上傳攻擊披露
87擴展練習(xí)
第9章弱與不安全的加密算法攻擊實訓(xùn)
91知識要點與實驗?zāi)繕?biāo)
911數(shù)據(jù)加密算法簡介
912Base64編碼
913單項散列函數(shù)
914對稱加密算法
915非對稱加密
916數(shù)字證書(權(quán)威機構(gòu)CA)
917實驗?zāi)康募靶枰_(dá)到的目標(biāo)
92CTF Postbook刪除帖子有不安全加密算法
93CTF Postbook用戶身份Cookie有不安全加密算法
94近期弱與不安全的加密算法攻擊披露
95擴展練習(xí)
第10章暴力破解與HTTP Header攻擊實訓(xùn)
101知識要點與實驗?zāi)繕?biāo)
1011暴力破解與定義
1012暴力破解分類
1013HTTP Header安全定義
1014HTTP Header安全常見設(shè)置
1015實驗?zāi)康募靶枰_(dá)到的目標(biāo)
102Testfire網(wǎng)站登錄頁面有暴力破解風(fēng)險
103CTF Micro-CMS v2網(wǎng)站有暴力破解風(fēng)險
104Testfire網(wǎng)站Cookies沒有HttpOnly
105Testphp網(wǎng)站密碼未加密傳輸
106近期暴力破解與HTTP Header攻擊披露
107擴展練習(xí)
第11章HTTP 參數(shù)污染/篡改與緩存溢出攻擊實訓(xùn)
111知識要點與實驗?zāi)繕?biāo)