新書推薦:
《
真谛全集(共6册)
》
售價:HK$
1156.4
《
敦煌通史:魏晋北朝卷
》
售價:HK$
162.3
《
唯美手编16:知性优雅的编织
》
售價:HK$
56.4
《
情绪的惊人力量:跟随内心的指引,掌控情绪,做心想事成的自己
》
售價:HK$
51.8
《
棉的全球史(历史·文化经典译丛)
》
售價:HK$
112.7
《
超越百岁看这本就够了
》
售價:HK$
57.3
《
亚洲戏剧史·南亚卷
》
售價:HK$
147.2
《
中国历代竹器图谱与数字活化
》
售價:HK$
572.7
|
| 編輯推薦: |
|
本书主要是提供安全漏洞检测工具使用指导,以提高自身整体的信息安全水平。
|
| 內容簡介: |
|
本书编者为国网浙江省电力公司电力科学研究院内从事信息安全管理和技术研究的科技人员,着眼于新的信息网络安全需求,结合本书编写时的国内外信息安全背景,编者决定将多年工作的经验总结出来,为中国信息安全尽一份绵薄之力。
|
| 關於作者: |
陈华智
国家注册信息安全专业人员
国家电网公司优秀专家人才后备
高级工程师
多年来一直专注电网信息化、电力信息安全的实践、应用和探索,并致力于打造具有科技创新、技术创新的精干团队。
[奋斗目标]
坚持感恩、奉献、分享、成人之美
基本理念,坚持正面、包容、诚信、高标准的行为准则,坚持合作共赢、业务专家本分的行为模式,强调遵守法律、道德和伦理,构建统一共同体,通过技术及战略的方法来建设团队竞争力并成为专业领域领袖人才,进而改变个人、企业的命运,最终成为实现中国梦的一股正面力量。
|
| 目錄:
|
目录
一、背景... 8
二、渗透测试介绍... 8
2.1渗透测试定义... 8
2.2工作流程... 8
2.2.1开始之前... 9
2.2.2第一阶段... 10
2.2.3第二阶段... 15
2.2.4第三阶段... 23
三、工具使用指南... 29
3.1漏洞扫描... 29
3.1.1 RSAS. 30
3.1.2 Nessus. 44
3.1.3 WVSS. 51
3.1.4 AppScan. 61
3.1.5 AWVS. 65
3.2端口扫描... 69
3.2.1 Nmap. 69
3.2.2 Superscan. 71
3.3抓包改包... 74
3.3.1 Fiddler. 74
3.3.2 BurpSuite. 80
3.4 SQL注入... 91
3.4.1 Pangolin. 91
3.4.2 Sqlmap. 97
3.5 Webshell工具... 98
3.5.1 中国菜刀... 98
3.6口令破解... 101
3.6.1 Hydra. 101
3.7数据库连接工具... 104
3.7.1 Navicat. 104
3.8应急查杀... 111
3.8.1 D盾Web查杀工具... 111
3.8.2 Rootkit Hunter. 113
3.9漏洞利用... 113
3.9.1 Metasploit. 113
四、常见系统漏洞攻击与防范... 117
4.1 MS08-067漏洞... 117
4.1.1 漏洞检测与利用... 118
4.1.2 漏洞攻击防范... 119
4.2 MS10-061漏洞... 120
4.2.1 漏洞检测与利用... 120
4.2.2 漏洞攻击防范... 121
4.3 MS12-020漏洞... 122
4.3.1 漏洞检测与利用... 122
4.3.2 漏洞攻击防范... 124
五、常见WEB应用漏洞攻击与防范... 125
5.1 SQL注入漏洞... 125
5.1.1 漏洞检测与利用... 125
5.1.2 漏洞攻击防范... 129
5.2 Struts2远程代码执行... 131
5.2.1 漏洞检测与利用... 132
5.2.2 漏洞攻击防范... 133
5.3 IIS短文件名泄露漏洞... 133
5.3.1 漏洞检测与利用... 133
5.3.1 漏洞攻击防范... 135
5.4 WEB表单口令暴力猜解漏洞... 136
5.4.1 漏洞检测与利用... 136
5.4.1 漏洞攻击防范... 141
六、社会工程学攻击及防范... 144
6.1 社会工程学定义... 144
6.2常见攻击手段... 144
6.2.1信息分析... 144
6.2.2环境渗透... 144
6.2.3网络骗局... 145
6.3防范措施... 145
6.3.1增强防范意识... 145
6.3.2制定安全方案... 145
6.3.3强化检查监督... 145
七、案例实操... 146
7.1 系统漏洞攻防环境... 146
7.2 Web应用攻防环境... 146
八、结束语... 148
|
| 內容試閱:
|
前 言
本书编者为国网浙江省电力公司电力科学研究院内从事信息安全管理和技术研究的科技人员,着眼于新的信息网络安全需求,结合本书编写时的国内外信息安全背景,编者决定将多年工作的经验总结出来,为中国信息安全尽一份绵薄之力。
2014年2月27日,中央网络安全和信息化领导小组成立。中共中央总书记、国家主席、中央军委主席习近平亲自担任组长,李克强、刘云山任副组长,再次体现了中国最高层全面深化改革、加强顶层设计的意志,显示出在保障网络安全、维护国家利益、推动信息化发展的决心。习近平指出,没有网络安全就没有国家安全,没有信息化就没有现代化。建设网络强国,要有自己的技术,有过硬的技术;要有丰富全面的信息服务,繁荣发展的网络文化;要有良好的信息基础设施,形成实力雄厚的信息经济;要有高素质的网络安全和信息化人才队伍;要积极开展双边、多边的互联网国际交流合作。建设网络强国,要把人才资源汇聚起来,建设一支政治强、业务精、作风好的强大队伍。千军易得,一将难求,要培养造就世界水平的科学家、网络科技领军人才、卓越工程师、高水平创新团队。因此,在网络信息安全全球化、国家信息安全战略化的大背景下,研究和提高信息安全漏洞整体检测技术水平,具有重要的学术价值和实际意义。
编者在日常工作中发现信息运维人员的安全技能水平将直接影响到本单位信息安全防护能力。系统漏洞是造成信息安全事件的最大风险之一,一旦漏洞被攻击者利用就可能会照成信息泄露,更有甚者会造成网络劫持、资金损失,甚至可以危害整个国民经济。是否能及时有效发现信息网络系统中的漏洞将是信息安全运维成败的关键。编者结合自身在信息安全检测及督察工作中的经验,认为发现信息安全漏洞一方面是信息人员的经验,另一方面是是否可以熟练的利用有效的工具软件。所以编者决定将多年信息安全漏洞检测工具使用的心得总结出来,希望能给有志于致力信息安全的技术人员提供一定的帮助。
本书有以下特点:
1、实用性。本书完全是实际工作中的经验总结,为信息安全漏洞检测提供的非常有效的方法,必将为读者提供非常实用的工作使用指南。
2、全面性。本书力争成为现有信息安全漏洞检测工具书中最全面的之一。本书介绍的工具涵盖安全渗透测试中各个环节,同时每类工具都提供不止一种做了详细的使用介绍。
本书得到了国内信息安全著名厂商绿盟科技的大力技术支持,为本书提供有效的技术指导,使本书得以顺利的完成。
本书具有重要的学术和应用价值,相信该书的问世将对该领域的学术研究、技术工程应用和人才培养起到有力的推动作用。同时编者也深刻认识到信息安全漏洞检测技术不止于本书提及的内容,由于时间仓促及技术局限,书中有不当或者不妥之处,欢迎广大读者提供宝贵意见,以便不断总结经验,充实及完善本书。
作者
2015年11月
于浙江杭州
|
|
購物車/收銀台(0) | 在線留言板
| 付款方式
| 運費計算
| 聯絡我們
| 幫助中心 |
加入書簽
HOME
新書上架
