计算机
类型
可以朗读
语音朗读
274千字
字数
2023-06-01
发行日期
展开全部
主编推荐语
本书从新赛事、新题目、新打法、新技术4个维度指导读者成为新时代CTFer。
内容简介
随着数字化和智能化的不断应用和发展,CTF涉及的技术领域、比赛的形式、解题的方法等也在快速变化,对参赛者的技术能力和实战经验要求越来越高,过往的图书越来越不能满足新时代CTFer的需求。
本书是一本与时具进的CTF著作,紧跟CTF变化趋势,围绕Web安全、密码学、逆向工程、Pwn、隐写术、数字取证、代码审计7大传统核心领域以及智能合约、工控、物联网、车联网4大新兴领域,全面、系统地讲解了CTFer需要掌握的安全技术及其进阶知识,精心设计和挑选了大量的实操案例和典型真题,并分享了很多流行的战术和战法。
目录
- 版权信息
- 赞誉
- 前言
- 第1章 Web安全
- 1.1 SQL注入
- 1.1.1 SQL注入基础
- 1.1.2 SQL注入进阶
- 1.2 XSS
- 1.2.1 XSS类型
- 1.2.2 XSS Bypass技巧
- 1.2.3 XSS进阶
- 1.2.4 XSS CTF例题
- 1.3 跨站请求伪造
- 1.4 服务器端请求伪造
- 1.4.1 SSRF利用
- 1.4.2 SSRF Bypass技巧
- 1.4.3 SSRF进阶
- 1.5 任意文件上传
- 1.5.1 客户端校验
- 1.5.2 服务端校验
- 1.5.3 任意文件上传进阶
- 1.6 任意文件包含
- 1.6.1 常见的利用方式
- 1.6.2 任意文件包含进阶
- 1.7 命令注入
- 1.7.1 常见危险函数
- 1.7.2 常见注入方式
- 1.7.3 Bypass技巧
- 1.7.4 命令注入进阶
- 1.8 XML外部实体注入
- 1.8.1 XML的基本语法
- 1.8.2 利用方式
- 1.8.3 Bypass技巧
- 1.9 反序列化漏洞
- 1.9.1 什么是反序列化
- 1.9.2 PHP反序列化
- 1.10 服务端模板注入
- 1.10.1 模板引擎
- 1.10.2 服务端模板注入原理
- 1.10.3 Flask-Jinja2模板注入
- 1.10.4 PHP-Smarty模板注入
- 1.10.5 CTF实战分析
- 1.11 逻辑漏洞
- 1.11.1 登录体系安全
- 1.11.2 业务数据安全
- 1.11.3 会话权限安全
- 1.11.4 密码重置漏洞
- 1.11.5 CTF实战分析
- 第2章 密码学
- 2.1 现代密码学
- 2.1.1 计算安全和无条件安全
- 2.1.2 对称密码学
- 2.1.3 非对称密码学
- 2.2 古典密码学
- 2.2.1 置换密码
- 2.2.2 代换密码
- 2.2.3 古典密码学的常用工具和方法
- 2.3 分组密码的结构
- 2.3.1 常见的网络结构
- 2.3.2 常见的加密模式
- 2.3.3 常见的分组加密算法
- 2.4 针对分组密码的攻击方式
- 2.5 差分分析攻击实例:对DES的差分攻击
- 2.6 格密码
- 2.6.1 格理论知识基础
- 2.6.2 knapsack密码系统
- 2.6.3 NTRU密码系统
- 2.6.4 基于Lattice的一些攻击场景
- 第3章 逆向工程
- 3.1 初识逆向工程
- 3.1.1 逆向工程基础
- 3.1.2 汇编语言基础
- 3.1.3 Windows逆向工程
- 3.1.4 Linux逆向工程
- 3.2 逆向工程进阶
- 3.2.1 逆向工程常用算法
- 3.2.2 代码保护技术
- 3.2.3 工具的高级应用
- 3.2.4 Hook和DLL注入技术
- 3.2.5 现代逆向工具
- 3.3 高级语言逆向
- 3.3.1 Python语言逆向
- 3.3.2 .NET程序逆向
- 3.3.3 WebAssembly程序逆向
- 3.3.4 Go程序逆向
- 3.3.5 Rust程序逆向
- 3.4 Android平台逆向工程
- 3.4.1 Android静态分析
- 3.4.2 Android动态分析
- 3.4.3 Android代码保护技术
- 3.4.4 Android Hook和脱壳技术
- 3.5 逆向工程心得与逆向学习
- 3.5.1 关于逆向心得
- 3.5.2 关于逆向学习
- 第4章 Pwn方向
- 4.1 Pwn基础
- 4.1.1 常用三大工具
- 4.1.2 Linux基础
- 4.1.3 Glibc内存管理机制
- 4.2 Pwn初探
- 4.2.1 栈漏洞
- 4.2.2 格式化字符串漏洞
- 4.2.3 堆漏洞
- 4.2.4 整数漏洞
- 4.3 Pwn进阶
- 4.3.1 栈相关技巧
- 4.3.2 格式化字符串漏洞
- 4.3.3 堆漏洞
- 4.3.4 IO_FILE利用
- 4.3.5 特殊场景下的Pwn
- 第5章 隐写术
- 5.1 图片隐写
- 5.1.1 在文件结构上直接附加信息
- 5.1.2 LSB隐写
- 5.1.3 Exif
- 5.1.4 盲水印
- 5.2 音频隐写
- 5.2.1 MP3隐写
- 5.2.2 音频频谱隐写
- 5.3 视频隐写
- 5.4 其他载体的隐写方式
- 5.4.1 PDF隐写
- 5.4.2 DOC隐写
- 第6章 数字取证
- 6.1 数字取证概述
- 6.1.1 数字取证的发展
- 6.1.2 数字取证规范和法律依据
- 6.2 数字取证技术入门
- 6.2.1 存储与恢复
- 6.2.2 Windows系统级取证通识
- 6.2.3 UNIX/Linux系统级取证通识
- 6.2.4 Mac OS系统级取证通识
- 6.3 数字取证技术实务进阶
- 6.3.1 文件结构分析与恢复
- 6.3.2 镜像还原与仿真
- 6.3.3 内存取证高级分析
- 6.3.4 数字取证实战分析
- 第7章 代码审计
- 7.1 Java反序列化漏洞
- 7.1.1 Java反序列化漏洞原理
- 7.1.2 Ysoserial工具介绍
- 7.1.3 CTF Java Web题目详解
- 7.2 Python审计方向
- 7.2.1 常见漏洞审计
- 7.2.2 进阶漏洞审计
- 7.2.3 自动化代码审计
- 第8章 智能合约安全
- 8.1 合约工具配置
- 8.1.1 区块链与以太坊
- 8.1.2 基础工具配置
- 8.1.3 Remix的使用
- 8.1.4 Etherscan的使用
- 8.2 合约常见漏洞
- 8.2.1 无符号整数溢出
- 8.2.2 假充值漏洞
- 8.2.3 跨合约调用
- 8.2.4 call漏洞合约
- 8.2.5 短地址攻击
- 8.2.6 重入攻击
- 8.2.7 tx.origin身份认证漏洞
- 8.2.8 可控随机数
- 8.2.9 异常紊乱漏洞
- 8.3 CTF题目分析
- 8.3.1 内联汇编
- 8.3.2 区块链生态类
- 8.4 智能合约漏洞分析实战
- 8.4.1 整数溢出造成的合约攻击
- 8.4.2 跨合约调用漏洞造成的攻击
- 第9章 工控安全
- 9.1 工业控制系统概述
- 9.1.1 基本概念和主要元件
- 9.1.2 工业控制系统网络结构
- 9.2 工业控制系统协议
- 9.2.1 Modbus
- 9.2.2 S7Comm
- 9.2.3 DNP3
- 9.3 EtherNet/IP
- 9.3.1 BACnet
- 9.3.2 OPC
- 9.4 工业控制系统编程
- 9.4.1 PLC编程
- 9.4.2 HMI编程
- 9.5 工业控制系统逆向
- 9.5.1 固件逆向
- 9.5.2 VxWorks内核机制分析
- 9.5.3 GoAhead Web Server执行流程分析
- 9.6 工业控制系统渗透
- 9.6.1 工控网络特点
- 9.6.2 资产探测
- 9.6.3 漏洞利用
- 第10章 物联网安全
- 10.1 物联网基础理论
- 10.1.1 ARM
- 10.1.2 MIPS
- 10.2 物联网安全分析
- 10.2.1 仿真环境搭建
- 10.2.2 固件的提取、解密和分析
- 10.2.3 分析调试工具
- 10.3 相关漏洞原理
- 10.3.1 Web漏洞
- 10.3.2 缓冲区溢出
- 10.3.3 后门
- 10.4 漏洞分析
- 10.4.1 Web漏洞
- 10.4.2 缓冲区溢出
- 10.4.3 内置后门及后门植入
- 第11章 车联网安全
- 11.1 什么是车联网
- 11.2 车联网安全竞赛
- 11.2.1 总线逆向破解
- 11.2.2 线上夺旗赛
- 11.2.3 实车漏洞挖掘
- 11.3 车联网安全实战
- 11.3.1 TBOX安全
- 11.3.2 车机安全
- 11.3.3 充电桩安全
- ChaMd5安全团队
- ChaMd5团队战绩(部分)
展开全部
出版方
机械工业出版社
机械工业出版社是全国优秀出版社,自1952年成立以来,坚持为科技、为教育服务,以向行业、向学校提供优质、权威的精神产品为宗旨,以“服务社会和人民群众需求,传播社会主义先进文化”为己任,产业结构不断完善,已由传统的图书出版向着图书、期刊、电子出版物、音像制品、电子商务一体化延伸,现已发展为多领域、多学科的大型综合性出版社,涉及机械、电工电子、汽车、计算机、经济管理、建筑、ELT、科普以及教材、教辅等领域。