登入帳戶  | 訂單查詢  | 購物車/收銀台(0) | 在線留言板  | 付款方式  | 聯絡我們  | 運費計算  | 幫助中心 |  加入書簽
會員登入   新用戶註冊
HOME新書上架暢銷書架好書推介特價區會員書架精選月讀2023年度TOP分類閱讀雜誌 香港/國際用戶
最新/最熱/最齊全的簡體書網 品種:超過100萬種書,正品正价,放心網購,悭钱省心 送貨:速遞 / 物流,時效:出貨後2-4日

2024年10月出版新書

2024年09月出版新書

2024年08月出版新書

2024年07月出版新書

2024年06月出版新書

2024年05月出版新書

2024年04月出版新書

2024年03月出版新書

2024年02月出版新書

2024年01月出版新書

2023年12月出版新書

2023年11月出版新書

2023年10月出版新書

2023年09月出版新書

『簡體書』渗透测试高手 打造固若金汤的安全网络

書城自編碼: 3161218
分類: 簡體書→大陸圖書→計算機/網絡信息安全
作者: [美]Wil Allsopp 著 杨雪 译
國際書號(ISBN): 9787302497806
出版社: 清华大学出版社
出版日期: 2018-03-01
版次: 1

書度/開本: 16开 釘裝: 平装

售價:NT$ 324

我要買

share:

** 我創建的書架 **
未登入.



新書推薦:
经纬度丛书·州县之民:治乱之间的小民命运
《 经纬度丛书·州县之民:治乱之间的小民命运 》

售價:NT$ 440.0
女性史:古代卷(真正意义上的女性大历史)
《 女性史:古代卷(真正意义上的女性大历史) 》

售價:NT$ 560.0
跨代伴侣治疗
《 跨代伴侣治疗 》

售價:NT$ 440.0
精华类化妆品配方与制备手册
《 精华类化妆品配方与制备手册 》

售價:NT$ 990.0
经纬度丛书:出祁山:诸葛亮北伐得与失
《 经纬度丛书:出祁山:诸葛亮北伐得与失 》

售價:NT$ 440.0
心理治疗中的真意:心理治疗师的心灵之旅
《 心理治疗中的真意:心理治疗师的心灵之旅 》

售價:NT$ 440.0
心理咨询与治疗技术经典入门(第3版)
《 心理咨询与治疗技术经典入门(第3版) 》

售價:NT$ 650.0
无冕之王:齐桓公与齐国崛起
《 无冕之王:齐桓公与齐国崛起 》

售價:NT$ 290.0

建議一齊購買:

+

NT$ 832
《 网络攻防实战研究:漏洞利用与提权 》
+

NT$ 384
《 Python黑客攻防入门 》
+

NT$ 569
《 Metasploit渗透测试指南(修订版) 》
+

NT$ 641
《 网络安全测试实验室搭建指南 》
+

NT$ 518
《 互联网企业安全高级指南 》
+

NT$ 599
《 灰帽黑客(第4版):正义黑客的道德规范、渗透测试、攻击方法和漏洞分析技术 》
編輯推薦:
作者 Wil Allsopp 是渗透测试领域的专家,他为我们提供了一个全新的渗透测试视角。与其他介绍渗透测试的书籍相比,《渗透测试高手 打造固若金汤的安全网络》并未花费笔墨介绍 NMap、Kali Linux 等常规工具,而是以为不同行业的客户执行的渗透测试为例介绍高级持续性威胁Advanced Persistent Threat,APT建模,并给出一系列实用的工具和解决方案。强烈建议对网络安全感兴趣或正从事网络安全工作的读者阅读《渗透测试高手 打造固若金汤的安全网络》。Wil Allsopp 详细描述了如何针对不同目标定制攻击,即使读者不具备编程背景也能了解攻击者如何隐蔽地从安全的网络中窃取数据。通过大量示例展示了社会工程学在网络攻击中的作用。 2017年5 月,WannaCry 蠕虫大规模感染计算机并植入勒索软件加密用户的数据,受害者需要支付300美金的比特币才能解锁。读者可以在《渗透测试高手 打造固若金汤的安全网络》中了解到勒索软件的机制。此外,作者针对英国某军事计算机网络执行的 APT 建模令人大开眼界,而他对银行等高安全性机构执行的渗透测试会让许多同行啧啧称赞。
內容簡介:
如何使用专业黑客的技术构建不可逾越的防线
传统的渗透测试往往过于刻板,仅快速审计目标网络和应用程序的安全性。高价值目标必须进一
步加固自己的IT基础设施以防御当前高度积极和专业的攻击者,而这只能依靠精通专业的攻击者手段
和渗透测试技术的安全分析师与工程师来实现。
《渗透测试高手 打造固若金汤的安全网络》由曾为《财富》世界100强企业执行入侵与渗透测
试的*安全专家撰写,旨在向读者传授证书培训或常规防御扫描器未涉及的针对并攻陷高安全性环
境的技术。作者Wil Allsopp并未局限于Kali linux和Metasploit,而是向读者提供了一个复杂且高度现实
的攻击模拟。他综合社会工程学、编程及漏洞利用等多学科的知识,向读者介绍如何:
● 发现并创建攻击向量
● 在目标企业中隐蔽地移动,侦察网络和操作系统信息,并测试架构
● 通过社会工程学策略完成初始攻击
● 攻陷目标机器并在其上部署稳健的命令与控制基础设施
● 使用高级数据渗漏技术——即使目标并未直接连接到互联网
● 使用高级权限提升方法
● 利用收集到的用户名和密码等凭据渗透至网络及操作系统
● 使用VBA、Windows Scripting Host、C、Java、JavaScript及Flash等编写自定义的代码
關於作者:
Wil Allsopp喜欢将物品拆卸成零件,但他偶尔又将它们重新组装起来。Wil对渗透测试的热情就如同许多人热衷于逛酒吧Wil也经常会去酒吧喝上一杯。1999年,Wil在Zaltbommel一家名为斯塔特的咖啡店里偶遇了一位志趣相投的伙伴,随后他辞去IBM软件开发工程师的职位,转而成立了老虎队安全公司。由于时间的原因至少Wil这么认为,这家公司后来被并入库拉索安全公司。二十年过去了,Wil仍在不断搞破坏,而不同的是,目前是一些世界知名的企业花钱请他进行破坏。Wil目前和妻子一起居住在荷兰,与他们一同生活的还有一大群猫、狗、鸡和一只名叫马尔科姆的癞蛤蟆。我们在黑暗中劳作,竭尽所能并奉献所有。我们的怀疑出自热情,而保持热情是完成任务所必需的。剩下的就是艺术的疯狂。 Henry James
目錄
目 录
第1章 医疗记录的安全性 1
1.1 高级持续性威胁仿真介绍 2
1.2 背景与任务简介 2
1.3 攻击载荷传递第一部分:学会
使用VBA宏指令 5
1.3.1 如何不发动VBA攻击 5
1.3.2 检查VBA代码 9
1.3.3 避免使用shellcode 9
1.3.4 自动执行代码 10
1.3.5 使用VBAVBS双传输器 11
1.3.6 尽量保持代码的通用 11
1.3.7 代码混淆 12
1.3.8 引诱用户 13
1.4 命令与控制第一部分:基础
知识与要领 16
1.5 攻击 19
1.6
小结 22
1.7 练习 23
第2章 数据窃取研究 25
2.1
背景与任务介绍 26
2.2
攻击载荷传递第二部分:
使用Java小程序 27
2.2.1 Java代码签名 27
2.2.2 编写一个Java小程序
传输器 30
2.2.3 编造令人信服的借口 33
2.2.4 对传输器签名 34
2.3 攻击载荷持久性的相关要点 35
2.3.1 Windows操作系统 35
2.3.2 Linux操作系统 36
2.3.3 OSX操作系统 38
2.4 命令与控制第二部分:高级
攻击管理 39
2.4.1 隐蔽性增强及多系统管理 39
2.4.2 实现命令结构 40
2.4.3 创建管理界面 41
2.5 攻击 42
2.5.1 态势感知 42
2.5.2 通过活动目录收集情报 43
2.5.3 分析活动目录的输出 44
2.5.4 攻击脆弱的二级系统 45
2.5.5 通过密码重用攻击主要的
目标系统 46
2.6 小结 47
2.7 练习 47
第3章 21世纪的抢劫 49
3.1 可能奏效的方式 49
3.2 一切皆不安全 50
3.3 部门政治 50
3.4 APT建模与传统渗透测试 51
3.5 背景与任务简介 51
3.6 命令与控制第三部分:高级
通道与数据窃取 52
3.6.1 有关入侵检测和安全运维
中心的注意事项 55
3.6.2 SOC小组 56
3.6.3 SOC的运转机制 56
3.6.4
SOC反应时间与干扰 57
3.6.5
规避入侵检测系统 57
3.6.6
事件误报 58
3.7 攻击载荷传递第三部分:物理
媒介 58
3.7.1 一种全新的社会工程学
攻击方式 59
3.7.2
目标位置分析 59
3.7.3
收集目标 59
3.8 攻击 62
3.9 小结 64
3.10
练习 64
第4章 制药业 65
4.1 背景与任务简介 66
4.2 攻击载荷传递第四部分:客户
端利用 67
4.2.1
Flash的诅咒 67
4.2.2
至少你可以弃用Flash 68
4.2.3 内存崩溃缺陷:相关注意
事项 68
4.2.4
寻找攻击目标 70
4.3 命令与控制第四部分:集成
Metasploit 72
4.3.1
基本的Metasploit集成 72
4.3.2
服务器配置 73
4.3.3
黑帽子白帽子 73
4.3.4
反病毒软件 74
4.3.5
跳板攻击 75
4.4 攻击 75
4.4.1
硬盘防火墙失效 75
4.4.2
Metasploit验证 76
4.4.3
实质 77
4.4.4
Admin的益处 78
4.4.5
典型的子网克隆 81
4.4.6
恢复密码 81
4.4.7 创建数据清单 83
4.5 小结 85
4.6 练习 85
第5章 枪支弹药 87
5.1 背景与任务简介 88
5.2 攻击载荷传递第五部分:仿真
勒索软件攻击
89
5.2.1 勒索软件简介 90
5.2.2 仿真勒索软件攻击的原因 90
5.2.3 勒索软件仿真模型 90
5.2.4 非对称加密 91
5.2.5 远程生成密钥 92
5.2.6 锁定目标文件 92
5.2.7 索要赎金 93
5.2.8 维持C2 94
5.2.9 结语 94
5.3 命令与控制第五部分:创建
隐蔽的C2解决方案 94
5.3.1 洋葱路由器简介 94
5.3.2 torrc文件 95
5.3.3 配置C2代理使用Tor网络 96
5.3.4 Tor网桥 97
5.4 有关隐蔽性及部署的新策略 97
5.4.1 VBA Redux:另一种命令行
攻击向量 97
5.4.2 PowerShell 98
5.4.3 FTP 98
5.4.4 Windows脚本宿主WSH 99
5.4.5 BITSadmin 99
5.4.6 对攻击载荷进行简单混淆 100
5.4.7 规避反病毒软件的其他
策略 102
5.5 攻击 105
5.5.1 枪械设计工程师的回答 105
5.5.2 识别玩家 106
5.5.3 更灵活的VBA文档部署 108
5.5.4 电子邮件与保存的密码 109
5.5.5 键盘记录器与cookies 111
5.5.6 总结 111
5.6 小结 112
5.7 练习
113
第6章 犯罪情报 115
6.1 攻击载荷传递第六部分:使用
HTA部署 116
6.2 在Microsoft Windows系统中
提升权限 118
6.2.1 通过本地漏洞利用提升
权限 119
6.2.2 利用自动化操作系统安装 122
6.2.3 利用任务调度器 123
6.2.4 利用易受攻击的服务 124
6.2.5 DLL劫持 126
6.2.6 挖掘Windows注册表 129
6.3 命令与控制第六部分:
爬虫盒 129
6.3.1 爬虫盒说明书 130
6.3.2 Raspberry Pi及其组件
介绍 130
6.3.3 通用输入输出 131
6.3.4 选择操作系统 132
6.3.5 配置全硬盘加密 132
6.3.6 隐蔽性 136
6.3.7 使用3G4G配置带外命令
与控制 136
6.3.8 创建透明网桥 139
6.3.9 将Raspberry
Pi用作远程键盘
记录器的无线访问点 140
6.4 攻击 143
6.5 小结 145
6.6 练习
145
第7章 战争游戏 147
7.1 背景与任务简介 148
7.2 攻击载荷传递第七部分:USB
霰弹攻击法 149
7.2.1 USB存储媒介 149
7.2.2 简单的社会工程学 151
7.3 命令与控制第七部分:高级
自主数据渗漏 151
7.3.1
自主的含义 151
7.3.2 不同的数据出口方式 151
7.4 攻击 155
7.4.1 构建攻击保密网络的攻击
载荷 157
7.4.2 隐蔽安装3G4G软件 157
7.4.3 攻击目标并部署攻击载荷 158
7.4.4 有效的突发式数据
渗漏 159
7.5 小结 159
7.6 练习
160
第8章 攻击出版社 161
8.1 简介 161
8.2 社会工程学中的高级概念 162
8.3 命令与控制中的实验概念 166
8.3.1 方案一:C2服务器引导
代理管理 166
8.3.2 方案二:半自主C2代理
管理 168
8.4 攻击载荷传递第八部分:令人
眼花缭乱的网页内容 170
8.4.1 Java Web Start 171
8.4.2 Adobe Air 171
8.4.3 浅谈HTML5 172
8.5 攻击 172
8.6 小结 175
8.7 练习
175
內容試閱
《渗透测试高手打造固若金汤的安全网络》每一章都介绍了我对某特定行业的APT建模经验。因此,每一章都会引入新的概念、思想并启发读者。我认为从不同的行业背景、对安全的态度以及能力差异巨大的网络防御人员等角度来介绍APT建模很有价值。如果你是一名渗透测试工程师,你会有所收获。如果你的职责是防止攻击者入侵所在单位的系统,你会了解到一些让你半夜睡不着的内容,但《渗透测试高手打造固若金汤的安全网络》也会告诉你如何构建更具弹性的防御措施。
我无意写作一本枯燥乏味的技术手册,《渗透测试高手打造固若金汤的安全网络》的每个章节都采用了类似的格式以不同的行业作为背景,我们在其上探究新的技术、攻击方式及主题。这不仅包括成功的攻击向量,还包括权限提升、规避恶意软件检测、态势感知、内网漫游以及多种能够帮助读者深入理解高级可持续威胁和APT建模的关键技术。虽然我给出了许多示例,但《渗透测试高手打造固若金汤的安全网络》的目标并不是简单地提供一些代码和脚本,而是鼓励读者更宽泛地、从根本上理解这些问题,从而能够以新的方式思考并开发自己的工具。
l 第1章医疗记录的安全性讨论针对医院基础设施的攻击,阐述宏攻击和浏览器攻击等概念,并初步介绍C2。
l 第2章数据窃取研究以一所研究型大学遭受的攻击为背景探讨使用Java小程序作为攻击向量,并讨论更高级的C2。
l 第3章21世纪的抢劫讨论如何针对银行等高安全性目标执行渗透测试和采用了DNS协议的高级C2技术。
l 第4章制药业介绍一场针对制药公司的攻击,并以此为背景介绍客户端利用及将Metasploit等第三方框架集成到C2。
l 第5章枪支弹药介绍勒索软件仿真以及使用洋葱路由The Onion Router,Tor隐蔽服务来掩盖C2基础设施的物理地址。
l 第6章犯罪情报以入侵某警察总部为背景描述,当能够短暂访问攻击目标时使用爬虫盒实现长期的攻击活动。此外,该章还将介绍权限提升和通过HTML应用程序部署攻击等概念。
l 第7章战争游戏探讨针对保密网络的攻击,并阐释公开资源情报收集和命令与控制中的高级概念。
l 第8章攻击出版社展示了如何利用出版社采用的技术和工作流程来攻击。本章探讨新兴的多元媒体及实验性的C2方法,并介绍社会工程学中的高级概念。
现在,让我们一同开启高级渗透测试之旅。

 

 

書城介紹  | 合作申請 | 索要書目  | 新手入門 | 聯絡方式  | 幫助中心 | 找書說明  | 送貨方式 | 付款方式 台灣用户 | 香港/海外用户
megBook.com.tw
Copyright (C) 2013 - 2024 (香港)大書城有限公司 All Rights Reserved.