新書推薦:
《
图画天地——七世纪前中国山水的图式
》
售價:HK$
171.6
《
民国教育的记忆与重构
》
售價:HK$
151.8
《
点亮自然
》
售價:HK$
108.9
《
异域之爱:中国近现代爱情小说的译与撰(博雅文学论丛)
》
售價:HK$
97.9
《
儒学即实学:历代道学讲义选说
》
售價:HK$
96.8
《
国共合作与国民革命(1924—1927)
》
售價:HK$
129.8
《
盗臣:乾隆四十六年钦办大案纪事
》
售價:HK$
82.5
《
发明与经济增长
》
售價:HK$
97.9
|
| 編輯推薦: |
(1)作者背景权威:知道创宇是中国网络安全领域头部企业,中国网络安全领域竞争力50强,中国网络安全领域创新能力10强,“专精特新”小巨人企业。
(2)作者经验丰富:知道创宇创始人兼CEO赵伟、CTO杨冀龙领衔撰写,知道创宇404实验室是业内知名网络安全团队。
(3)案例和方法并重:基于知道创宇404实验室的真实案例,全面剖析常见漏洞的形成原因、攻击方法和防御策略。
(4)思想和技术兼备:体现安全防御基本思想,从基础原理到技术全覆盖,重点介绍现代防御体系中具有代表性的领域的基本防御思路、防御效果和常用工具。
|
| 內容簡介: |
知道创宇核心的安全研究部门,持续在网络安全领域进行漏洞挖掘、漏洞研究、安全工具的开源分享和推广。
來源:香港大書城megBookStore,http://www.megbook.com.hk
本书以知道创宇404实验室在实际研究工作中遇到的真实案例为基础,结合团队多年的网络安全研究和实践经验,延续了《Web漏洞分析与防范实战:卷1》的实战性和系统性,进一步深入探讨了Web安全领域中的高危漏洞类型及其防御策略。书中以实际漏洞案例为切入点,通过四个章节详细分析了远程命令执行漏洞、代码执行漏洞、反序列化漏洞以及Web应用后门等常见且高危的漏洞类型。通过剖析真实案例中的漏洞成因、攻击路径和防御策略,使读者能够直观地理解这些漏洞的危险性和应对方法。
本书主要由四大章节构成。
第1章通过实际漏洞案例介绍远程命令执行漏洞,并介绍漏洞补丁被绕过的原因、绕过方法及防护建议。
第2章通过实际漏洞案例介绍代码执行漏洞的各种形式、成因、带来的影响及防护建议。
第3章介绍PHP、Java和.NET这三种常见语言中出现过的漏洞案例,以及各种反序列化漏洞利用技巧,同时给出了防护建议。
第4章从Web应用的后门开始,深入探究到PyPI库中的恶意库、phpStudy的后门,介绍后门代码的逻辑、相关事件所带来的影响及防护建议。
无论是初学者,还是追求进一步提升专业技能的从业人员,都能从中获得宝贵的知识和指导。
|
| 關於作者: |
|
·作者简介·赵伟知道创宇创始人兼CEO,中国反网络病毒联盟资深专家,安全联盟创始人。现任朝阳区政协委员、朝阳区工商联执委、中国网络空间安全协会常务理事、中国互联网协会理事。享有“2021年中国产业创新百人榜”“2021年中国数字生态领袖”“2012年福布斯中美30位30岁以下创业者榜单”“消费者协会2015年十大最美维权人物”荣誉。杨冀龙知道创宇联合创始人兼CTO,中央社会治安综合治理委员会办公室网络安全专家组专家。现任中国网络空间安全协会理事、中国互联网协会网络空间安全分会技术委员会委员、兰州大学荣誉教授。中国民间著名白帽黑客团队“安全焦点”核心成员,被《沸腾十五年》评为中国新一代黑客领军人物之一。原创信息安全经典畅销书《网络渗透技术》作者之一。知道创宇404实验室知道创宇核心的安全研究部门,持续在网络安全领域进行漏洞挖掘、漏洞研究、安全工具的开源分享和推广。团队专注于Web、loT、工控、区块链等领域内安全漏洞挖掘以及攻防技术的研究工作,曾多次向国内外多家知名厂商如微软、苹果、Adobe、腾讯、阿里、百度等提交漏洞研究成果,并协助修复安全漏洞。由知道创宇404实验室打造的网络空间测绘搜索引擎ZoomEye已经成为全球网络空间测绘领域的先行者。此外,还打造了一款开源的远程漏洞测试框架Pocsuite 3,其已成为知道创宇安全研究团队发展的基石。该项目自2015年开源以来,不断更新迭代,至今仍在维护中。
|
| 目錄:
|
知道创宇核心的安全研究部门,持续在网络安全领域进行漏洞挖掘、漏洞研究、安全工具的开源分享和推广。
本书以知道创宇404实验室在实际研究工作中遇到的真实案例为基础,结合团队多年的网络安全研究和实践经验,延续了《Web漏洞分析与防范实战:卷1》的实战性和系统性,进一步深入探讨了Web安全领域中的高危漏洞类型及其防御策略。书中以实际漏洞案例为切入点,通过四个章节详细分析了远程命令执行漏洞、代码执行漏洞、反序列化漏洞以及Web应用后门等常见且高危的漏洞类型。通过剖析真实案例中的漏洞成因、攻击路径和防御策略,使读者能够直观地理解这些漏洞的危险性和应对方法。
本书主要由四大章节构成。
第1章通过实际漏洞案例介绍远程命令执行漏洞,并介绍漏洞补丁被绕过的原因、绕过方法及防护建议。
第2章通过实际漏洞案例介绍代码执行漏洞的各种形式、成因、带来的影响及防护建议。
第3章介绍PHP、Java和.NET这三种常见语言中出现过的漏洞案例,以及各种反序列化漏洞利用技巧,同时给出了防护建议。
第4章从Web应用的后门开始,深入探究到PyPI库中的恶意库、phpStudy的后门,介绍后门代码的逻辑、相关事件所带来的影响及防护建议。
无论是初学者,还是追求进一步提升专业技能的从业人员,都能从中获得宝贵的知识和指导。
|
| 內容試閱:
|
前 言
为什么要写本书
随着信息技术的飞速发展,互联网应用已经渗透到社会的各个角落,企业的信息化程度也在不断提升。然而,网络安全问题日益严峻,成为影响国家安全、企业生存和个人隐私安全的关键因素。网络攻击手段不断进化,从传统的SQL注入、跨站脚本攻击,到远程命令执行漏洞、代码执行漏洞、反序列化漏洞,再到复杂的供应链攻击和APT攻击,安全威胁无处不在,给防守方带来了前所未有的挑战。
在这样的背景下,网络安全领域的专业人才需求急剧增加。然而,与网络安全重要性的提升相比,安全人才的培养却显得滞后。许多IT专业人员对网络安全缺乏系统的认识和深入的理解,无法有效应对复杂多变的安全威胁。此外,现有的网络安全资料和文献要么偏重理论、缺乏实战性,要么散见于网络各处、不成体系,难以满足学习者的需求。
基于这样的现状,本书以知道创宇404实验室在实际研究工作中遇到的真实案例为基础,结合团队多年的网络安全研究和实践经验,介绍了Web安全领域中高危漏洞的成因、攻击手段以及防御策略。我们希望通过这本书,帮助读者深入理解Web安全的核心问题,掌握实战技能,提升应对复杂安全威胁的能力。
读者对象
本书适合网络安全相关人员阅读,包括:
安全研究人员
渗透测试人员
IT专业人员
其他对网络安全感兴趣的人员
本书特色
本书延续了《Web漏洞分析与防范实战:卷1》的实战性和系统性,进一步深入探讨了Web安全领域中高危漏洞的类型及防御策略。书中以实际漏洞案例为切入点,通过4章内容详细分析了远程命令执行漏洞、代码执行漏洞、反序列化漏洞以及Web应用后门等常见且高危的漏洞类型。通过剖析真实案例中漏洞的成因、攻击手段和防御策略,让读者能够更好地理解这些漏洞的危险性和应对方法。例如,本书深入探讨了PHP、Java和.NET语言中的反序列化漏洞,以及PyPI恶意库和phpStudy后门等事件,帮助读者从攻防两个角度深入理解Web安全。
本书特别关注了漏洞补丁被绕过的原因和绕过方法。通过分析实际案例,揭示了攻击者如何绕过现有的安全补丁和防御机制,帮助读者更好地理解漏洞的本质和防御的难点。本书不仅介绍了常见的绕过方法,还提供了有针对性的防御策略,以帮助读者构建更加坚固的安全防线。
尽管本书涉及的内容较为复杂和深入,但作者依然努力用通俗易懂的语言进行描述,避免过多的专业术语和复杂的技术细节。采用这样的写作风格旨在确保即使是没有计算机专业背景的读者也能够顺利阅读和理解书中的内容。通过清晰的案例分析和详细的步骤说明,读者可以轻松掌握Web安全的核心知识和实战技能。
本书内容
本书一共4章,具体内容如下。
第1章通过实际漏洞案例介绍远程命令执行漏洞,并介绍漏洞补丁被绕过的原因、绕过方法及漏洞修复方案。
第2章通过实际漏洞案例介绍代码执行漏洞的各种形式、成因及带来的影响,并介绍有针对性的修复方案。
第3章介绍反序列化漏洞在PHP、Java和.NET这3种常见语言中出现过的漏洞案例,以及各种反序列化漏洞利用方法,并介绍有针对性的修复方案。
第4章从Web应用的后门开始,深入探究PyPI恶意库、phpStudy后门,介绍后门代码的逻辑、相关事件所带来的影响,还提出有针对性的防护建议。
写作分工
本书由赵伟、杨冀龙组织编写、设计大纲,知道创宇404实验室部分成员参与编写,具体分工如下。
第1章由Hcamael、p0wd3r、HACHp1、LoRexxar、0x4qE、kuipla、Billion、Badcode、Longofo编写。
第2章由Badcode、p0wd3r、dawu、LoRexxar、seaii、Ethan、fenix、LG、LJ、Longofo编写。
第3章由p0wd3r、seaii、Ethan、LoRexxar、mengchen、Longofo、rungobier、Badcode、DEADF1SH_CAT、laker、HuanGMz编写。
第4章由p0wd3r、dawu、LG、fenix、Hcamael、Longofo编写。
勘误和支持
尽管我们已竭尽全力使书中信息准确,但我们深知,网络安全这个领域的发展日新月异,书中难免会有疏漏之处。因此,我们希望广大读者以批判的眼光阅读本书,对于书中可能存在的错误或不准确的内容,恳请读者慷慨地提出宝贵的意见和建议,相关内容可发送到邮箱404@knownsec.com。另外,全书代码内容可访问链接paper.seebug.org查看。
致谢
感谢知道创宇公司提供的强大支持和资源。作为业界领先的网络安全解决方案提供商,知道创宇公司不仅拥有先进的技术和丰富的实战经验,还致力于推动网络安全知识的传播和普及。
|
|
購物車/收銀台(0) | 在線留言板
| 付款方式
| 運費計算
| 聯絡我們
| 幫助中心 |
加入書簽
HOME
新書上架
