百道网
 您现在的位置:Fun书 > 网络空间安全实验教程
网络空间安全实验教程


网络空间安全实验教程

作  者:王顺

出 版 社:机械工业出版社

出版时间:2020年11月

定  价:55.00

I S B N :9787111665472

所属分类: 教育学习  >  教材  >  高职高专教材    

标  签:

[查看微博评论]

分享到:

TOP内容简介

《网络空间安全实验教程》内容包括注入攻击、XSS与XXE攻击、认证与授权攻击、开放重定向与IFrame框架钓鱼攻击、CSRF/SSRF与远程代码执行攻击、不安全配置与路径遍历攻击、不安全的直接对象引用与应用层逻辑漏洞攻击、客户端绕行与文件上传攻击、弱与不安全的加密算法攻击、暴力破解与HTTP Header攻击、HTTP参数污染\篡改与缓存溢出攻击,还讲解了两种安全测试工具的使用,包括Burp Suite和ZAP。
《网络空间安全实验教程》既可作为高等院校计算机类、信息类、工程和管理类专业网络安全相关课程的教材,也可作为软件开发工程师、软件测试工程师、信息安全工程师、信息安全架构师等的参考书或培训指导书。

TOP目录

第1章注入攻击实训
11知识要点与实验目标
111SQL注入攻击
112HTML注入攻击
113CRLF注入攻击
114XPath注入攻击
115Template注入攻击
116实验目的及需要达到的目标
12Testfire网站有SQL注入风险
13Testasp网站有SQL注入风险
14CTF Micro-CMS v2网站有SQL注入风险
15Testfire网站有HTML注入风险
16近期注入攻击披露
17扩展练习
第2章XSS与XXE攻击实训
21知识要点与实验目标
211XSS攻击定义及产生原理
212XSS攻击危害及分类
213XSS漏洞常出现场合
214XXE攻击定义及产生原理
215XXE攻击危害
216实验目的及需要达到的目标
22Testfire网站有XSS攻击风险
23Webscantest网站存在XSS攻击危险
24CTF Micro-CMS v1网站有XSS攻击风险
25近期XSS与XXE攻击披露
26扩展练习
第3章认证与授权攻击实训
31知识要点与实验目标
311认证与授权定义
312认证与授权攻击产生原因
313认证可能出现的问题
314授权可能出现的问题
315常见授权类型
316实验目的及需要达到的目标
32Zero网站能获得管理员身份
33CTF Postbook用户A能修改用户B数据
34CTF Postbook用户A能用他人身份创建数据
35近期认证与授权攻击披露
36扩展练习
第4章开放重定向与IFrame框架钓鱼攻击实训
41知识要点与实验目标
411开放重定向定义和产生原理
412开放重定向常见样例与危害
413IFrame框架钓鱼定义和产生原理
414钓鱼网站传播途径与IFrame框架分类
415实验目的及需要达到的目标
42Testasp网站未经认证的跳转
43Testaspnet网站未经认证的跳转
44Testaspnet网站有框架钓鱼风险
45Testasp网站有框架钓鱼风险
46近期开放重定向与IFrame框架钓鱼攻击披露
47扩展练习
第5章CSRF/SSRF与远程代码执行攻击实训
51知识要点与实验目标
511CSRF定义与产生原理
512SSRF定义与产生原因
513CSRF/SSRF攻击危害
514远程代码执行定义与产生原理
515远程代码执行攻击危害
516实验目的及需要达到的目标
52南大小百合BBS存在CSRF攻击漏洞
53新浪weibo存在CSRF攻击漏洞
54CTF Cody's First Blog网站有RCE攻击1
55CTF Cody's First Blog网站有RCE攻击2
56近期CSRF/SSRF与远程代码执行攻击披露
57扩展练习
第6章不安全配置与路径遍历攻击实训
61知识要点与实验目标
611不安全配置定义与产生原因
612不安全的配置危害与常见攻击场景
613路径遍历攻击定义与产生原因
614路径遍历攻击常见变种
615实验目的及需要达到的目标
62Testphp网站出错页暴露服务器信息
63Testphp网站服务器信息泄露
64Testphp网站目录列表暴露
65言若金叶软件工程师成长之路目录能被遍历
66近期不安全配置与路径遍历攻击披露
67扩展练习
第7章不安全的直接对象引用与应用层逻辑漏洞攻击实训
71知识要点与实验目标
711不安全的直接对象引用定义
712不安全的直接对象引用产生原因
713应用层逻辑漏洞定义与产生原因
714应用层逻辑漏洞危害与常见场景
715实验目的及需要达到的目标
72Oricity用户注销后还能邀请好友
73Testphp网站数据库结构泄露
74Oricity网站有内部测试网页
75智慧绍兴-积分管理页随机数问题
76近期不安全的直接对象引用与应用层逻辑漏洞攻击披露
77扩展练习
第8章客户端绕行与文件上传攻击实训
81知识要点与实验目标
811客户端绕行攻击定义
812客户端绕行攻击的产生原因与危害
813文件上传攻击定义与产生原因
814文件上传攻击常见场景
815实验目的及需要达到的目标
82Oricity网站JS前端控制被绕行
83Oricity网站轨迹名采用不同验证规则
84Oricity网站上传文件大小限制问题
85智慧绍兴-电子刻字不限制上传文件类型
86近期客户端绕行与文件上传攻击披露
87扩展练习
第9章弱与不安全的加密算法攻击实训
91知识要点与实验目标
911数据加密算法简介
912Base64编码
913单项散列函数
914对称加密算法
915非对称加密
916数字证书(权威机构CA)
917实验目的及需要达到的目标
92CTF Postbook删除帖子有不安全加密算法
93CTF Postbook用户身份Cookie有不安全加密算法
94近期弱与不安全的加密算法攻击披露
95扩展练习
第10章暴力破解与HTTP Header攻击实训
101知识要点与实验目标
1011暴力破解与定义
1012暴力破解分类
1013HTTP Header安全定义
1014HTTP Header安全常见设置
1015实验目的及需要达到的目标
102Testfire网站登录页面有暴力破解风险
103CTF Micro-CMS v2网站有暴力破解风险
104Testfire网站Cookies没有HttpOnly
105Testphp网站密码未加密传输
106近期暴力破解与HTTP Header攻击披露
107扩展练习
第11章HTTP 参数污染/篡改与缓存溢出攻击实训
111知识要点与实验目标

TOP书摘

为实施国家安全战略,加快网络空间安全高层次人才培养,□015年6月,“网络空间安全”已正式被教育部批准为国家一级学科。

网络空间安全的英文名字是Cyberspace Security。早在198□年,加拿大作家威廉·吉布森在其短篇科幻小说《燃烧的铬》中创造了 Cyberspace一词,意指由计算机创建的虚拟信息空间。Cyberspace 在这里强调计算机爱好者在游戏机前体验到交感幻觉,体现了 Cyberspace 不仅是信息的简单聚合体,也包含了信息对人类思想认知的影响。此后,随着信息技术的快速发展和互联网的广泛应用,Cyberspace的概念不断丰富和演化。□008 年,美国第54号总统令对Cyberspace 进行了定义:Cyberspace 是信息环境中的一个整体域,它由独立且互相依存的信息基础设施和网络组成,包括互联网、电信网、计算机系统、嵌入式处理器和控制器系统等。

网络空间既是人的生存环境,也是信息的生存环境,因此网络空间安全是人和信息对网络空间的基本要求。另一方面,网络空间是所有信息系统的集合,而且是复杂的庞大系统,人在其中与信息相互作用、相互影响。因此,网络空间安全问题更加综合、更加复杂。

网络空间安全涉及面很广,如何通过书籍的形式把□想要表达的内容与知识呈现给广大读者,并且如何把理论与实践紧密结合在一起,深入浅出,让读者体会到网络空间安全实际与我们每个人的生活息息相关。这是本书所要深入考虑的问题。

由于作者参与研发的在线会议系统直接面向国际市场,典型客户包括世界著名的银行、金融机构、IT业界、通信公司、政府部门等,这使得作者早在十多年前就可以接触国际上□前沿的各类网络空间安全攻击方式,研究每种攻击方式会给网站或客户可能带来的损害,以及针对每种攻击的□佳解决方案。

由于Web的开放与普及性,导致目前世界网络空间70%以上的安全问题都来自于Web安全攻击,所以本书的选材更偏向Web安全。多年来,作者一直活跃在各种Web安全问题的解决方案上,力图从系统设计、产品代码、软件测试与运营维护多个角度全方位打造安全的产品体系。虽然在网络空间安全领域“破坏总比创建容易”,编者也曾为寻找某类攻击□佳解决方案碰到过许多挫折,但在网络空间安全求真求实的路上从不忘初心,令人欣慰的是,这世上“方法总比困难多”。

本书偏动手实验与实训,与之配套的《网络空间安全技术》偏理论与技术研究。

《网络空间安全技术》包括三大篇章:1 技术原理;□ 安全攻击;3 安全防护。不仅有各种常见安全问题出现的原理,还有攻击是如何产生的,以及□重要的是如何防护各种攻击。同时有大数据、人工智能方面的安全应用,安全法律法规等,有深度防御、总体防御、安全开发生命周期SDL、连续监测与主动防御等。该书试图用一个完整的体系和□新的技术来构建安全的网络空间体系,该书官网及配套资料下载地址:http://books.roqisoft.com/isec。

《网络空间安全实验教程》从国内国际排名□高的各种攻击的定义、产生原理、攻击方式、可能产生的危害等入手,每章都配有攻击成功案例与复现方法,对于这些案例只需要读者能上网就可以进行实验。

本书每章除有经典攻击成功案例供读者练习外,还有目前国内外已经发生的同类安全漏洞披露,让读者体会到网络空间安全实际就在身边,同时配有扩展训练习题,以指导读者深入地进行学习。

为保持本书与其配套教材的连贯性,书中所有章节安排与选材,以及实验都由王顺完成。

由于时间仓促,书中难免存在不妥之处,请读者原谅,并提出宝贵意见。


TOP 其它信息

页  数:227

开  本:16开

加载页面用时:63.4733