首页 > 图书中心 >图书详情
软件安全:漏洞利用及渗透测试
作者:刘哲理、贾岩、范玲玲、汪定
丛书名:面向新工科专业建设计算机系列教材
定价:79元
印次:1-4
ISBN:9787302602156
出版日期:2022.04.01
印刷日期:2024.07.05
本书全面介绍汇编语言和逆向分析基础知识、软件漏洞的利用及挖掘、面向Web应用的渗透测试、CTF题型及演示,配合丰富的实践案例(视频教程、慕课资源),是一本全面、基础、专业的入门级教程。 全书共分四部分: 第一部分(第1~3章)为基础篇,着重介绍汇编语言和逆向分析基础知识,包括堆栈基础、汇编语言、寄存器和栈帧、PE文件格式、软件调试基础、调试工具OllyDbg和IDA Pro等;第二部分(第4~8章)为漏洞篇,着重介绍软件漏洞、漏洞利用和漏洞挖掘等专业知识,包括shellcode编写、Windows安全防护、返回导向编程等漏洞利用技术、Windows系统漏洞实践,还包括词法分析、数据流分析、AFL模糊测试、程序切片、程序插桩、Hook、符号执行、污点分析等漏洞挖掘技术;第三部分(第9~12章)为渗透篇,针对渗透测试及Web应用安全进行详细讲解,包括渗透测试框架Metasploit、针对Windows XP系统的扫描和渗透、Web应用开发原理、Web应用的安全威胁、针对Web的渗透攻击等,其中,基于Web应用的渗透测试对很多读者而言很容易上手实践,通过跟随本书的案例可以加深对黑客攻防的认识;第四部分(第13章)为CTF篇,介绍CTF题型及部分示例,包括PWN题、逆向题和Web题等。 本书是南开大学信息安全专业、计算机专业和物联网专业的必修课教材,建议在大二下学期使用。同时,可供对软件安全、漏洞挖掘、黑客攻防、CTF入门有兴趣的大学生、开发人员、广大科技工作者和研究人员参考。
more >前言 “没有网络安全,就没有国家安全”,培养网络安全人才已经成为当前非常紧迫的事情。然而,目前网络空间安全教材的知识相对陈旧,课程体系还未完全形成统一共识。在软件安全领域,众多研究学者和授课教师逐步形成软件安全课程联盟,基本达成共识,将软件安全分为逆向基础篇、漏洞(挖掘和利用)篇和恶意代码(分析与防治)篇。其中,面向软件、系统和协议的漏洞挖掘和漏洞利用已经成为网络对抗的重要部分,震网病毒、比特币勒索病毒的永恒之蓝工具等都与0day漏洞紧密相关,得到了越来越多学者和机构的重视。 本教材是《漏洞利用及渗透测试基础》的修订版。《漏洞利用及渗透测试基础》已由清华大学出版社于2017年和2019年两次出版。第1版于2017年3月出版,得到广大读者喜爱。2019年出版第2版,增加了寻址方式、返回导向编程ROP技术、SQL盲注、文件包含漏洞、反序列化漏洞以及整站攻击示例等内容。在贯彻浅显易懂、案例丰富的一贯风格基础上,本次修订重在提升专业性、强化软件漏洞利用和漏洞挖掘方面的知识水平,主要丰富了堆溢出、SEH覆盖、攻击C++虚函数等漏洞案例,完善了Windows安全防护及其缺陷,丰富了shellcode编码、通用型shellcode编写、跳板指令、API函数自搜索技术等高级漏洞利用技术,强化和增加了数据流分析、程序切片、程序插桩、符号执行、污点分析和模糊测试等漏洞挖掘知识与案例。 本次教材更名为《软件安全: 漏洞利用及渗透测试》,如上所述,将在融合原有基础入门知识之余,增加内容和提升专业性。在编写过程中,编者参考了苏璞睿、彭国军、徐国胜等专家撰写的软件安全相关的书籍,以及部分同行编写的网络资料,再次对相关作者表示诚挚的谢意。由于编者水平有限,书中难免存在疏漏,敬请同行专家批评指正。 推荐两类讲授路线(32课时): ①精讲软件安全及漏洞利用知识,内容覆盖第1~9章,培养学生漏洞利用和漏洞挖掘的动手能力; ②以漏洞利用与渗透测试为路线,不讲第6章和第8章,讲授第10~12章。如果计划讲授所有内容,则大约需要48课时。 本课程相关慕课: 一门慕课是延续第2版教材,名称为《漏洞利用及渗透测试基础》,已经在“学堂在线”上线;另一门慕课是基于新版教材,名称为《软件安全: 漏洞利用及渗透测试》,计划近期在“学堂在线”上线。学生均可以通过慕课自修,教师可以通过慕课翻转课堂。 刘哲理2022年2月
more >