描述
开 本: 16开纸 张: 胶版纸包 装: 平装是否套装: 否国际标准书号ISBN: 9787118103489
内容简介
由瑞士大卫·贝森、帕特里克·沙勒和迈克尔· 施莱普菲儿所合*的《信息安全实用教程》一书共8 章,**章介绍基本安全原理的背景知识,第二章介绍实验所需的VirtualBox环境,第三章到第五章是网络和操作系统安全,第六、七章是Web应用安全和证书,第八章是风险分析。该书有4个附录:附录A-B详细介绍项目作业的需求文档和报告格式;附录C简要介绍Linux和实验需要的各种实用程序;附录D用于帮助对Linux类系统使用经验较少的读者。
目 录
第1章 安全原则
1.1 目标
1.2 问题情境
1.3 原则
1.3.1 简单性
1.3.2 开放式设计
1.3.3 分隔
1.3.4 小泄露量
1 3.5 小权限
1.3.6 小信任和可信性
1.3.7 安全与安全默认值
1.3.8 完全仲裁
1.3.9 无单点故障
1.3.10 可追踪性
1.3.11 生成秘密
1.3.12 可用性
1.4 讨论
1.5 作业
1.6 练习
第2章 虚拟环境
2.1 目标
2.2 VirtualBox
2.2.1 安装新的虚拟机
2.2.2 网络
2.3 实验室环境
2.4 安装虚拟机
2.4.1 安装主机alice
2.4.2 安装主机bob
2.4.3 安装主机mallet
第3章 网络服务
3.1 目标
3.2 网络背景知识
3.2.1 网络层
3.2.2 传输层
3.3 攻击者的视角
3.3.1 信息收集
3.3.2 查找潜在漏洞
3.3.3 利用漏洞
3.3.4 易受攻击的配置
3.4 管理员的视角
3.5 应采取的行动
3.5.1 禁用服务
3.5.2 限制服务
3.6 练习
第4章 身份认证与访问控制
4.1 目标
4.2 身份认证
4.2.1 Telnet和远程Shell
4.2.2 安全Shell
4.3 用户ID和权限
4.3.1 文件访问权限
4.3.2 Setuid和Setgid
4.4 shell脚本安全
4.4.1 符号链接
4.4.2 临时文件
4.4.3 环境
4.4.4 数据验证
4.5 配额
4.6 改变根
4.7 练习
第5章 日志和日志分析
5.1 目标
5.2 登录机制和日志文件
5.2.1 远程登录
5.3 登录的问题
5.3.1 篡改和真实性
5.3.2 防干扰登录
5.3.3 输入验证
5.3.4 循环
5.4 入侵检测
5.4.1 日志分析
5.4.2 可疑文件和rootkits
5.4.3 完整性检查
5.5 练习
第6章 网络应用安全
6.1 目标
6.2 准备工作
6.3 黑盒审计,
6.4 攻击网络应用
6.4.1 Joomla!的远程文件上传漏洞
6.4.2 远程命令执行
6.4.3 SQL注入
6.4.4 特权提升
6.5 用户身份验证和会话管理
6.5.1 基于PHP的认证机制
6.5.2 HTTP基本认证
6.5.3 基于cookie的会话管理
6.6 跨站脚本攻击(XSS)
6.6.1 持久性跨站脚本攻击
6.6.2 反射式跨站脚本攻击
6.6.3 基于DOM的跨站脚本攻击
6.7 SQL注入的再探讨
6.8 安全套接层
6.9 拓展阅读
6.10 练习
第7章 证书和公钥口令学
7.1 目标
7.2 公钥口令学基础
7.3 公钥分发和证书
7.4 创建口令和证书
7.5 管理一个认证中心
7.6 基于证书的客户端身份认证
7.7 练习
第8章 风险管理
8.1 目标
8.2 风险和风险管理
8.3 风险分析的核心元素
8.4 风险分析:一种实现
8.4.1 系统描述
8.4.2 利益相关者
8.4.3 资产和脆弱性
8.4.4 脆弱性
8.4.5 威胁源
8.4.6 风险和对策
8.4.7 总结
附录A 如何在实验课中使用本书
A.1 课程结构
A.2 项目
附录B 报告模板
B.1 系统特点
B.1.1 系统概述
B.1.2 系统功能
B.1.3 组件和子系统
B.1.4 界面
B.1.5 后门程序
B.1.6 其他材料
B.2 风险分析和安全措施
B.2.1 信息资产
B.2.2 威胁源
B.2.3 风险和对策
B.3 外部系统概述
B.3.1 背景
B.3.2 功能完备性
B.3.3 架构和安全概念
B.3.4 实现
B.3.5 后门程序
B.3.6 对比
附录C L,inux基础知识和工具
C.1 系统文件
C.2 工具
C.2.1 变量
C.2.2 引号和通配符
C.2.3 流水线和反引号
C.2.4 ls,find和locate
C.2.5 wc,sort,uniq,head和tail
C.2.6 ps,pgrep,kill和killall
C.2.7 grep
C.2.8 awk和sed
C.2.9 Tcpdump
附录D 问题答案
参考文献
索引
1.1 目标
1.2 问题情境
1.3 原则
1.3.1 简单性
1.3.2 开放式设计
1.3.3 分隔
1.3.4 小泄露量
1 3.5 小权限
1.3.6 小信任和可信性
1.3.7 安全与安全默认值
1.3.8 完全仲裁
1.3.9 无单点故障
1.3.10 可追踪性
1.3.11 生成秘密
1.3.12 可用性
1.4 讨论
1.5 作业
1.6 练习
第2章 虚拟环境
2.1 目标
2.2 VirtualBox
2.2.1 安装新的虚拟机
2.2.2 网络
2.3 实验室环境
2.4 安装虚拟机
2.4.1 安装主机alice
2.4.2 安装主机bob
2.4.3 安装主机mallet
第3章 网络服务
3.1 目标
3.2 网络背景知识
3.2.1 网络层
3.2.2 传输层
3.3 攻击者的视角
3.3.1 信息收集
3.3.2 查找潜在漏洞
3.3.3 利用漏洞
3.3.4 易受攻击的配置
3.4 管理员的视角
3.5 应采取的行动
3.5.1 禁用服务
3.5.2 限制服务
3.6 练习
第4章 身份认证与访问控制
4.1 目标
4.2 身份认证
4.2.1 Telnet和远程Shell
4.2.2 安全Shell
4.3 用户ID和权限
4.3.1 文件访问权限
4.3.2 Setuid和Setgid
4.4 shell脚本安全
4.4.1 符号链接
4.4.2 临时文件
4.4.3 环境
4.4.4 数据验证
4.5 配额
4.6 改变根
4.7 练习
第5章 日志和日志分析
5.1 目标
5.2 登录机制和日志文件
5.2.1 远程登录
5.3 登录的问题
5.3.1 篡改和真实性
5.3.2 防干扰登录
5.3.3 输入验证
5.3.4 循环
5.4 入侵检测
5.4.1 日志分析
5.4.2 可疑文件和rootkits
5.4.3 完整性检查
5.5 练习
第6章 网络应用安全
6.1 目标
6.2 准备工作
6.3 黑盒审计,
6.4 攻击网络应用
6.4.1 Joomla!的远程文件上传漏洞
6.4.2 远程命令执行
6.4.3 SQL注入
6.4.4 特权提升
6.5 用户身份验证和会话管理
6.5.1 基于PHP的认证机制
6.5.2 HTTP基本认证
6.5.3 基于cookie的会话管理
6.6 跨站脚本攻击(XSS)
6.6.1 持久性跨站脚本攻击
6.6.2 反射式跨站脚本攻击
6.6.3 基于DOM的跨站脚本攻击
6.7 SQL注入的再探讨
6.8 安全套接层
6.9 拓展阅读
6.10 练习
第7章 证书和公钥口令学
7.1 目标
7.2 公钥口令学基础
7.3 公钥分发和证书
7.4 创建口令和证书
7.5 管理一个认证中心
7.6 基于证书的客户端身份认证
7.7 练习
第8章 风险管理
8.1 目标
8.2 风险和风险管理
8.3 风险分析的核心元素
8.4 风险分析:一种实现
8.4.1 系统描述
8.4.2 利益相关者
8.4.3 资产和脆弱性
8.4.4 脆弱性
8.4.5 威胁源
8.4.6 风险和对策
8.4.7 总结
附录A 如何在实验课中使用本书
A.1 课程结构
A.2 项目
附录B 报告模板
B.1 系统特点
B.1.1 系统概述
B.1.2 系统功能
B.1.3 组件和子系统
B.1.4 界面
B.1.5 后门程序
B.1.6 其他材料
B.2 风险分析和安全措施
B.2.1 信息资产
B.2.2 威胁源
B.2.3 风险和对策
B.3 外部系统概述
B.3.1 背景
B.3.2 功能完备性
B.3.3 架构和安全概念
B.3.4 实现
B.3.5 后门程序
B.3.6 对比
附录C L,inux基础知识和工具
C.1 系统文件
C.2 工具
C.2.1 变量
C.2.2 引号和通配符
C.2.3 流水线和反引号
C.2.4 ls,find和locate
C.2.5 wc,sort,uniq,head和tail
C.2.6 ps,pgrep,kill和killall
C.2.7 grep
C.2.8 awk和sed
C.2.9 Tcpdump
附录D 问题答案
参考文献
索引
评论
还没有评论。