商品簡介
《網絡空間安全技術》力圖從系統設計、產品代碼、軟件測試與運營維護多個角度全方位介紹網絡空間安全的產品體系。《網絡空間安全技術》介紹了網絡空間安全中的各種技術原理、常見安全攻擊及正確防護方法。不僅介紹了國內外在網絡空間安全領域的法律法規,還介紹了人工智能、大數據、雲計算和物聯網等技術發展對網絡空間安全的影響。
《網絡空間安全技術》各章不僅介紹了經典攻擊案例供讀者練習,還有國內外已經發生的同類安全漏洞披露,讓讀者體會到網絡空間安全就在身邊。《網絡空間安全技術》同時配有擴展訓練習題,指導讀者進行深入學習。
《網絡空間安全技術》既可作為高等院校計算機類、信息類、電子商務類、工程和管理類專業網絡安全相關課程的教材,也可作為軟件開發工程師、軟件測試工程師、信息安全工程師和信息安全架構師等相關專業人員的參考書籍或培訓指導書籍。
目次
前言
第一篇 安 全 技 術
第1章 網絡空間安全技術1
1.1 網絡空間安全1
1.1.1 網絡空間安全提出的背景1
1.1.2 網絡空間安全的研究領域2
1.2 技術發展3
1.2.1 國際視野看網絡空間安全發展3
1.2.2 網絡空間安全技術發展態勢4
1.3 世界各國網絡空間安全戰略分析6
1.3.1 世界各國網絡安全戰略簡要分析6
1.3.2 我國網絡安全戰略基本內容7
1.4 世界各國網絡空間安全政策
法規12
1.4.1 美國12
1.4.2 歐盟13
1.4.3 德國14
1.4.4 英國14
1.4.5 中國14
1.4.6 其他國家15
1.5 新形勢下的網絡空間安全15
1.5.1 人工智能與網絡空間安全15
1.5.2 大數據與網絡空間安全16
1.5.3 雲計算與網絡空間安全16
1.5.4 物聯網與網絡空間安全17
1.6 習題18
第2章 Web技術19
2.1 HTML技術19
2.2 JavaScript技術20
2.3 CSS技術21
2.4 jQuery技術22
2.5 HTML5技術23
2.6 AngularJS技術25
2.7 Bootstrap技術25
2.8 近期Web技術相關安全漏洞披露26
2.9 習題27
第3章 服務器技術28
3.1 服務器操作系統28
3.1.1 Windows Server28
3.1.2 NetWare29
3.1.3 UNIX30
3.1.4 Linux31
3.2 三個開源Linux操作系統31
3.2.1 CentOS32
3.2.2 Ubuntu33
3.2.3 Debian33
3.3 六大Web服務器34
3.3.1 Apache HTTP Server34
3.3.2 IIS36
3.3.3 GFE37
3.3.4 Nginx37
3.3.5 Lighttpd39
3.3.6 Tomcat39
3.4 Web服務器技術41
3.4.1 PHP41
3.4.2 JSP43
3.4.3 ASP/ASP.NET43
3.4.4 CGI44
3.4.5 Servlet44
3.5 近期服務器相關漏洞披露46
3.6 習題46
第4章 數據庫技術47
4.1 數據庫相關知識47
4.1.1 數據庫基礎知識47
4.1.2 數據庫典型攻擊方法48
4.2 常見數據庫系統49
4.2.1 Oracle49
4.2.2 DB251
4.2.3 SQL Server52
4.2.4 MySQL53
4.2.5 PostgreSQL54
4.2.6 SQLite55
4.3 數據庫技術新動態56
4.3.1 鍵值對存儲Redis56
4.3.2 列存儲Hbase57
4.3.3 文檔數據庫存儲MongoDB58
4.4 近期數據庫攻擊披露59
4.5 習題60
第5章 身份認證技術61
5.1 身份認證相關概念61
5.1.1 靜態密碼61
5.1.2 智能卡61
5.1.3 短信密碼62
5.1.4 動態口令62
5.1.5 數字簽名62
5.1.6 生物識別63
5.2 Web常見5種認證方式63
5.2.1 HTTP Basic Auth63
5.2.2 OAuth263
5.2.3 Cookie-Session Auth64
5.2.4 Token Auth64
5.2.5 JWT65
5.3 服務器與客戶端常見認證方式65
5.4 REST API常見認證方式66
5.4.1 HTTP Digest66
5.4.2 API KEY67
5.4.3 OAuth267
5.4.4 HMAC68
5.5 近期身份認證攻擊披露68
5.6 習題69
第6章 編碼與加解密技術70
6.1 編碼技術70
6.1.1 字符編碼70
6.1.2 圖像編碼71
6.1.3 音頻編碼72
6.1.4 視頻編碼73
6.1.5 Web編碼73
6.2 加解密技術75
6.2.1 對稱加密75
6.2.2 非對稱加密77
6.3 散列技術78
6.3.1 MD579
6.3.2 HMAC79
6.3.3 SHA80
6.4 加解密與散列攻擊技術80
6.4.1 字典攻擊81
6.4.2 彩虹表碰撞81
6.5 近期加密算法攻擊披露81
6.6 習題82
第7章 計算機網絡技術83
7.1 計算機網絡83
7.1.1 計算機網絡發展83
7.1.2 OSI七層網絡模型84
7.1.3 TCP/IP協議簇85
7.1.4 TCP三次握手86
7.1.5 TCP四次揮手87
7.1.6 SYN Flood洪泛攻擊87
7.1.7 Socket88
7.2 HTTP/HTTPS/SSL/TLS/Heartbleed
協議88
7.2.1 HTTP/HTTPS88
7.2.2 SSL/TLS89
7.2.3 Heartbleed心血漏洞90
7.3 TCP/UDP91
7.3.1 TCP91
7.3.2 UDP91
7.4 語音傳輸協議92
7.4.1 VOIP92
7.4.2 RTP/RTCP93
7.4.3 SRTP93
7.5 視頻傳輸協議94
7.5.1 RTMP94
7.5.2 RTSP94
7.5.3 HLS95
7.5.4 SRT95
7.5.5 NDI96
7.6 近期網絡攻擊披露96
7.7 習題97
第二篇 安 全 攻 擊
第8章 注入攻擊98
8.1 SQL注入攻擊98
8.1.1 SQL注入攻擊方法98
8.1.2 SQL注入攻擊防護方法99
8.2 HTML注入攻擊100
8.2.1 HTML注入攻擊方法101
8.2.2 HTML注入攻擊防護方法101
8.3 CRLF注入攻擊101
8.3.1 CRLF注入攻擊方法101
8.3.2 CRLF注入攻擊防護方法102
8.4 XPath注入攻擊102
8.4.1 XPath注入攻擊方法102
8.4.2 XPath注入攻擊防護方法103
8.5 Template注入攻擊103
8.5.1 Template注入攻擊方法104
8.5.2 Template注入攻擊防護方法104
8.6 實例:Testfire網站存在SQL
注入攻擊風險104
8.7 近期注入攻擊披露105
8.8 習題106
第9章 XSS與XXE攻擊107
9.1 XSS攻擊107
9.1.1 XSS攻擊方法107
9.1.2 XSS攻擊防護方法108
9.1.3 富文本的XSS攻擊方法109
9.1.4 富文本的XSS攻擊防護方法109
9.2 XXE攻擊111
9.2.1 XXE攻擊方法111
9.2.2 XXE攻擊防護方法111
9.3 實例:Webscantest網站存在
XSS攻擊危險111
9.4 近期XSS與XXE攻擊披露112
9.5 習題113
第10章 認證與授權攻擊114
10.1 認證與授權攻擊與防護114
10.1.1 認證與授權攻擊方法114
10.1.2 認證與授權攻擊防護方法115
10.1.3 認證與授權總體防護思想116
10.1.4 常見授權類型118
10.1.5 認證與授權最佳實踐118
10.2 實例:CTF Postbook用戶A
能修改用戶B數據119
10.3 近期認證與授權攻擊披露120
10.4 習題121
第11章 開放重定向與IFrame釣魚
攻擊122
11.1 開放重定向攻擊122
11.1.1 開放重定向攻擊方法122
11.1.2 開放重定向攻擊防護方法123
11.2 IFrame框架釣魚攻擊124
11.2.1 IFrame框架釣魚攻擊方法124
11.2.2 IFrame框架釣魚攻擊防護方法125
11.3 實例:Testasp網站未經認證的
跳轉125
11.4 近期開放重定向與IFrame框架
釣魚攻擊披露126
11.5 習題127
第12章 CSRF/SSRF與RCE攻擊128
12.1 CSRF攻擊128
12.1.1 CSRF攻擊方法128
12.1.2 CSRF攻擊防護方法130
12.2 SSRF攻擊131
12.2.1 SSRF攻擊方法131
12.2.2 SSRF攻擊防護方法132
12.3 RCE攻擊133
12.3.1 RCE攻擊方法133
12.3.2 RCE攻擊防護方法133
12.4 實例:新浪微博存在CSRF攻擊
漏洞135
12.5 近期CSRF/SSRF與RCE攻擊
披露135
12.6 習題136
第13章 不安全配置與路徑遍歷攻擊137
13.1 不安全配置攻擊137
13.1.1 不安全配置攻擊方法137
13.1.2 不安全配置攻擊防護方法137
13.2 路徑遍歷攻擊139
13.2.1 路徑遍歷攻擊方法139
13.2.2 路徑遍歷攻擊常見變種139
13.2.3 路徑遍歷攻擊防護方法140
13.3 實例:Testphp網站目錄列表
暴露141
13.4 近期不安全配置與路徑遍歷攻擊
披露141
13.5 習題142
第14章 不安全的直接對象引用與應用
層邏輯漏洞攻擊143
14.1 不安全的直接對象引用攻擊143
14.1.1 不安全的直接對象引用攻擊方法143
14.1.2 不安全的直接對象引用攻擊防護
方法144
14.2 應用層邏輯漏洞攻擊144
14.2.1 應用層邏輯漏洞攻擊方法145
14.2.2 應用層邏輯漏洞攻擊防護方法146
14.3 實例:Testphp網站數據庫結構
洩露147
14.4 近期不安全的直接對象引用與
應用層邏輯漏洞攻擊披露148
14.5 習題149
第15章 客戶端繞行與文件上傳攻擊150
15.1 客戶端繞行攻擊150
15.1.1 客戶端繞行攻擊方法150
15.1.2 客戶端繞行攻擊防護方法151
15.2 文件上傳攻擊152
15.2.1 文件上傳攻擊方法153
15.2.2 文件上傳攻擊防護方法153
15.3 實例:Oricity網站JS前端控制
被繞行攻擊156
15.4 近期客戶端繞行與文件上傳攻擊
披露157
15.5 習題157
第16章 弱/不安全的加密算法與暴力
破解攻擊158
16.1 弱/不安全的加密算法攻擊158
16.1.1 弱/不安全的加密算法攻擊方法158
16.1.2 弱/不安全的加密算法攻擊防護
方法158
16.2 暴力破解攻擊159
16.2.1 暴力破解攻擊方法160
16.2.2 暴力破解攻擊防護方法161
16.3 實例:CTF Postbook刪除論壇文章
不安全加密算法攻擊164
16.4 近期弱/不安全加密算法與暴力
破解攻擊披露165
16.5 習題166
第17章 HTTP參數污染/篡改與緩存
溢出攻擊167
17.1 HTTP參數污染攻擊167
17.1.1 HTTP參數污染攻擊方法167
17.1.2 HTTP參數污染攻擊防護方法168
17.2 HTTP參數篡改攻擊168
17.2.1 HTTP參數篡改攻擊方法168
17.2.2 HTTP參數篡改攻擊防護方法168
17.3 緩存溢出攻擊169
17.3.1 緩存溢出攻擊方法169
17.3.2 緩存溢出攻擊防護方法170
17.4 實例:CTF Cody's First Blog
網站admin篡改繞行171
17.5 近期HTTP 參數污染/篡改與緩存
溢出攻擊披露172
17.6 習題173
第三篇 安 全 防 護
第18章 安全防護策略變遷174
18.1 網絡邊界防護174
18.1.1 提出原因與常見攻擊174
18.1.2 安全理念175
18.1.3 防護技術175
18.1.4 保護網絡邊界安全的設備176
18.2 縱深防禦178
18.2.1 提出原因178
18.2.2 安全理念178
18.2.3 防護技術179
18.3 連續監測179
18.3.1 提出原因180
18.3.2 安全理念180
18.3.3 防護技術180
18.4 主動防禦181
18.4.1 網絡空間防禦現狀181
18.4.2 提出原因181
18.4.3 國內外應對措施181
18.4.4 安全理念183
18.4.5 核心技術183
18.5 習題184
第19章 安全開發生命週期(SDL)185
19.1 SDL安全開發流程概述185
19.1.1 微軟SDL185
19.1.2 思科SDL188
19.2 安全設計189
19.2.1 總體框架190
19.2.2 輸入有效性驗證190
19.2.3 身份驗證與授權191
19.2.4 Session管理192
19.2.5 監控與審計193
19.2.6 HTTP Header安全194
19.3 安全基準線195
19.4 威脅建模195
19.5 第三方庫安全195
19.6 代碼安全與靜態掃描SAST196
19.7 應用安全與動態掃描DAST197
19.8 交互式應用安全測試IAST198
19.9 滲透攻擊測試Pen Test199
19.10 習題200
第20章 網絡空間安全新動向201
20.1 人工智能與網絡空間安全201
20.1.1 人工智能技術的發展201
20.1.2 人工智能時代網絡空間安全的
發展202
20.1.3 人工智能在網絡空間安全領域的
應用203
20.1.4 人工智能應用于網絡系統安全203
20.1.5 人工智能應用于網絡內容安全204
20.2 大數據與網絡空間安全204
20.2.1 大數據背景與發展前景204
20.2.2
