密码学是信息安全的基础,本书教读者应用加密技术来解决现实世界中的一系列难题,并畅谈了密码学的未来,涉及 加密货币 、密码验证、密钥交换和后量子密码学等话题。 全书分为两个部分,部分介绍密码原语,涉及密码学基础概念、哈希函数、消息认证码、认证加密、密钥交换、非对称加密和混合加密、数字签名与零知识证明、随机性和秘密性等内容;第二部分涉及安全传输、端到端加密、用户认证、 加密货币 、硬件密码学、后量子密码、新一代密码技术等内容。 本书形式新颖、深入浅出,非常适合密码学领域的师生及信息安全从业人员阅读,也适合对密码学及其应用感兴趣的读者阅读。
本书将通过分析黑客采用的攻击战术来提升测试者的渗透测试技能:通过实验室集成到云服务,从而了解在渗透测试中通常被忽略的一个开发维度;探索在虚拟机和容器化环境中安装和运行Kali Linux的不同方法,以及使用容器在AWS上部署易受攻击的云服务,利用配置错误的S3桶来访问EC2实例;深入研究被动和主动侦察,从获取用户信息到大规模端口扫描,在此基础上,探索了不同的脆弱性评估,包括威胁建模;讲述了如何在受损系统上使用横向移动、特权升级以及命令与控制(C2);探索在互联网、物联网、嵌入式外围设备和无线通信中使用的高级渗透测试方法。
《黑客攻防技术宝典.Web实战篇(第 2版)》是探索和研究Web 应用程序安全漏洞的实践指南。作者利用大量的实际案例和示例代码,详细介绍了各类Web 应用程序的弱点,并深入阐述了如何针对Web 应用程序进行具体的渗透测试。本书从介绍当前Web 应用程序安全概况开始,重点讨论渗透测试时使用的详细步骤和技巧,总结书中涵盖的主题。每章后还附有习题,便于读者巩固所学内容。 第 2 版新增了Web 应用程序安全领域近年来的发展变化新情况,并以尝试访问的链接形式提供了几百个互动式“漏洞实验室”,便于读者迅速掌握各种攻防知识与技能。 《黑客攻防技术宝典.Web实战篇(第 2版)》适合各层次计算机安全人士和Web 开发与管理领域的技术人员阅读。
本书以图配文的形式,详细讲解了6种重要的密码技术:对称密码、公钥密码、单向散列函数、消息认证码、数字签名和伪*数生成器。 第1部分讲述了密码技术的历史沿革、对称密码、分组密码模式(包括ECB、CBC、CFB、OFB、CTR)、公钥密码、混合密码系统。第2部分重点介绍了认证方面的内容,涉及单向散列函数、消息认证码、数字签名、证书等。第3部分讲述了密钥、*数、PGP、SSL/TLS 以及密码技术在现实生活中的应用。 第3版对旧版内容进行了大幅更新,并新增POODLE攻击、心脏出血漏洞、Superfish事件、SHA-3竞赛、Keccak、认证加密、椭圆曲线密码、比特币等内容。
? 利用Ettercap来构建和发动欺骗攻击 ? 使用模糊器来诱发错误条件并使软件崩溃 ? 利用高级逆向工程技术对Windows和Linux上的软件发起漏洞攻击 ? 绕过Windows访问控制和内存保护方案 ? 利用Padding Oracle Attack攻击Web应用程序 ? 研究*近0-day漏洞中使用的 释放后重用 技术 ? 使用高级XSS攻击来劫持Web浏览器 ? 理解勒索软件及其如何控制桌面 ? 使用JEB 和DAD反编译器来剖析Android恶意软件 ? 通过二进制比较来查找1-day漏洞 ? 使用软件无线电(SDR)攻击无线系统 ? 攻击物联网设备 ? 剖析和攻击嵌入式设备 ? 了解漏洞赏金计划 ? 部署下一代蜜罐 ? 剖析ATM恶意软件和常见的ATM攻击 ? 从业务角度分析道德黑客攻击
当你的组织被网络犯罪分子盯上时,你需要做好反击准备。调查安全攻击事件通常是组织自己的责任,因此,开发一个能够帮助你追踪犯罪分子的强大工具包是必不可少的。 本书提供了多种经验证的技术来分析非法网络流量的来源,从公开可用的网络资源中获取情报,追踪那些对你的组织造成威胁的网络罪犯。本书通过易于理解的示例,为调查网络安全事件提供了重要指导。哪怕只有一个IP地址,你也可以开启一次调查之旅,挖掘用来加强防御、协同执法部门甚至将黑客绳之以法的必要信息。本书可以让我们了解到Vinny Troia(作者)在调查网络恐怖组织 黑暗霸主 成员过程中使用的独特方法和实用技术。除了展现作者的专业知识,本书还引入了其他行业专家的智慧(包括Alex Heid, Bob Diachenko, Cat Murdoch, Chris Hadnagy, Chris Roberts, John Strand, Jonathan Cran, Leslie Carhart, Nick Furneux, R
本书从大数据基本概念开始引入,简介大数据目前的技术应用以及技术流程,从而引出大数据时代下的数据便利性、价值以及隐患;列举国内外数据安全事件案例,引出数据治理、数据安全治理概念,介绍国内外数据安全治理常用思路以及多个方法论,并以国内GB/T 37988-2019即DSMM数据安全能力成熟度为实践思路选型,逐个介绍DSMM中三级(充分定义级)定义下各过程域对应组织建设、人员能力、制度流程以及技术工具相关要求,在此之上基于美创科技多年数据安全治理实践经验,对上述各过程域逐一进行解读以及提供实践指南操作建议,并总结归纳DSMM全部要求,整合生成基于数据安全风险评估的量化观察指标和建议实践目标,为组织后续基于DSMM相关实践和自评提供实践指南和参考依据。
本书系统性地介绍数据安全架构的设计与实践,融入了作者多年在安全领域积累的实践经验。全书分四大部分,共20章。第壹部分介绍安全架构的基础知识,内容包括安全、数据安全、安全架构、5A方法论、CIA等基本概念,为后续论述奠定基础。第二部分介绍产品安全架构,内容包括:身份认证、授权、访问控制、审计、资产保护等,讲解如何从源头设计来保障数据安全和隐私安全,防患于未然。第三部分介绍安全技术体系架构,内容包括:安全技术架构、网络和通信层安全架构、设备和主机层安全架构、应用和数据层安全架构、安全架构案例分析等。第四部分介绍数据安全与隐私保护治理,内容包括:数据安全治理、数据安全政策文件体系、隐私保护基础与增强技术、GRC方案、数据安全与隐私保护的统一等。
本书是计算机安全领域的经典教材,系统介绍了计算机安全的方方面面。全书包括5个部分,第部分介绍计算机安全技术和原理,涵盖了支持有效安全策略所必需的所有技术领域;第二部分介绍软件安全和可信系统,主要涉及软件开发和运行带来的安全问题及相应的对策;第三部分介绍管理问题,主要讨论信息安全与计算机安全在管理方面的问题,以及与计算机安全相关的法律与道德方面的问题;第四部分为密码编码算法,包括各种类型的加密算法和其他类型的密码算法;第五部分介绍网络安全,关注的是为在Internet上进行通信提供安全保障的协议和标准及无线网络安全等问题。
这是一部安全行业公认的域渗透标准著作,从协议原理、基础知识、工具使用、渗透手法、漏洞利用、权限维持6个维度全面讲解域渗透攻防技术与技巧,不仅能帮助读者深入了解域内攻防的本质,而且提供大量的实践案例。是深信服攻防渗透专家多年的一线域内攻防实战经验,获得阿里、腾讯、、小米、美团、金山、360、奇安信、长亭、绿盟、启明星辰等企业和机构的30余位专家高度评价并推荐。本书具体包含如下6个方面的内容:(1)协议原理详细剖析了NTLM协议、Kerberos协议、LDAP三种协议的原理,域渗透中很多漏洞都是围绕这3个协议展开的。(2)基础知识全面介绍了工作组和域、域信任、域搭建与配置、本地账户和活动目录账户、本地组和域组、访问控制列表等各种域的基础知识,帮助读者打好坚实基础。(3)工具使用详细地讲解了BloodHound、Adfind、Admod、Rubeus
本书由浅入深,全面、系统地讨论了常见的内网攻击手段和相应的防御方法,力求语言通俗易懂、示例简单明了,以便读者阅读领会。同时,本书结合具体案例进行讲解,可以让读者身临其境,快速了解和掌握主流的内网渗透测试技巧。阅读本书不要求读者具备渗透测试的相关背景。如果读者有相关经验,会对理解本书内容有一定帮助。本书亦可作为大专院校信息安全学科的教材。
本书是基于Windows和Linux操作系统平台编写的软件漏洞分析和利用的项目教程。本书共12章,包括可执行文件格式解析、逆向工程及其工具、加壳与脱壳、缓冲区溢出、漏洞挖掘和利用、异常处理机制及其Exploit、GS保护及其Exploit、ASLR和DEP保护及其Exploit、返回导向编程、Linux Exploit、Egg Hunting技术和堆喷射技术等。 本书内容丰富,特色鲜明,实用操作性强,可作为信息安全专业、计算机及其相关专业本科生的信息安全实践教材,也可以作为计算机用户的参考书和培训教材。
防御更复杂攻击的尖端网络安全解决方案 《网络安全设计权威指南》介绍如何在预算范围内按时设计和部署高度安全的系统,并列举综合性示例、目标和上佳实践。 本书列出恒久有效的工程原理,包括: 定义网络安全问题的基本性质和范围。 从基本视角思考攻击、故障以及攻击者的心态。 开发和实施基于系统、可缓解风险的解决方案。 遵循可靠的网络安全原理,设计有效的架构并制定评估策略,全面统筹应对整个复杂的攻击空间。
《网络攻防技术与实战:深入理解信息安全防护体系》将帮助读者深入理解计算机网络安全技术以及信息安全防护体系。首先,系统地介绍网络攻击的完整过程,将网络攻击各个阶段的理论知识和技术基础与实际的攻击过程有机结合,使得读者深入理解网络攻击工具的实现机制。其次,详细地介绍各种网络防御技术的基本原理,主要包括防火墙、入侵防御系统、恶意代码防范、系统安全和计算机取证等,同时结合当前主流开源防御工具的实现方法和部署方式,以图文并茂的形式加深读者对网络防御技术原理和实现机制的理解。*后,全面地介绍网络安全的基础理论,包括加解密技术、加解密算法、认证技术、网络安全协议等,将基础理论和主流工具的应用实践紧密结合,有利于读者理解抽象的理论知识,有利于读者理解各种主流工具背后的实现机制。
本书从密码基础知识的讲解开始,对商用密码相关政策法规、标准和典型产品进行了详细介绍, 并给出了商用密码应用安全性评估的实施要点以及具体案例,用以指导测评人员正确开展密码应用安 全性评估工作,促进商用密码正确、合规、有效的应用。本书共 5 章,内容包括:密码基础知识,商用密码应用与安全性评估政策法规,商用密码标准与产品应用,密码应用与安全性评估实施要点,以及商用密码应用安全性评估案例。
本书以Web漏洞基本原理为切入点,将相似的漏洞归类,由浅入深、逐一陈述。本书共11章,分别为Web安全概述、计算机网络基础知识、测试工具与靶场环境搭建、传统后端漏洞(上、下)、前端漏洞(上、下)、新后端漏洞(上、下)、逻辑漏洞(上、下),每章以不同的漏洞类型为小节内容,尽可能涵盖已发现和公开的所有重大Web安全漏洞类型。本书配有53个漏洞实战案例,并附赠所有漏洞实战案例的完整源码,方便读者学习,获取方式见封底二维码。 本书可作为代码审计、渗透测试、应急响应、基线核查、红蓝对抗、防御加固等相关工作从业人员的参考资料,亦可作为企业安全管理者开展企业安全建设的技术指南,还可作为大中专院校及Web安全培训班的Web安全培训教材。
本书可以学到如何有效测试系统组件,包括:公共服务,如SSH、FTP、Kerberos、SNMP和LDAP。微软公司服务,包括NetBIOS、SMB、RPC和RDP。 SMTP、POP3和IMAP电子邮件服务。提供安全网络访问的IPsec和PPTP服务。提供运输安全的TLS协议和功能。网络服务器软件,包括微软公司的IIS、Apache和Nginx。框架,包括Rails、Django、微软ASP.NET和PHP。数据库服务器、存储协议和键值对存储。
本书以通俗易懂的语言,从密码学产生的背景、经典的加密算法、常见的加密系统、密钥管理等角度对密码学进行了全面介绍,特别分析了日常生活中互联网、移动电话、wi-fi网络、银行卡、区块链等应用中使用的密码学技术,帮助读者理解密码学在实际生活中的应用。本书关注现代密码学背后的基本原理而非技术细节,读者有高中水平的数学知识,无需理解复杂的公式推导,即可理解本书的内容。本书适合作为高校密码学相关通识课程的教材,也适合作为对密码学感兴趣的读者的入门读物。
《黑客攻防与电脑安全从新手到高手(微视频 火力升级版)》在剖析用户进行黑客防御中迫切需要或想要用到的技术时,力求对其进行 傻瓜 式的讲解,使读者对网络防御技术有一个系统的了解,能够更好地防范黑客的攻击。《黑客攻防与电脑安全从新手到高手(微视频 火力升级版)》共分为 17章,包括电脑安全快速入门,电脑系统漏洞的防护策略,系统入侵与远程控制的防护策略, 电脑木马的防护策略,电脑病毒的防护策略,电脑系统安全的防护策略,电脑系统账户的防护策略,磁盘数据安全的防护策略,文件密码数据的防护策略,网络账号及密码的防护策略,网页浏览器的防护策略,移动手机的安全防护策略,平板电脑的安全防护策略,网上银行的安全防护策略,手机钱包的安全防护策略,无线蓝牙设备的安全防护策略,无线网络安全的防护策略等内容。
本书主要包括基础安全设施建设、安全自动化系统建设、业务安全体系建设3个部分。*部分介绍当进入一个安全建设空白或基本为零的企业时,如何着手规划并一步步建成较为完善的安全体系;第二部分主要介绍安全自动化,帮助大家掌握开源的二次开发思路,设计适合企业自身特点的安全系统;第三部分介绍业务安全体系建设,包括互联网黑产攻击手法、风控系统建设方案和业务安全风险防控体系建设实践。
《Linux信息安全和渗透测试》详细阐述Linux下的信息安全和网络渗透技术,内容涵盖各大主流加解密算法的原理,用Linux C/C 语言自主实现这些技术的方法,以及Linux内核开发技术和IPSec VPN的系统实现,这些都是以后打造自己信息安全工具所需的基本知识。最后介绍网络渗透技术Kail Linux,通过该环境可以了解常用的现成工具。本书共11章,内容包括Linux基础和网络优化、搭建Linux C和C 安全开发环境、对称密码算法、杂凑函数和HMAC、非对称算法RSA的加解密、身份认证和PKI、实战PKI、IPSec VPN基础知识、VPN实战、SSL-TLS编程、内核和文件系统、Kali Linux的渗透测试研究、DPDK开发环境的搭建等。 《Linux信息安全和渗透测试》适合Linux信息安全工程师或开发者阅读,也适合高等院校和培训机构相关专业的师生作为教学参 考书。
本书系统介绍轻量级密码算法。全书共分5章。第1章介绍轻量级密码算法的应用背景和研究现状。第2章介绍分组密码一般性设计原理和轻量级分组密码研究进展,按照整体结构分类介绍轻量级分组密码。第3章介绍流密码一般性设计原理和轻量级流密码研究进展,以及基于LFSR和NFSR的流密码、ARX与随机状态置换类的流密码和小状态流密码。第4章介绍消息鉴别码的共性技术,以及采用分组密码、专用杂凑函数、泛杂凑函数以及直接设计的消息鉴别码。第5章介绍认证加密算法一般性设计原理和研究进展,以及分组密码认证加密工作模式和基于置换、分组密码和流密码的认证加密算法。 本书可作为密码学、网络空间安全、信息安全、计算机和通信专业的研究生和本科高年级学生的相关课程的教材,也可作为相关领域教学、科研和工程技术人员的参考书和工具书。
