这是一部安全行业公认的域渗透标准著作,从协议原理、基础知识、工具使用、渗透手法、漏洞利用、权限维持6个维度全面讲解域渗透攻防技术与技巧,不仅能帮助读者深入了解域内攻防的本质,而且提供大量的实践案例。是深信服攻防渗透专家多年的一线域内攻防实战经验,获得阿里、腾讯、、小米、美团、金山、360、奇安信、长亭、绿盟、启明星辰等企业和机构的30余位专家高度评价并推荐。本书具体包含如下6个方面的内容:(1)协议原理详细剖析了NTLM协议、Kerberos协议、LDAP三种协议的原理,域渗透中很多漏洞都是围绕这3个协议展开的。(2)基础知识全面介绍了工作组和域、域信任、域搭建与配置、本地账户和活动目录账户、本地组和域组、访问控制列表等各种域的基础知识,帮助读者打好坚实基础。(3)工具使用详细地讲解了BloodHound、Adfind、Admod、Rubeus
本书从大数据基本概念开始引入,简介大数据目前的技术应用以及技术流程,从而引出大数据时代下的数据便利性、价值以及隐患;列举国内外数据安全事件案例,引出数据治理、数据安全治理概念,介绍国内外数据安全治理常用思路以及多个方法论,并以国内GB/T 37988-2019即DSMM数据安全能力成熟度为实践思路选型,逐个介绍DSMM中三级(充分定义级)定义下各过程域对应组织建设、人员能力、制度流程以及技术工具相关要求,在此之上基于美创科技多年数据安全治理实践经验,对上述各过程域逐一进行解读以及提供实践指南操作建议,并总结归纳DSMM全部要求,整合生成基于数据安全风险评估的量化观察指标和建议实践目标,为组织后续基于DSMM相关实践和自评提供实践指南和参考依据。
本书以Web漏洞基本原理为切入点,将相似的漏洞归类,由浅入深、逐一陈述。本书共11章,分别为Web安全概述、计算机网络基础知识、测试工具与靶场环境搭建、传统后端漏洞(上、下)、前端漏洞(上、下)、新后端漏洞(上、下)、逻辑漏洞(上、下),每章以不同的漏洞类型为小节内容,尽可能涵盖已发现和公开的所有重大Web安全漏洞类型。本书配有53个漏洞实战案例,并附赠所有漏洞实战案例的完整源码,方便读者学习,获取方式见封底二维码。 本书可作为代码审计、渗透测试、应急响应、基线核查、红蓝对抗、防御加固等相关工作从业人员的参考资料,亦可作为企业安全管理者开展企业安全建设的技术指南,还可作为大中专院校及Web安全培训班的Web安全培训教材。
内容简介 本书由国内老牌CTF战队FlappyPig撰写,战队成员曾多次荣获XCTF国际联赛冠军、TCTF/0CTF冠军、WCTF世界黑客大师挑战赛季军,多次入围Defcon全球总决赛,具有丰富的实战经验。 本书围绕CTF竞赛需要的安全技术、解题方法和竞赛技巧3个维度展开,旨在通过作者扎实的技术功底和丰富的竞赛经验,引领对CTF竞赛感兴趣的读者快速入门。书中依据CTF竞赛的特点,分别从Web、Reverse、PWN、Crypto、APK、IoT这六个方面系统地对CTF竞赛的知识点、模式、技巧进行了深入讲解,每一篇都搭配历年真题,帮助读者加深理解。 全书一共分六篇。 Web篇(第1~8章) 主要讲解CTF比赛中Web类型题目的一些基础知识点与常用的工具和插件,这些知识点和工具也可以用于部分渗透测试的实战中。 Reverse篇(第9~10章) 主要对CTF中逆向分析的主要方法、常用分析工具、逆向分析技术和破解方法进行
内容介绍 这是一部指导信贷业务如何用智能风控、反欺诈的技术和方法实现风险控制的著作。 作者是经验丰富的智能风控算法专家,先后就职于头部的互联网公司的金融部门以及头部的公募基金公司,致力于人工智能算法在信贷风控领域的应用。 本书不仅体系化地讲解了智能风控和反欺诈的体系、算法、模型以及它们在信贷风控领域实践的全流程,而且还从业务和技术两个角度讲解了传统的金融风控体系如何与智能风控方法实现双剑合璧。全书以实战为导向,辅以多个用Python实现的综合案例,便于读者理解和实操。 全书共10章,逻辑上分为四个部分: 第1~3章是风控业务的基础,首先介绍了什么是信用风险和欺诈风险,然后讲解了传统风险管理体系中搭建评分卡的思路,以及智能风控时代数据和模型的技术框架。 第4~6章集中讲述了智能风控中常见的特征工程、算
本书是计算机安全领域的经典教材,系统介绍了计算机安全的方方面面。全书包括5个部分,第部分介绍计算机安全技术和原理,涵盖了支持有效安全策略所必需的所有技术领域;第二部分介绍软件安全和可信系统,主要涉及软件开发和运行带来的安全问题及相应的对策;第三部分介绍管理问题,主要讨论信息安全与计算机安全在管理方面的问题,以及与计算机安全相关的法律与道德方面的问题;第四部分为密码编码算法,包括各种类型的加密算法和其他类型的密码算法;第五部分介绍网络安全,关注的是为在Internet上进行通信提供安全保障的协议和标准及无线网络安全等问题。
本书是帮助网络工程师学习数字取证的技术参考指南,该书内容帮助读者了解网络犯罪和当今攻击的现实;建立一个数字取证实验室来测试工具和方法,并获得专业知识;发现漏洞时可以采取正确的应对方案;确定调查的全部范围和收集、记录和保存证据和数据;从PC、Mac、IoT设备和其他端点收集和分析数据;使用数据包日志、NetFlow和扫描来构建时间线、了解网络活动并收集证据;分析iOS和Android设备,了解与加密相关的调查障碍;调查和追踪电子邮件,识别欺诈或滥用;使用Cisco工具和技术收集、提取和分析漏洞数据;从头到尾仔细检查常见的违规行为和应对措施;为每项任务选择正确的工具,并探索可能也有帮助的替代方法。
密码是保障网络与信息安全的核心技术。《商用密码与安全性评估》将Java开发与信息系统的密码应用建设、密评相结合,对典型密码应用场景的软件编码实现、涉及的主流密码产品以及安全性评估方法进行了介绍和实践。全书共9章,包括密码技术发展与架构、密码技术实现基础、数据完整性保护与杂凑算法、数据加密保护与对称密码算法、用户身份认证与公钥密码算法、通信安全与密码协议、口令加密和密钥交换、密码应用方案设计和商用密码应用安全性评估等内容。 《商用密码与安全性评估》适用于信息系统安全建设的从业人员阅读,可为其在信息系统合规,正确、有效使用密码等方面提供指导;也可作为软件开发程序员、密码产品的研发人员和密码测评人员的参考书。
本书从道德黑客的角度出发,结合赏金漏洞实例,向读者介绍应如何处理应用程序中的漏洞,如何寻找赏金漏洞和提交方案报告。主要内容包括什么是漏洞和漏洞悬赏,如何在漏洞挖掘平台上挖掘开放式重定向漏洞、HTTP参数污染漏洞、跨站请求伪造漏洞、HTML注入和内容欺骗漏洞、回车换行注入漏洞、跨站脚本漏洞、模板注入漏洞、SQL注入漏洞、服务端请求伪造漏洞、内存漏洞、子域接管漏洞、不安全的直接对象引用漏洞、OAuth漏洞、应用程序逻辑和配置漏洞等,并提交给平台,进而对漏洞进行修复,以及如何获得漏洞奖金、漏洞报告如何编写等。
本书以通俗易懂的语言,从密码学产生的背景、经典的加密算法、常见的加密系统、密钥管理等角度对密码学进行了全面介绍,特别分析了日常生活中互联网、移动电话、wi-fi网络、银行卡、区块链等应用中使用的密码学技术,帮助读者理解密码学在实际生活中的应用。本书关注现代密码学背后的基本原理而非技术细节,读者有高中水平的数学知识,无需理解复杂的公式推导,即可理解本书的内容。本书适合作为高校密码学相关通识课程的教材,也适合作为对密码学感兴趣的读者的入门读物。
本书是上一版畅销书的全新修订版,涵盖了新的安全威胁和防御机制,包括云安全态势管理的概述和对当前威胁形势的评估,另外还重点介绍了新的物联网威胁和加密相关内容。为保持应对外部威胁的安全态势并设计强大的网络安全计划,组织需要了解网络安全的基本知识。本书将介绍在侦察和追踪用户身份方面使用新技术实施网络安全的实践经验,这将使你能够发现系统是如何受到危害的。本书也重点介绍了强化系统安全性的防御策略。你将了解包括Azure Sentinel在内的深度工具以确保在每个网络层中都有安全控制,以及如何执行受损系统的恢复过程。
所谓渗透测试是借助各种漏洞扫描工具,通过模拟黑客的攻击方法来对网络安全进行评估。 《渗透测试 完全初学者指南》作为入门渗透测试领域的理想读物,全面介绍每一位渗透测试人员有必要了解和掌握的核心技巧与技术。本书分为20章,其内容涵盖了渗透测试实验室的搭建、Kali Linux的基本用法、编程相关的知识、Metasploit框架的用法、信息收集、漏洞检测、流量捕获、漏洞利用、密码攻击、客户端攻击、社会工程学、规避病毒检测、深度渗透、Web应用测试、攻击无线网络、Linux/Windows栈缓冲区溢出、SEH覆盖、模糊测试/代码移植及Metasploit模块、智能手机渗透测试框架的使用等。有别于其他图书的是,本书在这20章之外还增加了一个第0章,用来解释渗透测试各个阶段应该做的工作。 《渗透测试 完全初学者指南》内容实用,理论与实战相互辅佐。读者借助于书中
《信息安全等级保护测评与整改指导手册》结合作者近二十年在信息安全领域的工作经历,以等级保护政策为核心,以技术和应用为根本出发点,以理论加实践的方式深度剖析了等级保护的基本概念、准备阶段、定级备案、评估测评、规划执行等内容,向读者进行了系统化的介绍。通过理论与案例讲解相结合,对等级保护在具体客户领域的测评以及规划执行等进行了关联阐述,重点是结合技术与应用实践来对其中涉及的理论、应用领域、应用实效等进行详细描述,让读者看得懂、学得会、用得上。 《信息安全等级保护测评与整改指导手册》适合企、事业单位信息安全从业者阅读。
这是一本能让你脑洞大开的渗透测试类著作,不仅能让你零基础快速掌握渗透测试的思维能力、知识体系和动手能力,并成功拿下30种各式配置的目标主机;还能让你深入理解网络安全攻防实战场景中的各种渗透测试难题的技术原理、漏洞线索和攻防措施。 全书从逻辑上分为三个部分: 第 一部分 准备篇(第1章) 全面介绍了主机环境的搭建、常见工具的使用以及常见问题的求助渠道,让读者能快速做好实战前的准备。 第二部分 基础实战篇(第2-3章) 手把手教读者如何一步步拿下世界知名的5台Kioprtix系列目标主机和10台配置各异的其他目标主机,帮助读者在实战中从0到1构建渗透测试所需的大部分知识和技能。 第三部分 实战进阶篇(第4-10章) 全面讲解了渗透测试在网络安全攻防7大场景中的应用,通过实战的方式讲解了40 个渗透测试难题的技术原理、漏洞线索和
一本囊括灵活的技巧、操作系统架构观察以及攻击者和防御者创新所使用的设计模式的书,基于三位出色安全专家的大量案例研究和专业研究,主要内容包括:Windows如何启动,在哪里找到漏洞;引导过程安全机制(如安全引导)的详细信息,包括虚拟安全模式(VSM)和设备保护的概述;如何通过逆向工程和取证技术分析真正的恶意软件;如何使用仿真和Bochs和IDA Pro等工具执行静态和动态分析;如何更好地了解BIOS和UEFI固件威胁的交付阶段,以创建检测功能;如何使用虚拟化工具,如VMware Workstation;深入分析逆向工程中的Bootkit和Intel Chipsec。
在过去几年中,API安全取得长足发展,API安全标准的数量呈指数级增长,企业API已经成为向外界开放业务功能的常见方式。开放功能当然很方便,但随之而来的是被攻击的风险。本书将带你学习如何更好地保护、监控和管理你的公共与私有API。 具体来说,本书将讲解如何利用OAuth 2.0协议及其相关配置,通过网络应用、单页面应用、本地移动应用和无浏览器应用来对API进行安全访问,并通过分析多个攻击案例使读者吸取经验教训,探究问题根源,并尝试改进安全实践,以减少未来发生类似攻击的概率。
这是一本建设数字中国的实战性著作,讲解了如何从合规数据源获取公共数据、个人数据和企业数据,并将这些数据合规地应用到各种金融风控场景。本书围绕公共数据、企业数据、个人数据的分类分级授权应用场景要点,通过分享公安、运营商、银联、工商、央行征信、百行征信、司法、航旅、铁路、税务、交通、电力、保险等十几种主流数据资源的开放背景、数据能力及现有的数据产品应用逻辑,帮助大数据行业从业者更好地了解数据资源持有权、数据加工使用权、数据产品经营权三类数据产权运行机制。书中凝聚了大量数据流通交易及应用方面的有价值的经验、方法论、规范、解决方案和案例,不仅能让读者即学即用,还能让读者了解大数据行业及数据经济产业的发展趋势。通过本书,你将掌握以下内容:?合规数据源的特点?金融机构数据采购评估的要点?各
《白帽子安全开发实战》介绍了常见的渗透测试工具与防御系统的原理、开发过程及使用方法。大部分系统是用Go语言开发的,部分系统是用OpenResty/Lua语言开发的。这两种语言都有简单易学、开发效率高的特点。 全书共10章,分3篇来组织内容。第1篇为安全开发基础,介绍了常见的安全防护体系、安全开发对白帽子和企业安全建设的重要作用,以及Go语言与OpenResty/Lua语言开发环境的配置等;第2篇为渗透测试工具开发,讲解了扫描器、常见的后门、 器等常见的渗透测试工具的原理、开发和防御方法;第3篇为安全防御系统开发,介绍了恶意流量分析系统、Exchange邮箱安全网关、蜜罐与欺骗防御系统、代理蜜罐、Web应用防火墙与零信任安全网关的原理与开发过程。 《白帽子安全开发实战》适合信息安全从业者、安全产品开发人员、系统管理员、网络安全与信息安全爱好
《同态密码学原理及算法》从起源、原理、应用、实现等多个角度全方位介绍了同态加密技术,内容涵盖密码学基础、同态加密技术的基本概念、半同态加密算法、部分同态加密算法、全同态加密算法,以及同态加密的编程实践。在理论的讲解中,注重同态加密背后的思想,帮助读者更好地理解“同态”性;编程实践涵盖了目前较为流行的几个同态密码库,包括Charm-crypto、HElib、SEAL、TFHE,读者可以根据内容编写一遍代码,进一步掌握同态加密。 《同态密码学原理及算法》适用于对同态密码学感兴趣的计算机技术、信息安全领域从业人员,以及相关院校的高年级本科生和研究生阅读学习。
本书分为5篇33章,系统、全面地介绍了Windows平台缓冲区溢出漏洞的分析、检测与防护。篇为漏洞exploit的基础理论和初级技术,可以读者迅速入门;第二篇在篇的基础上,结合外相关研究者的前沿成果,对漏洞技术从攻、防两个方面进行总结;第三篇站在安全测试者的角度,讨论了几类常用软件的漏洞挖掘方法与思路;第四篇则填补了本类书籍在Windows内核安全及相关攻防知识这个神秘领域的技术空白;第五篇以大量的0day案例分析,来帮助读者理解前四篇的各类思想方法。 本书可作为网络安全从业人员、黑客技术发烧友的参考指南,也可作为网络安全专业的研究生或本科生的指导用书。 本书分为5篇,共33章。 篇 漏洞利用原理(初级) 章 基础知识 本章着重对漏洞挖掘中的一些基础知识进行介绍。首先是漏洞研究中的一些基本概念和原理;然
《网络安全体系结构》是一本安全网络的设计指南,旨在帮助读者设计出符合可满足不同安全需求的网络环境。 全书共分为4个部分和3个录。部分介绍了设计安全网络的一些基础概念,提供了设计安全网络的先决条件以及进行安全网络设计所需的基本元素,为后续章节打下基础。第二部分全面讨论了可供安全设计人员使用的各类技术,以及使用不同技术来设计网络安全解决方案时需要予以考虑的因素。第三部分针对不同的网络环境,介绍了它们各自的设计方式。第四部分介绍了如何保障网络管理的安全性,同时对一些设计案例进行了研究,最后对全书做了总结。录A对书中使用过的一些术语进行了介绍。录B提供了各章测试题的参考答案。录C则提供了安全网络设计中,一些设计文档的起草范例。 鉴于《网络安全体系结构》强调安全网络的“设计”,因此《网
内容简介 这是一本体系化讲解DevSecOps敏捷安全的实战性著作,为企业应对软件开发方式敏态化与软件供应链开源化带来的安全挑战提供了解决之道,它能有效指导企业快速将安全能力完整嵌入整个DevOps体系,在保证业务研发效能的同时实现敏捷安全内生和自成长。 本书由国内软件供应链安全领域领军企业悬镜安全创始人子芽出品,得到了企业界和学术界10位权威安全技术专家的联袂推荐。主要的内容及其特色如下: 体系创新:不仅对业界已有的DevSecOps理论和方法进行了系统梳理,而且还分享了DevSecOps敏捷安全架构、DevSecOps敏捷安全技术金字塔等大量来自悬镜安全的创新理论和技术,全面讲解了DevSecOps敏捷安全的核心内涵、架构设计、体系建设、技术原理、度量方法、落地实践; 注重实战:包含大量实践原则、参考和落地方法,以及来自银行、券商、运营商、互联
本书提出了物联网网络保障的概念和方法,分析了物联网环境的网络保障需求,强调了物联网的关键信息保障问题,并确定了信息保障相关的安全问题。本书是由工作在网络保障、信息保障、信息安全和物联网一线行业的从业人员和专家根据其研究成果撰写而成,内容涵盖了当前信息保障的问题、挑战和解决物联网保障所需的基本概念和先进技术,也包含了射频识别(RFID)网络、无线传感器网络、智能电网以及工业控制系统的监控与数据采集(SCADA)系统。
