本书紧紧围绕黑客攻防技术，主要包括从零开始认识黑客，信息的 与扫描，系统漏洞、病毒、木马的入侵与防范，远程控制技术，加密解密技术，网络欺骗与防范，网络攻击与防范，系统和数据的备份与恢复， 的清除等内容，力求以简单明了的语言向读者清晰讲解相关知识，并使读者对黑客攻防技术形成系统的了解，从而更好地防范黑客的攻击。本书内容从易到难、循序渐进、图文并茂、通俗易懂，适用于广大网络爱好者以及计算机维护人员。

本书将通过分析黑客采用的攻击战术来提升测试者的渗透测试技能：通过实验室集成到云服务，从而了解在渗透测试中通常被忽略的一个开发维度；探索在虚拟机和容器化环境中安装和运行Kali Linux的不同方法，以及使用容器在AWS上部署易受攻击的云服务，利用配置错误的S3桶来访问EC2实例；深入研究被动和主动侦察，从获取用户信息到大规模端口扫描，在此基础上，探索了不同的脆弱性评估，包括威胁建模；讲述了如何在受损系统上使用横向移动、特权升级以及命令与控制(C2)；探索在互联网、物联网、嵌入式外围设备和无线通信中使用的高级渗透测试方法。

本书紧紧围绕黑客命令与实际应用展开，在剖析了黑客入侵中常用到的命令，便于读者对网络入侵防御技术形成系统了解，能够更好地防范黑客的攻击。全书共分为12章，包括：初识黑客、Windows系统中的命令行、黑客常用的Windows网络命令行、Windows系统的命令行配置、基于Windows认证的入侵、远程管理Windows系统、局域网攻击与防范、DOS命令的实际应用、制作启动盘、批处理BAT文件编程、病毒木马主动防御清除、流氓软件与 的防护与清除等内容。 本书内容丰富、图文并茂、深入浅出，不仅适用于广大网络爱好者，而且适用于网络安全从业人员及网络管理员。

这是一本能为小微信贷风控提供全面实战指导的标准化著作，也是一本能助力小微信贷风控智能化转型的著作。它融合了来自互联网风控、产业链风控、小微信贷产品风控领域的4位资深专家的实战经验，兼具方法性和实用性。 具体地，本书主要讲解了如下内容： （1）小微信贷的定义、特征和主要模式； （2）小微信贷面临的市场风险、获客风险、欺诈风险、信用风险、流程风险、操作风险以及这些风险的防范； （3）小微信贷的产品设计与运营； （4）基于风险视角的小微信贷产品的获客与客户运营； （5）管理小微信贷产品常用的基础设施，包括智能风控系统、数据与变量等； （6）小微信贷智能风控模型体系的搭建、模型的全生命周期管理以及主要模型的使用； （7）小微信贷智能风控审批策略的制定、监测与调优等；

《黑客攻防技术宝典.Web实战篇（第 2版）》是探索和研究Web 应用程序安全漏洞的实践指南。作者利用大量的实际案例和示例代码，详细介绍了各类Web 应用程序的弱点，并深入阐述了如何针对Web 应用程序进行具体的渗透测试。本书从介绍当前Web 应用程序安全概况开始，重点讨论渗透测试时使用的详细步骤和技巧，总结书中涵盖的主题。每章后还附有习题，便于读者巩固所学内容。 第 2 版新增了Web 应用程序安全领域近年来的发展变化新情况，并以尝试访问的链接形式提供了几百个互动式“漏洞实验室”，便于读者迅速掌握各种攻防知识与技能。 《黑客攻防技术宝典.Web实战篇（第 2版）》适合各层次计算机安全人士和Web 开发与管理领域的技术人员阅读。

本书采用理论与案例相结合的形式，全面讲解传统网络安全竞赛CTF解题赛中五大类重点知识和技能。 全书共17章，其中第1~3章为第1篇Web安全，从原理层面讲解了常见的PHP相关安全问题，以及文件上传漏洞、文件包含漏洞、命令执行漏洞、SQL注入漏洞、SSRF漏洞等常见Web漏洞的原理与利用；第4~6章为第2篇Crypto密码，主要介绍了密码学基础、常见编码、古典密码学和现代密码学等相关内容；第7~10章为第3篇MISC安全，主要介绍了隐写术、压缩包分析、流量分析和取证分析等相关内容；第11~13章为第4篇Reverse逆向工程，主要介绍了逆向工程基本概念、计算机相关原理、逆向相关基础、常规逆向分析思路、反调试对抗技术等内容；第14~17章为第5篇PWN，主要介绍了基础环境准备、栈溢出、堆溢出等漏洞的原理与利用。 本书所有案例都配有相关实践内容，能够更有效地帮助读者进

本书由两部分组成。第I部分首先概述ELF文件格式和操作系统的内部结构，然后介绍Arm架构基础知识，并深入探讨A32和A64指令集；第II部分深入探讨逆向工程，包括Arm环境、静态分析和动态分析，以及固件提取和模拟分析等关键主题。本书末尾讲解在macOS中基于Arm的M1 SoC编译的二进制文件的恶意软件分析。 通过阅读本书，读者可以深入理解Arm的指令和控制流模式，这对于针对Arm架构编译的软件的逆向工程至关重要。为帮助逆向工程师和安全研究人员更好地理解逆向工程，本书深入介绍了逆向工程的各个方面，具体包括：?? Arm架构的AArch32和AArch64指令集状态，以及ELF文件格式内部结构；?? Arm汇编内部机制的详细信息，可供逆向工程师分析恶意软件和审计软件安全漏洞使用，以及寻求Arm汇编语言详细知识的开发人员使用；?? Armv8-A架构支持的A32/T32和A64指令集，以及常见的

内容介绍 这是一部指导信贷业务如何用智能风控、反欺诈的技术和方法实现风险控制的著作。 作者是经验丰富的智能风控算法专家，先后就职于头部的互联网公司的金融部门以及头部的公募基金公司，致力于人工智能算法在信贷风控领域的应用。 本书不仅体系化地讲解了智能风控和反欺诈的体系、算法、模型以及它们在信贷风控领域实践的全流程，而且还从业务和技术两个角度讲解了传统的金融风控体系如何与智能风控方法实现双剑合璧。全书以实战为导向，辅以多个用Python实现的综合案例，便于读者理解和实操。 全书共10章，逻辑上分为四个部分： 第1~3章是风控业务的基础，首先介绍了什么是信用风险和欺诈风险，然后讲解了传统风险管理体系中搭建评分卡的思路，以及智能风控时代数据和模型的技术框架。 第4~6章集中讲述了智能风控中常见的特征工程、算

本书旨在打造一本Web API安全的实用指南，全面介绍Web API的攻击方法和防御策略。 本书分为4个部分，共16章。第一部分从API渗透测试的基础理论入手，探讨Web 应用程序的基础知识、Web API攻防的基本原理和常见的API漏洞。第二部分带领读者搭建自己的API测试实验室，结合2个实验案例，指导读者找到脆弱的API目标。第三部分通过侦察、端点分析、攻击身份验证、模糊测试、利用授权漏洞、批量分配、注入这7章，帮助读者了解API攻击的过程和方法，结合7个实验案例，帮助读者进行API测试。第四部分介绍3个真实的API攻防案例，旨在针对性地找到提高API安全性的具体策略和方案。 本书可为初学者提供API及其漏洞的全面介绍，也可为安全从业人员提供高级工具和技术见解。

本书首先通过现实案例说明网络安全意识的重要性；然后讲述网络安全三大 基石 密码技术、身份鉴别和访问控制；再根据我国网络安全相关技术标准体系，对网络安全技术体系涉及的物理安全、网络通信安全、区域边界安全、计算环境安全及安全运营中心5个方面进行描述，并辅以相关案例、安全产品介绍；最后结合近年来信息技术的发展情况，分别阐述云计算安全、移动互联网安全、物联网安全和工业控制系统安全的发展。 本书可作为网络安全领域技术人员、管理人员的参考书，也可为非网络安全专业人士提供一些有关网络安全的科普知识。

内容简介这是一部从技术安全、监管框架、合规要求、伦理道德等角度全面讲解生成式人工智能安全问题的实战性著作。本书在坚实的理论基础之上，通过丰富的案例和翔实的数据，系统梳理了企业当下在生成式人工智能实践中面临的各种安全挑战，并给出了应对策略。本书的目标是为读者提供全面且实用的行动框架和实操指南，以促进生成式人工智能行业的健康发展。本书融合了跨学科专家的技术和经验，作者团队包括安全领域的资深技术精英、微软创新教育专家（MIEE）、生成式人工智能技术专家，以及在大数据企业、法律界深耕多年的知识产权与数据合规方面的专家。他们凭借各自的专业知识和实践经验，将理论与实务紧密结合，为读者提供了宝贵的见解和参考。阅读并掌握本书，你将收获以下10个方面知识：（1）大模型安全的范畴、现状和挑战：包括安全

自本书上一版面世以来，无论是社会工程的工具和手段，还是人们所处的环境，都发生了巨大的变化，因此本书推出了升级版。本书作者是具备多年从业经验的社会工程人员，在上一版的基础上增加了新的示例，将社会工程从一门 艺术 上升为 科学 ，让读者知其然更知其所以然。书中的观点均有科学研究支持，无论是个人还是企业都能从本书中得到有益的启示，在更好地保护自身的同时，还能教导他人免于遭受恶意攻击者的侵害。本书后还对有志于从事信息安全工作的人提出了宝贵的建议。

《杜邦安全体系》详细介绍了杜邦公司安全体系的22个安全要素。本书将杜邦公司的安全管理体系与我国企业的安全管理实践经验相结合，理论联系实际，具有可读性强、操作性强、接地气的特点。本书作者从事企业安全生产工作30余年。本书在介绍杜邦公司安全体系的同时，融入我国科学发展、安全发展的指导思想，并指出做好企业安全工作有效的途径之一是贯彻落实杜邦公司安全管理体系的22 大要素。1. 组织文化机制（1）强有力的、可见的管理层承诺。（2）切实可行的安全方针和政策。（3）综合性的安全组织。（4）直线组织的结构和安全职责。（5）挑战性的安全目标和指标。（6）专职安全人员的支持。（7）高标准的安全表现。（8）持续性安全培训和改进。（9）有效的双向沟通。（10）有效的员工激励机制。（11）有效的安全行为审核与再评估。（12）全面

本教程针对新手学习的特点，选择近几年相关赛事真题讲解。主要包括：CTF的赛制、赛事介绍，竞赛相关的计算机网络、数据库、操作系统、程序设计、密码学等知识。重点剖析CTF竞赛中常用的MISC、Web、逆向、PWN等题型的求解思路。

本书介绍了信息安全数学的基础内容,包括初等数论、抽象代数、椭圆曲线论等，全书选材合理、难度适中、层次分明、内容系统,书中以大量例题深入浅出地阐述信息安全数学基础各分支的基本概念、基本理论与基本方法,注重将抽象的理论与算法和实践相结合，并强调理论在信息安全特别是密码学中的具体应用实例。本书语言通俗易懂，容易自学。本书可作为高等院校信息安全、网络空间安全、计算机科学与技术、密码学、通信工程、信息对抗、电子工程等领域的研究生和本科生相关课程的教材，也可作为这些领域的教学、科研和工程技术人员的参考书。

《红队VS蓝队：网络攻防实战技术解析》从红队（攻击方）和蓝队（防守方）两个视角，成体系地阐述了网络攻防实战技术，介绍了许多 攻 和 防 实战对抗中的技巧，并配有系列资料和真实案例。 《红队VS蓝队：网络攻防实战技术解析》分为红方攻击篇（第1~5章）和蓝方防守篇（第6~10章）两部分。红方攻击篇从实战演练的传统攻击思路出发，介绍了互联网信息收集、外网边界突破、内网渗透、权限提升与维持四大环节，覆盖了实战攻击的全流程。最后通过几个攻击方的经典案例，分享了不同场景下的攻击思路与技巧。蓝方防守篇从讲述完整的保障体系出发，介绍了常用的技术、保障时期防护体系的落地、常态化运营与重要时期保障之间的转换、特殊场景下的防护策略等，并在第10章通过4个案例分享了笔者团队实施的保障案例，希望读者能从中了解保障的真实过程

本书以Web漏洞基本原理为切入点，将相似的漏洞归类，由浅入深、逐一陈述。本书共11章，分别为Web安全概述、计算机网络基础知识、测试工具与靶场环境搭建、传统后端漏洞（上、下）、前端漏洞（上、下）、新后端漏洞（上、下）、逻辑漏洞（上、下），每章以不同的漏洞类型为小节内容，尽可能涵盖已发现和公开的所有重大Web安全漏洞类型。本书配有53个漏洞实战案例，并附赠所有漏洞实战案例的完整源码，方便读者学习，获取方式见封底二维码。 本书可作为代码审计、渗透测试、应急响应、基线核查、红蓝对抗、防御加固等相关工作从业人员的参考资料，亦可作为企业安全管理者开展企业安全建设的技术指南，还可作为大中专院校及Web安全培训班的Web安全培训教材。

随着近几年互联网的发展，Python在各行各业发挥着举足轻重的作用。除应用在科学计算、大数据处理等人们熟知的领域外，在信息安全领域中使用也异常广泛。这是因为对于黑客或者渗透测试工程师来说python语言不仅上手容易，而且还有大量丰富的开源库。通过python可以帮助他们又好又快的完成一项任务，以少量的代码便可实现所需功能。本书结合具体场景和真实案例，详细叙述了python在渗透测试过程中所涉及到的信息收集、漏洞检测、数据爆破、模糊测试、流量分析等方面的实现过程。本书内容详细，过程清晰，非常易于读者深入理解。可为成为一名合格的网络安全员打下坚实的基础

本书系统性地介绍数据安全架构的设计与实践，融入了作者多年在安全领域积累的实践经验。全书分四大部分，共20章。第壹部分介绍安全架构的基础知识，内容包括安全、数据安全、安全架构、5A方法论、CIA等基本概念,为后续论述奠定基础。第二部分介绍产品安全架构，内容包括：身份认证、授权、访问控制、审计、资产保护等，讲解如何从源头设计来保障数据安全和隐私安全，防患于未然。第三部分介绍安全技术体系架构，内容包括：安全技术架构、网络和通信层安全架构、设备和主机层安全架构、应用和数据层安全架构、安全架构案例分析等。第四部分介绍数据安全与隐私保护治理，内容包括：数据安全治理、数据安全政策文件体系、隐私保护基础与增强技术、GRC方案、数据安全与隐私保护的统一等。

这是一部安全行业公认的域渗透标准著作，从协议原理、基础知识、工具使用、渗透手法、漏洞利用、权限维持6个维度全面讲解域渗透攻防技术与技巧，不仅能帮助读者深入了解域内攻防的本质，而且提供大量的实践案例。是深信服攻防渗透专家多年的一线域内攻防实战经验，获得阿里、腾讯、、小米、美团、金山、360、奇安信、长亭、绿盟、启明星辰等企业和机构的30余位专家高度评价并推荐。本书具体包含如下6个方面的内容：（1）协议原理详细剖析了NTLM协议、Kerberos协议、LDAP三种协议的原理，域渗透中很多漏洞都是围绕这3个协议展开的。（2）基础知识全面介绍了工作组和域、域信任、域搭建与配置、本地账户和活动目录账户、本地组和域组、访问控制列表等各种域的基础知识，帮助读者打好坚实基础。（3）工具使用详细地讲解了BloodHound、Adfind、Admod、Rubeus

这是一本全面覆盖 本地 云 混合域环境攻防的实战指南，帮助安全从业者和企业构建更强大、完善的防御能力，使其更从容地应对复杂多变的安全场景与挑战。 本书由微软全球最有价值专家与360安全专家倾力打造，结合大量AD及Microsoft Entra ID（原Azure AD）攻防案例，从攻防两端视角设计了一整套域攻防实战链条：以混合域攻防实战为主线，基于ATT CK框架模型，系统解析AD域和Microsoft Entra ID在攻防各阶段涉及的技术原理、攻击手段、典型漏洞以及防御策略。 全书内容丰富翔实、讲解深入透彻，覆盖信息收集、AD权限获取、域信任、Kerberos域委派、ACL后门、ADCS攻防、Microsoft Entra ID攻防等核心技术，配合大量实例。既能帮助从业者理解域攻防本质，掌握实际攻击手段，做到知己知彼；又能助力企业以攻促防，构建更坚实的安全防线。 本书适合各层次的网络安全从业者阅读

本书汇集了 大东话安全 团队多年从事网络安全科普活动的经验和成果。全书 采用轻松活泼的对话体形式， 以大东和新手小白的对话为载体，用 32 个故事向读者介绍网络安全知识。全书共分为5篇： 病毒初现 篇介绍了计算机病毒的原理，并以典型病毒为例进行深入分析； 魔道相长 篇介绍了网络世界中常见的攻击手段； 正者无敌 篇介绍了新的反击技术和手段； 新生安全 篇主要介绍脱离伴生安全理念的新生安全的典型代表，包括金融安全、大数据安全、区块链安全等； 隐逸江湖 篇介绍了与大众生活息息相关的黑色产业链、 黑客大会等内容。本书适合所有对网络安全感兴趣的读者阅读，特别适合在网络空间安全、 计算机技术等领域有一定基础的大学生们，通过阅读此书这些读者可以了解网络安全的学科体系。本书同样可以帮助非专业的读者朋友们掌握一定的网

全书内容划分为基础知识、各种黑客攻击技术、黑客攻击学习方法三部分。基础知识部分主要介绍各种黑客攻击技术、计算机基础知识以及Python基本语法；第二部分讲解各种黑客攻击技术时，具体划分为应用程序黑客攻击、Web黑客攻击、网络黑客攻击、系统黑客攻击等；*后一部分给出学习建议，告诉大家如何才能成为黑客高手。

这是一本能系统指导银行等金融机构切实做好信息科技风险管理从而提升业务价值的著作。它是5位资深的银行业科技工作者近20年的工作总结，汇聚了他们在大型商业银行、股份制银行、城商行的宝贵经验。 本书的理念是： 从容驾驭科技风险，让合规创造价值 ，从合规管理和技术防控2个维度全面地分析和讲解了信息科技风险管理的监管规则、合规要求、技术方案和实施方法等，可以作为信息科技风险管理的标准参考书。 合规管理层面：基于对信息科技风险管理的监管要求的深入分析和作者团队丰富的从业经验，总结了信息科技治理、信息科技风险管理、信息科技审计、信息安全管理、信息科技开发及测试、信息科技运行及维护、业务连续性管理、信息科技外包管理8大领域的方法论和落地要求。 技术防控层面：从业务架构、技术架构、功能实现、预期效