网络空间安全技术丛书渗透测试基础:可靠性安全审计实践指南

相关资料

[

译 者 序
随着IT技术的快速发展和广泛应用,在促进经济发展和社会进步的同时,企业IT环境也越来越受到重视。应用系统的复杂性、基础设施的多样化,导致在企业IT环境中可能存在多种安全隐患。这些隐患可能对企业*核心的数据资产造成致命打击,后果不堪设想。VFEmail是美国一家经营近20年的邮件服务商,因黑客删除其近20年的数据和全部备份而宣布倒闭。Cryptopia Limited是新西兰一家经营加密货币交易的公司,拥有来自全球各地的30多万个账户,因黑客成功窃取价值1 600多万美元的加密货币而申请美国破产保护。因此,信息安全已成为企业至关重要、不容忽视的一部分。
在国内,银行、证券等金融机构对信息安全建设极其重视,一直在不断增强企业信息的安全性。但也有很多中小型企业,对信息安全建设甚至没有明确概念,忽视建设的重要性,从而导致出现问题后需要用更高的代价去维护。由于信息安全具有极高的专业性,近年来逐渐涌现出一大批信息安全团队和创业公司。在这个垂直的细分领域存在大量的市场需求,因此也充满商业机会。
近年来,随着云计算的蓬勃发展,企业基础设施得到了长足发展,更多的应用系统可以更快、更方便地运行在公有云之上。这给企业信息安全带来了更大的挑战。企业需要储备自己的专业人才,个人需要发展自己的专业技能。不同于传统IT领域,无论大学教育、职业培训,还是技术生态圈,个人都可以获得体系化的知识、系统性的教育。但在安全领域,一方面专业性的图书相对较少,另一方面系统性介绍某个专题的图书相对较少。在安全领域存在“脚本小子”的戏谑,其中一个原因就是有些人在学习知识时没有好的参考资料。本书就是渗透测试入门的一本好书。
本书对渗透测试领域的基础知识进行了详细讲述,系统地涵盖了渗透测试的全生命周期。针对每个主题,都提供了大量的实用工具,并结合实例进行讲解,具有理论联系实际的特点。虽然不可能对每个主题进行特别深入的讲解(比如,单就Metasploit这个主题就可以写成一本书),但是各种基础知识涵盖很全。在读完本书后,读者对渗透测试将有一个清晰视图,从而建立完整的知识体系,有利于快速入门和后续的技能精进。如有必要,在工作和学习的过程中可以就某个主题进行深入研究。
我认为技术类图书的翻译工作是一个学习再创造的过程。在充分理解作者意图的同时,译文需要极大限度地保持作者原意,“信达雅”是译者追求的理想目标。在翻译图书的过程中,得到了关敏等编辑的大力帮助,他们为本书的出版付出了艰辛的劳动,做出了卓越的贡献。没有他们的努力,就没有本书的出版。同时,感谢家人对我的理解和支持。正是他们在背后的默默支持,才让我能够全力以赴翻译本书。
为者常成,行者常至。每一份辛勤付出,都终有收获。与诸位共勉。
张刚
2019年8月

]

本书特色

[

本书全面介绍了渗透测试,包括需要遵循的标准、特定的黑客技术,以及如何进行渗透测试和编写报告等。书中还包括许多实践练习,以确保读者具备进行专业渗透测试所需的技能。
全书共19章。第1章是渗透测试概览;第2章涵盖各种渗透测试专业标准;第3章介绍密码学;第4章探讨目标侦察技术;第5章讨论几种恶意软件;第6章研究用于入侵Windows系统的特定技术;第7和8章探讨Web服务器和页面的漏洞扫描;第9~11章概述Linux、Linux渗透测试和Kali Linux;第12章讲解常用黑客技术;第13和14章介绍Metasploit的基础及进阶知识;第15和16章探讨Ruby脚本及其使用;第17章介绍常用黑客知识;第18章讲解更多渗透测试主题;第19章通过对一个小型网络进行渗透测试,帮助读者将所学内容整合到一个项目中。
本书不仅适合专业渗透测试人员学习,也可以作为渗透测试课程的教科书,用于大学课程或行业培训。

]

内容简介

[

本书对渗透测试领域的基础进行了详细讲述,涵盖渗透测试的全生命周期,具有系统性的特点;在讲述的每个主题中都提供了大量的实用工具,并结合实例进行讲解,具有理论联系实际的实战性。虽然每个主题没有进行特别深入的讲解(比如,单就Metasploit一个主题就可以写成一本书),但是符合本书讲解各种基础知识的特点。在读完本书后,读者可以建立对渗透测试的清晰视图,有助于建立完整的知识体系,有利于学习的入门和后续的技能精进。

]

作者简介

[

查克·伊斯特姆(Chuck Easttom)从事IT行业已超过25年,从事网络安全已超过15年。他拥有40多个行业认证,并撰写了25本图书,拥有13项专利。Chuck经常在各种安全会议(包括DEF CON、ISC2安全大会、Secure World等)上发表演讲。他还撰写了大量与安全主题相关的论文,内容涉及恶意软件研发、渗透测试和黑客技术。作为网络安全问题咨询顾问和渗透测试专家,他还拥有丰富的实践经验。

译者简介
张刚,金融行业从业十多年,长期从事基础系统领域的研究,先后从事非结构化数据、前端技术、云计算、数据库、中间件等多个领域的技术预研、平台研发、技术管控和支持等工作。由于网络安全关乎研究的每个领域,因此,一直保持对安全领域的关注和学习

]

目录

目  录译者序前言作者、技术评审者、译者简介第1章 渗透测试概览11.1 什么是渗透测试11.1.1 审计21.1.2 漏洞扫描21.1.3 渗透测试21.1.4 混合测试31.2 术语31.3 方法论41.3.1 测试本质41.3.2 方法61.4 道德问题71.4.1 一切皆为机密81.4.2 不要跨越底线81.4.3 保护客户系统91.5 法律问题91.5.1 计算机欺诈和滥用法案:美国法典第18卷第1030条91.5.2 非法访问存储的通信:美国法典第18卷第2071条101.5.3 身份盗窃惩罚及赔偿法案101.5.4 访问设备欺诈及相关行为:美国法典第18卷第1029条101.5.5 州法律101.5.6 国际法101.6 认证121.6.1 CEH121.6.2 GPEN131.6.3 OSCP131.6.4 Mile2131.6.5 CISSP141.6.6 PPT141.6.7 本书与认证141.7 渗透测试职业151.7.1 安全管理员151.7.2 商业渗透测试151.7.3 政府/国防151.7.4 执法人员161.8 构建自我技能161.9 小结161.10 技能自测171.10.1 多项选择题171.10.2 作业18第2章 标准192.1 PCI DSS192.2 NIST 800-115212.2.1 规划阶段212.2.2 执行阶段222.2.3 后执行阶段232.3 美国国家安全局信息安全评估方法232.4 PTES242.5 CREST(英国)252.6 综合(整合标准为统一方法)262.6.1 预参与阶段262.6.2 实际测试阶段272.6.3 报告阶段282.7 相关标准302.8 其他标准302.8.1 ISO 27002302.8.2 NIST 800-12(修订版1)312.8.3 NIST 800-14312.9 小结322.10 技能自测322.10.1 多项选择题322.10.2 作业34第3章 密码学353.1 密码学基础353.2 加密历史353.2.1 恺撒密码363.2.2 阿特巴希密码363.2.3 多字母替换373.2.4 栅栏密码383.3 现代方法383.3.1 对称加密383.3.2 对称方法改进413.3.3 实际应用413.4 公钥(非对称)加密413.4.1 RSA423.4.2 Diffie-Hellman443.4.3 椭圆曲线密码学443.5 数字签名453.6 哈希453.6.1 MD5453.6.2 SHA453.6.3 RIPEMD463.6.4 Windows 哈希463.7 MAC和HMAC463.7.1 彩虹表473.7.2 哈希传递493.8 密码破解程序493.9 隐写术493.9.1 历史隐写术503.9.2 方法和工具513.10 密码分析523.10.1 频率分析533.10.2 现代方法533.10.3 实际应用543.11 延伸学习553.12 小结563.13 技能自测563.13.1 多项选择题563.13.2 作业57第4章 目标侦察584.1 被动扫描技术584.1.1 netcraft584.1.2 builtwith604.1.3 archive.org604.1.4 Shodan614.1.5 社交媒体624.1.6 谷歌搜索634.2 主动扫描技术634.2.1 端口扫描634.2.2 枚举674.3 Wireshark694.4 Maltego724.5 其他开源情报工具734.5.1 OSINT网站734.5.2 Alexa744.5.3 网站主要提示744.6 小结744.7 技能自测744.7.1 多项选择题744.7.2 作业75第5章 恶意软件775.1 病毒775.1.1 病毒如何传播775.1.2 病毒类型795.1.3 病毒示例815.2 特洛伊木马835.3 其他形式的恶意软件845.3.1 rootkit855.3.2 基于Web的恶意代码855.3.3 逻辑炸弹865.4 创建恶意软件865.4.1 恶意软件编写技能的等级865.4.2 GUI工具875.4.3 简单脚本病毒885.4.4 创建特洛伊木马905.4.5 改变已有病毒925.5 小结925.6 技能自测925.6.1 多项选择题925.6.2 作业93第6章 Windows攻击956.1 Windows详情956.1.1 Windows历史956.1.2 引导过程976.1.3 重要的Windows文件976.1.4 Windows日志986.1.5 注册表996.1.6 卷影复制1026.2 Windows密码哈希1026.3 Windows黑客攻击技术1036.3.1 哈希值传递1036.3.2 chntpw1046.3.3 Net User脚本1046.3.4 系统身份登录1056.3.5 管理员查找1056.4 Windows脚本1066.4.1 net users1066.4.2 net view1066.4.3 net share1066.4.4 net service1076.4.5 netshell1076.5 Windows密码破解1086.5.1 离线NT注册表编辑器1086.5.2 LCP1086.5.3 pwdump1096.5.4 ophcrack1096.5.5 John the Ripper1096.6 Windows恶意软件检测1106.7 Cain and Abel工具1126.8 小结1136.9 技能自测1136.9.1 多项选择题1136.9.2 作业115第7章 Web黑客攻击1167.1 Web技术1167.2 具体网站攻击1177.2.1 SQL脚本注入1177.2.2 XSS1227.2.3 其他网站攻击1247.3 工具1257.3.1 Burp Suite1257.3.2 BeEF1317.4 小结1317.5 技能自测1327.5.1 多项选择题1327.5.2 作业133第8章 漏洞扫描1348.1 漏洞1348.1.1 CVE1348.1.2 NIST1358.1.3 OWASP1358.2 数据包抓取1368.2.1 tcpdump1368.2.2 Wireshark1378.3 网络扫描程序1408.4 无线扫描/破解程序1418.5 通用扫描程序1428.5.1 MBSA1428.5.2 Nessus1438.5.3 Nexpose1448.5.4 SAINT1458.6 Web应用程序扫描程序1458.6.1 OWASP ZAP1458.6.2 Vega1468.7 网络威胁情报1488.7.1 threatcrowd.org1488.7.2 Phishtank1488.7.3 互联网风暴中心1488.7.4 OSINT1498.8 小结1498.9 技能自测1508.9.1 多项选择题1508.9.2 作业150第9章 Linux简介1539.1 Linux历史1539.2 Linux命令1559.2.1 ls命令1559.2.2 cd命令1569.2.3 管道输出1579.2.4 finger命令1579.2.5 grep命令1589.2.6 ps命令1589.2.7 pstree命令1599.2.8 top命令1609.2.9 kill命令1619.2.10 基础文件和目录命令1629.2.11 chown命令1629.2.12 chmod命令1639.2.13 bg命令1649.2.14 fg命令1649.2.15 useradd命令1659.2.16 userdel命令1659.2.17 usermod命令1669.2.18 users命令1679.2.19 who命令1689.3 目录1699.3.1 /root1699.3.2 /bin1699.3.3 /sbin1699.3.4 /etc1709.3.5 /dev1719.3.6 /boot1719.3.7 /usr1729.3.8 /var1729.3.9 /proc1739.4 图形用户界面1739.4.1 GNOME1739.4.2 KDE1739.5 小结1749.6 技能自测1749.6.1 多项选择题1749.6.2 作业175第10章 Linux黑客攻击17710.1 Linux系统进阶17710.1.1 sysfs17710.1.2 crond17910.1.3 shell命令18010.2 Linux防火墙18210.2.1 iptables18310.2.2 iptables配置18410.2.3 syslog18510.3 syslogd18610.4 脚本编写18610.5 Linux密码19010.6 Linux黑客攻击技巧19110.6.1 引导攻击19110.6.2 退格键攻击19210.7 小结19210.8 技能自测19210.8.1 多项选择题19210.8.2 作业193第11章 Kali Linux简介19411.1 Kali Linux历史19411.2 Kali基础19411.3 Kali工具19611.3.1 recon-ng19611.3.2 Dmitry19811.3.3 Sparta19911.3.4 John the Ripper20111.3.5 Hashcat20211.3.6 macchanger20211.3.7 Ghost Phisher20311.4 小结20411.5 技能自测20511.5.1 多项选择题20511.5.2 作业205第12章 常用黑客技术20612.1 Wi-Fi测试20612.1.1 热点创建20612.1.2 使用Kali当作热点20812.1.3 WAP管理测试20912.1.4 其他Wi-Fi问题21012.2 社会工程学21012.3 DoS21112.3.1 著名的DoS攻击21112.3.2 工具21212.4 小结21412.5 技能自测21412.5.1 多项选择题21412.5.2 作业215第13章 Metasploit简介21613.1 Metasploit背景21713.2 Metasploit入门21813.3 msfconsole基本用法22013.3.1 基础命令22013.3.2 搜索22113.4 使用Metasploit扫描22313.4.1 SMB扫描程序22313.4.2 SQL Server扫描22413.4.3 SSH服务器扫描22513.4.4 匿名FTP服务器22513.4.5 FTP服务器22613.5 如何使用exploit22713.6 exploit示例22713.6.1 层叠样式表22713.6.2 文件格式exploit22913.6.3 远程桌面exploit23013.6.4 更多exploit23113.6.5 常见错误23113.7 后漏洞利用23213.7.1 获取已登录用户23213.7.2 检查虚拟机23213.7.3 枚举应用程序23313.7.4 更加深入靶机23313.8 小结23413.9 技能自测23513.9.1 多项选择题23513.9.2 作业235第14章 Metasploit进阶23714.1 meterpreter模块和后漏洞利用23714.1.1 arp23714.1.2 netstat23814.1.3 ps23814.1.4 导航23814.1.5 下载和上传23914.1.6 桌面23914.1.7 摄像头24014.1.8 键盘记录器24114.1.9 其他信息24114.2 msfvenom24214.3 Metasploit攻击进阶24414.3.1 格式化所有驱动器24414.3.2 攻击Windows Server 2008 R224414.3.3 通过Office攻击Windows24514.3.4 Linux攻击24514.3.5 通过Web进行攻击24614.3.6 其他Linux攻击24614.3.7 Linux后漏洞利用24714.4 小结24714.5 技能自测24714.5.1 多项选择题24714.5.2 作业248第15章 Ruby脚本简介24915.1 入门24915.2 Ruby基础脚本25015.2.1 **个脚本25015.2.2 语法25115.2.3 面向对象编程25715.3 小结25815.4 技能自测25815.4.1 多项选择题25815.4.2 作业260第16章 使用Ruby编写Metasploit exploit26116.1 API26116.2 入门26316.3 研究已有exploit26416.4 扩展已有exploit26616.5 自己编写exploit26816.6 小结26916.7 技能自测26916.7.1 多项选择题26916.7.2 作业270第17章 常用黑客知识27117.1 会议27117.2 暗网27217.3 认证和培训27417.4 网络战和恐怖主义27617.5 小结27717.6 技能自测27717.6.1 多项选择题27717.6.2 作业278第18章 更多渗透测试主题27918.1 无线渗透测试27918.1.1 802.1127918.1.2 红外线28218.1.3 蓝牙28218.1.4 其他无线形式28318.1.5 Wi-Fi黑客攻击28418.2 大型机和SCADA28718.2.1 SCADA基础28718.2.2 大型机28918.3 移动渗透测试28918.3.1 蜂窝技术术语28918.3.2 蓝牙攻击29018.3.3 蓝牙/手机工具29018.4 小结29318.5 技能自测29318.5.1 多项选择题29318.5.2 作业294第19章 渗透测试项目示例29519.1 渗透测试提纲29519.1.1 预测试活动29519.1.2 外部测试29619.1.3 内部测试29719.1.4 可选项29819.2 报告大纲29919.3 小结29919.4 作业300附录 多项选择题答案301

封面

网络空间安全技术丛书渗透测试基础:可靠性安全审计实践指南

书名:网络空间安全技术丛书渗透测试基础:可靠性安全审计实践指南

作者:[美] 查克·伊斯特姆(Chuck Ea

页数:316

定价:¥99.0

出版社:机械工业出版社

出版日期:2018-02-01

ISBN:9787111637417

PDF电子书大小:65MB 高清扫描完整版

百度云下载:http://www.chendianrong.com/pdf

发表评论

邮箱地址不会被公开。 必填项已用*标注