本书将通过分析黑客采用的攻击战术来提升测试者的渗透测试技能:通过实验室集成到云服务,从而了解在渗透测试中通常被忽略的一个开发维度;探索在虚拟机和容器化环境中安装和运行Kali Linux的不同方法,以及使用容器在AWS上部署易受攻击的云服务,利用配置错误的S3桶来访问EC2实例;深入研究被动和主动侦察,从获取用户信息到大规模端口扫描,在此基础上,探索了不同的脆弱性评估,包括威胁建模;讲述了如何在受损系统上使用横向移动、特权升级以及命令与控制(C2);探索在互联网、物联网、嵌入式外围设备和无线通信中使用的高级渗透测试方法。
这是一本能为小微信贷风控提供全面实战指导的标准化著作,也是一本能助力小微信贷风控智能化转型的著作。它融合了来自互联网风控、产业链风控、小微信贷产品风控领域的4位资深专家的实战经验,兼具方法性和实用性。 具体地,本书主要讲解了如下内容: (1)小微信贷的定义、特征和主要模式; (2)小微信贷面临的市场风险、获客风险、欺诈风险、信用风险、流程风险、操作风险以及这些风险的防范; (3)小微信贷的产品设计与运营; (4)基于风险视角的小微信贷产品的获客与客户运营; (5)管理小微信贷产品常用的基础设施,包括智能风控系统、数据与变量等; (6)小微信贷智能风控模型体系的搭建、模型的全生命周期管理以及主要模型的使用; (7)小微信贷智能风控审批策略的制定、监测与调优等;
《黑客攻防技术宝典.Web实战篇(第 2版)》是探索和研究Web 应用程序安全漏洞的实践指南。作者利用大量的实际案例和示例代码,详细介绍了各类Web 应用程序的弱点,并深入阐述了如何针对Web 应用程序进行具体的渗透测试。本书从介绍当前Web 应用程序安全概况开始,重点讨论渗透测试时使用的详细步骤和技巧,总结书中涵盖的主题。每章后还附有习题,便于读者巩固所学内容。 第 2 版新增了Web 应用程序安全领域近年来的发展变化新情况,并以尝试访问的链接形式提供了几百个互动式“漏洞实验室”,便于读者迅速掌握各种攻防知识与技能。 《黑客攻防技术宝典.Web实战篇(第 2版)》适合各层次计算机安全人士和Web 开发与管理领域的技术人员阅读。
本书采用理论与案例相结合的形式,全面讲解传统网络安全竞赛CTF解题赛中五大类重点知识和技能。 全书共17章,其中第1~3章为第1篇Web安全,从原理层面讲解了常见的PHP相关安全问题,以及文件上传漏洞、文件包含漏洞、命令执行漏洞、SQL注入漏洞、SSRF漏洞等常见Web漏洞的原理与利用;第4~6章为第2篇Crypto密码,主要介绍了密码学基础、常见编码、古典密码学和现代密码学等相关内容;第7~10章为第3篇MISC安全,主要介绍了隐写术、压缩包分析、流量分析和取证分析等相关内容;第11~13章为第4篇Reverse逆向工程,主要介绍了逆向工程基本概念、计算机相关原理、逆向相关基础、常规逆向分析思路、反调试对抗技术等内容;第14~17章为第5篇PWN,主要介绍了基础环境准备、栈溢出、堆溢出等漏洞的原理与利用。 本书所有案例都配有相关实践内容,能够更有效地帮助读者进
![ARM汇编与逆向工程 蓝狐卷 基础知识 [美]玛丽亚·马克斯特德 ChaMd5安全团队译](http://img3m2.ddimg.cn/33/17/29691222-1_l.jpg)
本书由两部分组成。第I部分首先概述ELF文件格式和操作系统的内部结构,然后介绍Arm架构基础知识,并深入探讨A32和A64指令集;第II部分深入探讨逆向工程,包括Arm环境、静态分析和动态分析,以及固件提取和模拟分析等关键主题。本书末尾讲解在macOS中基于Arm的M1 SoC编译的二进制文件的恶意软件分析。 通过阅读本书,读者可以深入理解Arm的指令和控制流模式,这对于针对Arm架构编译的软件的逆向工程至关重要。为帮助逆向工程师和安全研究人员更好地理解逆向工程,本书深入介绍了逆向工程的各个方面,具体包括:?? Arm架构的AArch32和AArch64指令集状态,以及ELF文件格式内部结构;?? Arm汇编内部机制的详细信息,可供逆向工程师分析恶意软件和审计软件安全漏洞使用,以及寻求Arm汇编语言详细知识的开发人员使用;?? Armv8-A架构支持的A32/T32和A64指令集,以及常见的
内容介绍 这是一部指导信贷业务如何用智能风控、反欺诈的技术和方法实现风险控制的著作。 作者是经验丰富的智能风控算法专家,先后就职于头部的互联网公司的金融部门以及头部的公募基金公司,致力于人工智能算法在信贷风控领域的应用。 本书不仅体系化地讲解了智能风控和反欺诈的体系、算法、模型以及它们在信贷风控领域实践的全流程,而且还从业务和技术两个角度讲解了传统的金融风控体系如何与智能风控方法实现双剑合璧。全书以实战为导向,辅以多个用Python实现的综合案例,便于读者理解和实操。 全书共10章,逻辑上分为四个部分: 第1~3章是风控业务的基础,首先介绍了什么是信用风险和欺诈风险,然后讲解了传统风险管理体系中搭建评分卡的思路,以及智能风控时代数据和模型的技术框架。 第4~6章集中讲述了智能风控中常见的特征工程、算
本书旨在打造一本Web API安全的实用指南,全面介绍Web API的攻击方法和防御策略。 本书分为4个部分,共16章。第一部分从API渗透测试的基础理论入手,探讨Web 应用程序的基础知识、Web API攻防的基本原理和常见的API漏洞。第二部分带领读者搭建自己的API测试实验室,结合2个实验案例,指导读者找到脆弱的API目标。第三部分通过侦察、端点分析、攻击身份验证、模糊测试、利用授权漏洞、批量分配、注入这7章,帮助读者了解API攻击的过程和方法,结合7个实验案例,帮助读者进行API测试。第四部分介绍3个真实的API攻防案例,旨在针对性地找到提高API安全性的具体策略和方案。 本书可为初学者提供API及其漏洞的全面介绍,也可为安全从业人员提供高级工具和技术见解。
本书首先通过现实案例说明网络安全意识的重要性;然后讲述网络安全三大 基石 密码技术、身份鉴别和访问控制;再根据我国网络安全相关技术标准体系,对网络安全技术体系涉及的物理安全、网络通信安全、区域边界安全、计算环境安全及安全运营中心5个方面进行描述,并辅以相关案例、安全产品介绍;最后结合近年来信息技术的发展情况,分别阐述云计算安全、移动互联网安全、物联网安全和工业控制系统安全的发展。 本书可作为网络安全领域技术人员、管理人员的参考书,也可为非网络安全专业人士提供一些有关网络安全的科普知识。
内容简介这是一部从技术安全、监管框架、合规要求、伦理道德等角度全面讲解生成式人工智能安全问题的实战性著作。本书在坚实的理论基础之上,通过丰富的案例和翔实的数据,系统梳理了企业当下在生成式人工智能实践中面临的各种安全挑战,并给出了应对策略。本书的目标是为读者提供全面且实用的行动框架和实操指南,以促进生成式人工智能行业的健康发展。本书融合了跨学科专家的技术和经验,作者团队包括安全领域的资深技术精英、微软创新教育专家(MIEE)、生成式人工智能技术专家,以及在大数据企业、法律界深耕多年的知识产权与数据合规方面的专家。他们凭借各自的专业知识和实践经验,将理论与实务紧密结合,为读者提供了宝贵的见解和参考。阅读并掌握本书,你将收获以下10个方面知识:(1)大模型安全的范畴、现状和挑战:包括安全
自本书上一版面世以来,无论是社会工程的工具和手段,还是人们所处的环境,都发生了巨大的变化,因此本书推出了升级版。本书作者是具备多年从业经验的社会工程人员,在上一版的基础上增加了新的示例,将社会工程从一门 艺术 上升为 科学 ,让读者知其然更知其所以然。书中的观点均有科学研究支持,无论是个人还是企业都能从本书中得到有益的启示,在更好地保护自身的同时,还能教导他人免于遭受恶意攻击者的侵害。本书后还对有志于从事信息安全工作的人提出了宝贵的建议。
《红队VS蓝队:网络攻防实战技术解析》从红队(攻击方)和蓝队(防守方)两个视角,成体系地阐述了网络攻防实战技术,介绍了许多 攻 和 防 实战对抗中的技巧,并配有系列资料和真实案例。 《红队VS蓝队:网络攻防实战技术解析》分为红方攻击篇(第1~5章)和蓝方防守篇(第6~10章)两部分。红方攻击篇从实战演练的传统攻击思路出发,介绍了互联网信息收集、外网边界突破、内网渗透、权限提升与维持四大环节,覆盖了实战攻击的全流程。最后通过几个攻击方的经典案例,分享了不同场景下的攻击思路与技巧。蓝方防守篇从讲述完整的保障体系出发,介绍了常用的技术、保障时期防护体系的落地、常态化运营与重要时期保障之间的转换、特殊场景下的防护策略等,并在第10章通过4个案例分享了笔者团队实施的保障案例,希望读者能从中了解保障的真实过程
本书以Web漏洞基本原理为切入点,将相似的漏洞归类,由浅入深、逐一陈述。本书共11章,分别为Web安全概述、计算机网络基础知识、测试工具与靶场环境搭建、传统后端漏洞(上、下)、前端漏洞(上、下)、新后端漏洞(上、下)、逻辑漏洞(上、下),每章以不同的漏洞类型为小节内容,尽可能涵盖已发现和公开的所有重大Web安全漏洞类型。本书配有53个漏洞实战案例,并附赠所有漏洞实战案例的完整源码,方便读者学习,获取方式见封底二维码。 本书可作为代码审计、渗透测试、应急响应、基线核查、红蓝对抗、防御加固等相关工作从业人员的参考资料,亦可作为企业安全管理者开展企业安全建设的技术指南,还可作为大中专院校及Web安全培训班的Web安全培训教材。
随着近几年互联网的发展,Python在各行各业发挥着举足轻重的作用。除应用在科学计算、大数据处理等人们熟知的领域外,在信息安全领域中使用也异常广泛。这是因为对于黑客或者渗透测试工程师来说python语言不仅上手容易,而且还有大量丰富的开源库。通过python可以帮助他们又好又快的完成一项任务,以少量的代码便可实现所需功能。本书结合具体场景和真实案例,详细叙述了python在渗透测试过程中所涉及到的信息收集、漏洞检测、数据爆破、模糊测试、流量分析等方面的实现过程。本书内容详细,过程清晰,非常易于读者深入理解。可为成为一名合格的网络安全员打下坚实的基础
本书系统性地介绍数据安全架构的设计与实践,融入了作者多年在安全领域积累的实践经验。全书分四大部分,共20章。第壹部分介绍安全架构的基础知识,内容包括安全、数据安全、安全架构、5A方法论、CIA等基本概念,为后续论述奠定基础。第二部分介绍产品安全架构,内容包括:身份认证、授权、访问控制、审计、资产保护等,讲解如何从源头设计来保障数据安全和隐私安全,防患于未然。第三部分介绍安全技术体系架构,内容包括:安全技术架构、网络和通信层安全架构、设备和主机层安全架构、应用和数据层安全架构、安全架构案例分析等。第四部分介绍数据安全与隐私保护治理,内容包括:数据安全治理、数据安全政策文件体系、隐私保护基础与增强技术、GRC方案、数据安全与隐私保护的统一等。
这是一部安全行业公认的域渗透标准著作,从协议原理、基础知识、工具使用、渗透手法、漏洞利用、权限维持6个维度全面讲解域渗透攻防技术与技巧,不仅能帮助读者深入了解域内攻防的本质,而且提供大量的实践案例。是深信服攻防渗透专家多年的一线域内攻防实战经验,获得阿里、腾讯、、小米、美团、金山、360、奇安信、长亭、绿盟、启明星辰等企业和机构的30余位专家高度评价并推荐。本书具体包含如下6个方面的内容:(1)协议原理详细剖析了NTLM协议、Kerberos协议、LDAP三种协议的原理,域渗透中很多漏洞都是围绕这3个协议展开的。(2)基础知识全面介绍了工作组和域、域信任、域搭建与配置、本地账户和活动目录账户、本地组和域组、访问控制列表等各种域的基础知识,帮助读者打好坚实基础。(3)工具使用详细地讲解了BloodHound、Adfind、Admod、Rubeus
这是一本全面覆盖 本地 云 混合域环境攻防的实战指南,帮助安全从业者和企业构建更强大、完善的防御能力,使其更从容地应对复杂多变的安全场景与挑战。 本书由微软全球最有价值专家与360安全专家倾力打造,结合大量AD及Microsoft Entra ID(原Azure AD)攻防案例,从攻防两端视角设计了一整套域攻防实战链条:以混合域攻防实战为主线,基于ATT CK框架模型,系统解析AD域和Microsoft Entra ID在攻防各阶段涉及的技术原理、攻击手段、典型漏洞以及防御策略。 全书内容丰富翔实、讲解深入透彻,覆盖信息收集、AD权限获取、域信任、Kerberos域委派、ACL后门、ADCS攻防、Microsoft Entra ID攻防等核心技术,配合大量实例。既能帮助从业者理解域攻防本质,掌握实际攻击手段,做到知己知彼;又能助力企业以攻促防,构建更坚实的安全防线。 本书适合各层次的网络安全从业者阅读
本书汇集了 大东话安全 团队多年从事网络安全科普活动的经验和成果。全书 采用轻松活泼的对话体形式, 以大东和新手小白的对话为载体,用 32 个故事向读者介绍网络安全知识。全书共分为5篇: 病毒初现 篇介绍了计算机病毒的原理,并以典型病毒为例进行深入分析; 魔道相长 篇介绍了网络世界中常见的攻击手段; 正者无敌 篇介绍了新的反击技术和手段; 新生安全 篇主要介绍脱离伴生安全理念的新生安全的典型代表,包括金融安全、大数据安全、区块链安全等; 隐逸江湖 篇介绍了与大众生活息息相关的黑色产业链、 黑客大会等内容。本书适合所有对网络安全感兴趣的读者阅读,特别适合在网络空间安全、 计算机技术等领域有一定基础的大学生们,通过阅读此书这些读者可以了解网络安全的学科体系。本书同样可以帮助非专业的读者朋友们掌握一定的网
这是一本能系统指导银行等金融机构切实做好信息科技风险管理从而提升业务价值的著作。它是5位资深的银行业科技工作者近20年的工作总结,汇聚了他们在大型商业银行、股份制银行、城商行的宝贵经验。 本书的理念是: 从容驾驭科技风险,让合规创造价值 ,从合规管理和技术防控2个维度全面地分析和讲解了信息科技风险管理的监管规则、合规要求、技术方案和实施方法等,可以作为信息科技风险管理的标准参考书。 合规管理层面:基于对信息科技风险管理的监管要求的深入分析和作者团队丰富的从业经验,总结了信息科技治理、信息科技风险管理、信息科技审计、信息安全管理、信息科技开发及测试、信息科技运行及维护、业务连续性管理、信息科技外包管理8大领域的方法论和落地要求。 技术防控层面:从业务架构、技术架构、功能实现、预期效
这是一本以实用和实践为导向,从甲乙双方视角全面讲解数据安全的著作。本书由国内数据安全领域的领军企业闪捷信息官方出品,三位作者均为长期耕耘于数据安全领域的资深专家,得到了包括比亚迪联合创始人、腾讯云鼎实验室负责人在内的多位企业界和学术界专家的高度评价和推荐。本书系统讲解了数据安全的技术基础、能力体系及其构建方法、产品使用及其实现、行业解决方案,以及如何将数据安全方案全面落地的综合案例,既能帮助读者全面构建数据安全的知识图谱,又能指引读者解决数据安全系统建设与运营过程中的各种难题。本书将为行业机构、企业组织、政府部门、专家学者等开展数据安全相关工作提供参考与借鉴。 第 一篇 数据安全基础技术(第1~3章)介绍密码学知识、访问控制和人工智能安全等数据安全的基础技术和前沿热点。特别是人工
在网络安全领域,网络协议的安全性至关重要。随着网络环境日益复杂,漏洞的发现与防范成为关键。《攻击网络协议:协议漏洞的发现 利用 保护》从攻击者视角出发,全面且深入地剖析网络协议安全,旨在让读者更好地理解潜在风险与应对策略。 《攻击网络协议:协议漏洞的发现 利用 保护》分为10章,先梳理了网络基础以及协议流量捕获相关的知识,为后续深入学习筑牢根基,随后深入探讨静态/动态协议分析、常见协议的结构、加密和协议安全等知识,最后着重讲解寻找和利用漏洞的方法,还对常见的漏洞分类、模糊测试、调试和各种类型的耗尽攻击进行了讲解。本书还通过一个附录对常用的网络协议分析工具进行了概述。 《攻击网络协议:协议漏洞的发现 利用 保护》适合网络安全领域的专业人士(如渗透测试人员、漏洞猎人、开发人员等)阅读,也适
数字风控体系:设计与实践系统地讲解了基于人工智能技术搭建数字风控体系的原理与实践,并通过典型行业的风控实践对风控体系的每个部分进行了详细的讲解。以帮助风控从业人员从黑产、用户行为事件、特征、模型算法、策略、处置方法等方面系统地理解风控系统原理,并掌握将这些原理在业务中落地的能力,建立完整的风控运营体系。同时,也希望能够帮助企业的CEO/CTO/CIO/产品经理/产品运营等产品规划、设计、运营人员理解风控的必要性和原理,在产品规划设计运营中兼顾风险控制,以便更好地推动产品的发展。 数字风控体系:设计与实践适合企业CRO、风控策略、风控算法等风控从业者阅读,也可供企业CEO、CTO、CIO、产品经理、产品运营等产品规划、设计、运营人员参考学习。
本书深入剖析了数据要素行业的发展趋势和关键安全技术,并探讨了新技术如何赋能各行各业。全书分为三个核心篇章: 体系篇 构建了数据要素安全的理论框架,从宏观角度分析了数据要素的演进及相关法律法规的制定,旨在帮助读者理解数据要素安全的重要性及背景知识; 技术洞察篇 深入探讨了前沿技术,揭示了数据安全自用、数据可信确权、数据可控流通和协同安全计算等核心应用场景的技术细节和应用洞察; 实践案例篇 通过具体案例展示了技术在全球各行业中的应用,指导读者选择合适的技术来构建数据要素的安全流通体系。 本书适合企业决策者、数据业务负责人、隐私计算和机密计算相关厂商及各层次技术人员阅读。
内容简介这是一本体系化的云原生安全攻击、防御和运营实战指南,是奇安信和安易科技团队多年云原生安全的经验总结,同时融合了行业先进的理念和实践。首先详细介绍了云原生安全的核心概念、发展现状和未来趋势,以及云原生安全面临的新风险和挑战;然后讲解了云原生安全的技术、工具和流程等,包括主流的云原生安全框架、云基础设施安全、制品安全、运行时安全;接着根据ATT CK的各个阶段讲解了针对云原生安全的攻击手段及其防御方法;最后讲解了如何构建体系化的安全运营方案,助力企业的云原生安全防护建设落地。本书有如下特点:?1.云原生安全领域核心概念快速扫盲。?2.参考行业先进经验,因地制宜的实践指南。?3.ATT CK框架下的细致入微的云原生安全攻防教学。?4.代码级的云原生安全防护案例。
