-
已选 件
- 已售件
-
服务
- √7天无理由退货(拆封后不支持)
- √假一赔三
- √消费者保障服务
商品详情
-
ISBN编号
9782109101024
-
作者
曹玉杰王乐李家辉孔韬循王瑞民
-
出版社名称
机械工业出版社
-
出版时间
2021年9月
-
开本
16开
- 纸张
- 包装
-
是否是套装
否
- 查看全部
编辑推荐
---------------------------8083976 - Web代码安全漏洞深度剖析---------------------------
一线网络安全工程师多年实战经验结晶,多位网络安全专家联袂推荐
从环境建设、实战剖析、业务安全三个维度,通过典型案例由浅入深、全面介绍代码审计技术
---------------------------8083261 - 大数据安全:技术与管理---------------------------
全面、系统地介绍大数据安全的概念、原理、技术、管理、运维、标准、法律法规
技术与管理的全方位剖析,理论与实用性的有机融合
内容简介
书籍
计算机书籍
---------------------------8083976 - Web代码安全漏洞深度剖析---------------------------
本书系统化介绍代码审计的步骤和业务漏洞分析,总结了作者在信息安全领域多年的实践经验,内容丰富,实践性强。本书分三大部分,共14章。“准备工作”部分介绍漏洞剖析环境搭建和辅助工具简单使用,为后续分析打下基础。“常规应用漏洞分析”部分介绍了几种漏洞的基本概念和实例解剖,如SQL注入、XSS跨站、CSRF/XSRF、文件类型、代码执行与命令执行等漏洞,并介绍了代码审计的思路和步骤。“业务安全漏洞分析”部分通过实例介绍了业务安全中的典型漏洞,如短信验证码、会话验证、密码找回、支付、越权等漏洞,并针对漏洞给出了防御措施。
---------------------------8083261 - 大数据安全:技术与管理---------------------------
本书系统地介绍了大数据的基本概念,保障大数据安全的基本技术和管理策略。主要内容包括大数据的创建、大数据的传输、大数据的存储、大数据的处理、大数据的交换以及大数据的恢复与销毁等过程的安全技术与管理策略,还包括大数据安全态势感知的相关技术以及网络安全等级保护中关于大数据的扩展安全要求。
目录
[套装书具体书目]
8083261 - 大数据安全:技术与管理 - 9787111688099 - 机械工业出版社 - 定价 79
8083976 - Web代码安全漏洞深度剖析 - 9787111690252 - 机械工业出版社 - 定价 99
---------------------------8083976 - Web代码安全漏洞深度剖析---------------------------
本书赞誉
序言
前言
致谢
第一部分准备工作
第1章搭建代码审计环境2
1.1基于Windows搭建phpStudy2
1.2基于Linux搭建phpStudy4
1.3在Linux下利用Docker搭建PHP环境6
1.4phpStorm远程连接Docker容器14
1.5小结20
2.1代码调试工具phpStorm+Xdebug21
2.2火狐浏览器56.0的HackBar和FoxyProxy 26
2.3抓包工具Burp Suite34
2.4小结47
第3章了解目标48
3.1代码审计的思路与流程48
3.2漏洞分析前的准备工作52
3.3php.ini配置53
3.4小结55
第二部分常规应用漏洞分析
第4章SQL注入漏洞及防御58
4.1SQL注入的原理及审计思路58
4.2GET型SQL注入防御脚本绕过案例剖析60
4.3Joomla 注入案例分析67
4.4SQL 存储显现insert注入案例分析72
4.5小结81
第5章跨站脚本攻击及防御82
5.1XSS简介82
5.2反射型XSS三次URL编码案例分析88
5.3存储型XSS案例分析95
5.4DOM型 XSS案例分析103
5.5小结107
第6章跨站请求伪造漏洞及防御109
6.1CSRF原理109
6.2GET型CSRF案例分析112
6.3POST型CSRF分析117
6.4小结121
第7章文件类型漏洞及防御122
7.1文件上传漏洞122
7.2文件上传漏洞案例剖析124
7.3文件下载漏洞134
7.4文件下载漏洞实际案例剖析134
7.5文件删除漏洞137
7.6文件删除漏洞实际案例剖析137
7.7文件包含漏洞140
7.8本地文件包含日志漏洞案例剖析145
7.9本地前台图片上传包含漏洞案例剖析153
7.10远程文件包含漏洞案例剖析156
7.11小结159
第8章代码执行漏洞与命令执行漏洞160
8.1代码执行漏洞的原理160
8.2代码执行案例剖析165
8.3反序列化代码执行案例剖析169
8.4命令执行漏洞178
8.5命令执行漏洞案例分析182
8.6小结186
第9章常规应用漏洞的其他类型187
9.1XXE漏洞187
9.2XXE漏洞案例剖析190
9.3URL 跳转漏洞193
9.4URL跳转漏洞案例剖析194
9.5SSRF漏洞198
9.6SSRF漏洞案例剖析201
9.7PHP 变量覆盖漏洞203
9.8变量覆盖漏洞案例剖析210
9.9小结215
第三部分业务安全漏洞分析
第10章短信验证码漏洞及防御218
10.1短信验证码业务的安全问题及防御思路218
10.2短信验证码漏洞案例剖析220
10.3小结228
第11章会话验证漏洞及防御229
11.1会话验证的过程229
11.2Cookie 认证会话漏洞案例剖析230
11.3Session身份认证漏洞案例剖析234
11.4小结239
第12章密码找回漏洞及防御240
12.1简介240
12.2密码找回漏洞案例剖析241
12.3小结246
第13章支付漏洞及防御247
13.1简介247
13.2支付漏洞案例剖析248
13.3小结253
第14章越权漏洞及防御254
14.1简介254
14.2平行越权案例剖析255
14.3垂直越权案例剖析259
14.4小结263
---------------------------8083261 - 大数据安全:技术与管理---------------------------
前言
第1章大数据安全挑战和现状 1
1.1大数据概述 1
1.1.1大数据的概念 2
1.1.2大数据的特性 2
1.1.3大数据安全需求 4
1.2大数据面临的安全挑战 5
1.2.1大数据技术和平台的安全 5
1.2.2数据安全和个人信息保护 8
1.2.3国家社会安全和法规标准 10
1.3大数据安全现状 13
1.3.1国家安全法 13
1.3.2网络安全法 14
1.3.3大数据安全管理指南 17
1.3.4数据安全能力成熟度模型 18
1.3.5个人信息安全规范 21
1.4小结 23
习题1 23
第2章大数据治理 24
2.1大数据治理概述 24
2.1.1大数据治理的概念 24
2.1.2大数据治理的重要性 26
2.1.3国内外大数据治理现状 27
2.2大数据治理的原则和范围 31
2.2.1大数据治理的原则 31
2.2.2大数据治理的范围 32
2.3大数据架构 34
2.3.1大数据基础资源层 35
2.3.2大数据管理与分析层 36
2.3.3大数据应用层 37
2.3.4大数据技术架构 38
2.4个人隐私保护 41
2.4.1大数据带来的个人隐私防护问题 41
2.4.2个人隐私防护对策 42
2.4.3大数据的隐私保护关键技术 44
2.5大数据治理实施 46
2.5.1实施目标 46
2.5.2实施动力 48
2.5.3实施过程 48
2.6小结 50
习题2 51
第3章大数据的安全创建 52
3.1大数据的采集 52
3.1.1大数据的分类分级 52
3.1.2大数据采集安全管理 55
3.1.3数据源鉴别与记录 57
3.1.4大数据质量管理 60
3.2大数据的导入导出 62
3.2.1基本原则 62
3.2.2安全策略 62
3.2.3制度流程 62
3.3大数据的查询 63
3.3.1特权账号管理 63
3.3.2敏感数据的访问控制 65
3.4小结 66
习题3 67
第4章大数据的传输与存储安全 68
4.1大数据传输加密 68
4.1.1大数据内容加密 68
4.1.2网络加密方式 74
4.1.3身份认证 76
4.1.4签名与验签 78
4.2网络可用性 80
4.2.1可用性管理指标 80
4.2.2负载均衡 81
4.2.3大数据防泄露 84
4.3大数据的存储 88
4.3.1存储媒体 88
4.3.2分布式存储 89
4.3.3大数据备份和恢复 91
4.4小结 92
习题4 92
第5章大数据处理安全 93
5.1数据脱敏 93
5.1.1数据属性 93
5.1.2数据匿名化 95
5.1.3数据脱敏技术 99
5.2大数据分析安全 100
5.2.1个人信息防护 100
5.2.2敏感数据识别方法 103
5.2.3数据挖掘的输出隐私保护技术 106
5.3大数据正当使用 107
5.3.1合规性评估 107
5.3.2访问控制 110
5.4大数据处理环境 125
5.4.1基于云的大数据处理系统的架构和服务模式 125
5.4.2Hadoop处理平台 127
5.4.3Spark处理平台 130
5.5小结 132
习题5 132
第6章大数据的安全交换 134
6.1大数据交换概述 134
6.1.1大数据交换的背景 134
6.1.2大数据安全交换 136
6.1.3大数据交换面临的安全威胁 137
6.2大数据共享 139
6.2.1大数据共享原则 139
6.2.2大数据共享模型 141
6.2.3大数据共享安全框架 145
6.3大数据交换技术 149
6.3.1数据接口安全限制 149
6.3.2大数据格式规范 150
6.3.3数据源异常检测 151
6.3.4大数据异常检测应用 152
6.4小结 153
习题6 154
第7章大数据恢复与销毁 155
7.1大数据备份 155
7.1.1大数据备份类型 155
7.1.2备份加密 157
7.2大数据恢复 158
7.2.1大数据恢复演练 159
7.2.2数据容灾 159
7.3大数据销毁处置 160
7.3.1大数据销毁场景 161
7.3.2数据删除方式 161
7.4存储媒体的销毁处置 162
7.4.1存储媒体销毁处理策略 162
7.4.2存储媒体销毁方法 163
7.5小结 163
习题7 164
第8章大数据安全态势感知 165
8.1安全态势感知平台概述 165
8.1.1安全态势感知平台的研究背景 165
8.1.2大数据安全平台面临的挑战 166
8.1.3安全态势感知的研究进展 167
8.1.4安全态势感知的关键技术 168
8.2数据融合技术 169
8.2.1数据融合的定义 169
8.2.2数据融合的基本原理 170
8.2.3数据融合的技术和方法 172
8.3数据挖掘技术 173
8.3.1数据挖掘的概念 173
8.3.2数据挖掘任务 175
8.3.3数据挖掘对象 177
8.3.4数据挖掘的方法和技术 180
8.4特征提取技术 181
8.4.1模式识别 181
8.4.2特征提取的概念 182
8.4.3特征提取的方法 183
8.5态势预测技术 184
8.5.1态势感知模型 184
8.5.2态势感知体系框架 186
8.5.3态势感知相关核心概念 187
8.5.4安全态势理解技术 187
8.6可视化技术 189
8.6.1数据可视化与大数据可视化 189
8.6.2大数据可视化具体工作 190
8.6.3大数据可视化工具 192
8.7小结 193
习题8 193
第9章网络安全等级保护中的大数据 195
9.1网络安全等级保护制度 195
9.1.1网络安全等级保护2.0的新变化 195
9.1.2网络安全等级保护的通用要求 197
9.1.3网络安全等级保护的扩展要求 203
9.2大数据应用场景说明 205
9.2.1大数据系统构成 205
9.2.2网络安全等级保护大数据基本要求 206
9.3大数据安全评估方法 213
9.3.1等级测评方法 213
9.3.2第三级安全评估方法 213
9.4小结 223
习题9 223
参考文献 225
前言
---------------------------8083976 - Web代码安全漏洞深度剖析---------------------------
网络安全是国家战略安全的一部分,网络空间的博弈对抗,实质上是人与人之间的对抗。网络安全人才是实施国家战略安全的核心力量之一,培养网络安全从业者的实战对抗能力,是落实国家安全战略、确保各行各业网络信息系统安全的基础。《道德经》中提及“知其白,守其黑,为天下式”,对应到网络安全人才成长路线,就是要从了解攻击模式、掌握安全漏
洞分析和利用方法开始,制定有效的安全策略,分析可能的安全漏洞,设计安全的程序。
从互联网发展开始到如今,PHP编程语言及基于该语言实现的各类网络信息系统占据了Web应用的半壁江山。历史上,由于缺乏安全编码规范、PHP代码安全分析与审计的工具和方法普及不足等,一度出现了PHP漏洞盛行的不良局面。在此背景下,行业内出现了大量自发学习、研究、运用PHP漏洞分析与代码审计的爱好者,国内CTF类比赛也将这一方向作为重要的考察内容。但是由于缺少相关的系统性学习资料,网文、博客等也多以理论性介绍为主,很多初学者在学习、实践中无从下手。
笔者有幸在该领域躬耕多年,积累了丰富的PHP代码漏洞分析、安全审计实战经验。合作作者李家辉、孔韬循是笔者多年的朋友,在这一领域也颇有建树。在他们的鼓励和帮助下,我们成立了编写组,针对当前PHP代码安全分析领域的特点和需求,结合编写组同人的经历和经验,制订了详细的编写计划,精心设计实验用例并逐一验证测试,进而形成本书的雏形。
在写作过程中,我们发现从不同的思维角度能更清楚地描述网络安全技术。于是,我们邀请广州大学专职教师王乐老师加入编写组,将“实战化教学与思辨能力培养”的教学理念融入本书的设计和编写中,我们齐心合力,经过多轮的修改迭代,最终成稿。
本书可以作为PHP代码安全分析初学者的实验指导书,也可以作为Web安全研究者的参考手册。由于信息技术发展迅速,网络安全对抗与博弈技术瞬息万变,本书的各位作者虽然尽了全力,但难保完美无缺。如果读者发现关于本书的任何问题、不足或建议,请反馈给作者,以期改进!你可以通过QQ交流群(874215647)或者添加作者微信(曹玉杰(xiaoh-660)、李家辉(LJ_Seeu)、孔韬循(Pox-K0r4dji))与我们联系。
曹玉杰
2021年春
---------------------------8083261 - 大数据安全:技术与管理---------------------------
我们生活在一个充满“数据”的时代,并且我们的生产和日常生活还在不断地产生新数据,“堆砌”着数据大厦。由于大数据的无所不包,数据产生和应用的无所不在,大数据安全将关系到各类社会组织的正常运行,关系到企业的正常经营和发展,关系到我们每个人的切身利益。
《国务院关于印发促进大数据发展行动纲要的通知》强调,要“科学规范利用大数据,切实保障数据安全”,再次体现出国家层面对数据安全的高度重视。实际上,未来国家层面的竞争力将部分体现为一国拥有数据的规模、活性以及解释、运用的能力,数据主权将成为继边防、海防、空防之后另一个国与国之间博弈的空间。
“共建数据安全,共享安全数据”,就是要在确保数据安全的前提下,更好地发挥和挖掘数据的潜在价值,创造更好的社会和经济效益。为此,在“数字赋能,共创未来―携手构建网络空间命运共同体”的过程中,我们有必要编写一本大数据安全图书,以推进大数据资源整合和开放共享,保障大数据安全,助力建设数字中国,更好地为发展我国经济社会和改善人民生活服务。
在此背景下,我们编写本书以飨读者。
新一轮科技革命和产业变革加速演进,大数据等新技术、新应用、新业态方兴未艾,但是关于大数据安全技术与管理的图书并不是很多。我们编写组成员通过分析大数据相关的法律、法规、标准、规范,根据编写组的项目实践经验,以及查阅的大量论文,按照大数据的生命周期,逐一讨论了大数据各阶段的安全问题,分析了相应的技术和管理措施,并在每章设计了习题,以便于读者按自己的需求及喜好查找相应的大数据安全问题,并寻求相应的解决措施。
在本书的编写过程中,编写组对书中所讨论的大数据安全问题慎之又慎,唯恐出现纰漏。然而,限于学识,书中表述可能有不当之处,欢迎各位读者不吝批评、指正,以使得本书更加完善。对于参阅的大量文献,未能全部列出,特向同行者表达深深的歉意。
本书的编写获得了“河南省高校科技创新团队支持计划”项目(211RTSTHN012)的支持。机械工业出版社华章公司的佘洁老师在本书的选题策划、写作等方面给予了认真细致的指导,在此对她表示最诚挚的感谢。
序言
---------------------------8083976 - Web代码安全漏洞深度剖析---------------------------
在当今互联网高速发展的环境下,信息安全成了热门话题,覆盖个人信息安全、企业信息安全,乃至国家安全。攻击者常常把目标定位在寻找和获取系统源码上,传统IT开发人员从0到1建设系统时,少不了涉及常规化的开发与实施流程,但是在整体系统建设的信息安全方面,投入也许不是很大,直到问题被发现时才会“醒悟”。
白盒测试比黑盒测试更能发现可利用高危漏洞。在发现业务系统有异常时,很多手段与方式都只能“临时解围”。要从根本上提升系统的安全性,一是要注重人为方面的安全,二是要注意系统本身的代码安全,从多个角度审视系统自身存在的问题往往是最有效的解决办法。
本书深入浅出,系统性地讲解了代码审计技术的方方面面,从常规的环境搭建到漏洞原理均有介绍,再结合实战案例对主流Web安全漏洞进行剖析,对安全技术爱好者、在校大学生、相关领域从业人员等群体来说,这本书是很好的分享,同时也是做白盒安全测试时不可多得的佳作。
叶猛
京东攻防对抗负责人
媒体评论
---------------------------8083976 - Web代码安全漏洞深度剖析---------------------------
代码审计是软件开发和网络攻防领域既基础又至关重要的一项技术,专业的代码审计人员可以发现软件设计、开发和应用等各个阶段存在的安全漏洞,从而保障代码库和软件架构的安全性。K神(孔韬循)是国内网络安全领域年轻的“老专家”,对安全攻防理解透彻,是知名安全组织“破晓团队”的创始人。他乐于分享知识,培养人才,最重要的是能够把各类安全技术梳理得逻辑清晰,同时兼具独到见解。这本书简洁明了,干货满满,是非常适合代码审计技术学习者阅读的实战指南。
鲁辉中国网络空间安全人才教育联盟秘书长
代码审计能力是安全能力体系的重要组成部分。本书凝结了作者团队多年的心血,通过典型案例,深入浅出地讲述了代码审计的环境构建、漏洞发现和安全剖析,对于从事安全工作的初学者来讲,具有很好的指导作用。
薛继东电子六所网络安全所副所长
代码审计是网络攻防实战的核心技术之一,这本书从环境建设、实战剖析、业务安全三个维度展开,是作者及其团队多年一线实战经验的精华凝结。尤其是对SQL注入、跨站脚本、跨站请求、文件类型、代码和命令执行等漏洞的分析阐述与实战分析,具有重要的学习指导意义和实战指引价值。
王忠儒中国网络空间研究院信息化研究所副所长
代码审计是多数应用安全从业者入门的第一步。本书全面介绍了代码审计的基本方法和常见漏洞的审计方法示例,讲解了业务逻辑类漏洞的审计方法,是对应用代码审计介绍得最全面的安全书籍之一,将对安全知识初学者和应用安全从业者起到重要指导作用。
张欧蚂蚁集团网商银行CISO
---------------------------8083261 - 大数据安全:技术与管理---------------------------
当前,新一轮科技革命和产业变革加速演进,人工智能、大数据、物联网等新技术、新应用和新业态方兴未艾,互联网迎来了更加强劲的发展动能和更加广阔的发展空间。其中大数据技术的发展正在改变着人们的生产方式、生活方式,甚至思想观念,数据逐渐成为继物质、能源后的第三大国家基础战略资源和创新生产要素。同有些国家一样,我国也将大数据列为国家战略发展的方向之一,大数据承担了推动经济转型发展、重塑国家竞争优势和提升政府治理能力的重要使命,任重而道远。
本书特色
以大数据全生命周期为主线,论述了大数据从创建到传输、存储、处理、交换、恢复,直至数据销毁等各个环节所涉及的安全技术与管理方法。
分析了大数据安全态势感知技术,介绍了与大数据有关的网络安全等级保护最新标准内容。
为各章设计了习题,有助于读者理解重要知识点。
相关产品推荐
正在加载……
