 |
-- 會員 / 註冊 --
|
 |
|
|
|
極限黑客攻防:CTF賽題揭秘 ( 簡體 字) |
| 作者:天融信阿爾法實驗室,張黎元,郭勇生 | 類別:1. -> 安全 -> 駭客攻擊與入侵 |
| 譯者: |
| 出版社:電子工業出版社 |  3dWoo書號: 54425
詢問書籍請說出此書號!【缺書】
NT售價: 495 元 |
| 出版日:4/1/2021 |
| 頁數:328 |
| 光碟數:0 |
|
站長推薦:  |
| 印刷:黑白印刷 | 語系: ( 簡體 版 ) |
| |
加入購物車  │加到我的最愛
(請先登入會員) |
| ISBN:9787121408908 |
| 作者序 | 譯者序 | 前言 | 內容簡介 | 目錄 | 序 |
| (簡體書上所述之下載連結耗時費功, 恕不適用在台灣, 若讀者需要請自行嘗試, 恕不保證) |
| 作者序: |
| 譯者序: |
前言:序
我國是互聯網用戶數量全球第一的互聯網大國。黨的十九大制定了面向新時代的發展藍圖,提出要建設網絡強國、數字中國、智慧社會,推動互聯網、大數據、人工智能和實體經濟深度融合,發展數字經濟、共享經濟,培育新增長點、形成新動能。
信息產業的發展離不開網絡安全的保駕護航。通過開展關鍵信息基礎設施網絡安全檢查、組織網絡安全應急演練、建立完善一系列制度機制,能夠有力確保重大關鍵節點網絡安全“零事故”。近年來,全球網絡安全形勢嚴峻,發生了多起個人信息與商業數據大規模泄露及違規利用事件,針對關鍵信息基礎設施的惡意網絡攻擊頻發,各國的網絡空間對抗態勢加劇。面對這種情況,如何加強網絡安全建設,更好地應對網絡安全威脅,更有力地保障個人與企業信息安全,是我們需要思考和完善的。
未知攻,焉知防。在這個越來越繁榮且復雜的網絡環境中,如何使網絡安全技術人員合理地利用手中的各種工具和策略來提高網絡安全對抗水平,是培養高素質的網絡安全和信息化人才隊伍急需解決的問題。在此背景下,國內安全行業引進了國際知名的CTF攻防對抗比賽,極大地提升了國內安全行業的整體技術水平。
CTF比賽可以通過對抗模式提升國內安全研究人員的安全攻防實力,構建核心技術交流圈,并借助國際賽事積極與其他國家的選手進行對抗,增強我國的網絡空間話語權,推進我國網絡攻防技術水平穩步提高。同時,CTF比賽加強了安全制度建設,全面提升了個人信息及國家信息安全保障技術水平。CTF比賽為國內外的網絡安全技術高手搭建了演練平臺,在競技和切磋的同時,喚起了大眾對網絡安全的重視。網絡空間的競爭,歸根到底是人才的競爭。我國多個行業已經舉辦的多場大型CTF比賽,不僅讓大批優秀的技術人才脫穎而出,成為國內網絡安全的中堅力量,也使網絡攻防演練逐漸成為各企事業單位乃至國家層面培養網絡安全人才的新模式。目前,國家電網、國資委等企事業單位每年舉辦的CTF比賽有幾十場,其重視程度可見一斑。
網絡攻防對抗的涉及面非常廣,包含Web安全、滲透測試、逆向分析、漏洞利用、加密解密、隱寫溯源等,每個方向都需要深入研究才能掌握。參與CTF比賽的選手需要分工合作,解決各自熟悉和擅長領域的問題,才能共同完成比賽。
本書是國內第一本專門討論CTF賽題的書。本書整理了數十道國內外CTF比賽中的經典賽題,并對每道題目的解題思路進行了詳細的分析和講解。參與CTF比賽的選手能夠通過本書快速了解CTF比賽的各種題型,并通過詳細的目錄分類全面了解每種題型涉及的技術細節。同時,本書對每種題型都給出了例題及相應的解題思路。初學者尤其可以通過閱讀這些經典題目,分類理解題目要求,快速理清解題思路。這些無不體現出作者對讀者的照顧。
本書不僅可以幫助初學者走進CTF比賽的大門,還可以為CTF比賽選手提供有針對性的參考。本書對企業網絡安全運營人員、網絡安全從業人員了解網絡攻防技術也有很大的幫助。
北京天融信網絡安全技術有限公司CEO
李雪瑩 博士
前 言
CTF(Capture the Flag)起源于1996年的DEFCON全球黑客大會,是一種流行的信息安全競賽形式。安全研究人員及白帽子通過這種競賽形式進行攻防技術的比拼及演練,提高了自身的技術能力。近幾年,CTF比賽在國內的發展如火如荼,越來越多的選手來到這個新的賽場,其中既有剛剛進入大學校門的學生,也有網絡安全從業者,更有一些頂級黑客。盡管CTF比賽的熱度不斷提升,但市面上與之相關的書籍并不多。天融信阿爾法實驗室組織編寫了這本書,希望幫助讀者深入了解CTF比賽的常規內容及形式。
傳統的CTF比賽主要有線上比賽和線下比賽兩種形式,在比賽模式上大體分為解題模式、攻防模式和混合模式。無論哪種模式,都涉及實操分析和解題的過程。本書從國內外CTF賽事中選擇了具有代表性的題目進行講解。通過閱讀本書,讀者可以了解CTF比賽的題目類型及相應的解題思路,從而在比賽中更加得心應手。
本書內容
本書共分6章。前5章按照比賽題型劃分為Web類賽題、可執行程序類賽題、PWN類賽題、PPC類賽題、安全雜項類賽題,對每種題型都介紹了典型的賽題,并提供了相應的解題思路。第6章簡單介紹了知名的CTF比賽。
讀者既可以從頭開始閱讀本書,也可以挑選自己感興趣的章節閱讀。
第1章 Web類賽題
Web類賽題在CTF比賽中占有較大比重。本章主要介紹Web類賽題及其解題思路,同時介紹了SQL注入、XSS等Web安全知識點。
第2章 可執行程序類賽題
可執行程序類賽題是CTF比賽的必出題目。本章主要介紹可執行程序類賽題,尤其是逆向題目的解題思路,同時介紹了Windows、Linux、Android、Python、.NET等主流平臺的逆向分析技巧。
第3章 PWN類賽題
PWN類賽題屬于漏洞利用題目,在CTF比賽中的數量較少,但往往分值較高。本章介紹了Windows及Linux平臺漏洞利用題目的解題思路及相關知識點。
第4章 PPC類賽題
編程是網絡安全從業者應該具備的基本能力。本章主要講解如何在CTF比賽中解答編程類賽題,涉及工具編寫、算法等內容。
第5章 安全雜項類賽題
安全雜項類賽題是CTF比賽中常見的一類題目,通常涉及信息隱寫、密碼學、流量分析、電子取證、數據分析、大數據等知識點,可以說是包羅萬象。本章挑選了密碼學和隱寫兩種常見的題目進行分析和討論。
第6章 比賽介紹
本章主要對國內外的知名CTF比賽進行介紹。
讀者對象
? 網絡安全技術人員;安全運維人員。
? 攻防技術研究人員;安全開發人員。
? 網絡及信息安全相關專業學生。
? CTF職業比賽戰隊隊員及參賽選手。
? 網絡安全及攻防技術愛好者。
交流及反饋
讀者在閱讀本書的過程中如有疑問,可以關注微信公眾號“天融信阿爾法實驗室”并給我們留言,我們非常愿意與您交流相關技術問題。
資源下載及讀者服務
讀者可以訪問微信公眾號“天融信阿爾法實驗室”,下載本書相關資源。我們也會通過該公眾號發布與CTF比賽及網絡安全技術有關的文章。
讀者也可以掃描本書封底的二維碼并發送“40890”,關注博文視點微信客服號,獲取本書的鏈接列表及相關資源等。
致謝
本書由張黎元、郭勇生、王新輝共同編寫。
本書的出版首先要感謝電子工業出版社博文視點潘昕編輯的辛勤勞動及付出。
由衷感謝天融信網絡安全技術有限公司的領導和同事們的支持。
感謝天融信網絡安全技術有限公司CEO李雪瑩女士在天融信阿爾法實驗室的建設及本書編寫過程中給予的大力支持。天融信阿爾法實驗室濃厚的技術研究氛圍及彈性的工作時間,使本書的作者們可以潛心研究技術并編寫本書。
本書的編寫得到了張偉業、黃慶濤等同事的幫助,在此向他們表示感謝。
特別感謝我的摯友,國內Web安全領域著名的白帽子、華為信息與網絡安全專家、《Web前端黑客技術揭秘》一書的作者xisigr。他閱讀本書的初稿后,在技術方面提出了很多誠懇的建議及意見,促使我們精益求精地對待本書的編寫和出版工作。
感激并感謝我的父母,是他們的不斷鼓勵及默默支持造就了現在的我。感謝我摯愛的妻子,以及她的無私奉獻和深情關切。
關于天融信阿爾法實驗
天融信阿爾法實驗室成立于2011年,有專職技術研究人員數十名。
天融信阿爾法實驗室秉承“攻防一體”的理念從事攻防技術研究,在前瞻性安全技術研究領域積極開拓。作為天融信網絡安全技術有限公司的專業安全產品和服務支撐團隊,天融信阿爾法實驗室精湛的專業技術、豐富的排異經驗,為公司產品的研發和升級、所承擔的國家重大安全項目及客戶服務提供了強有力的技術支撐。
張黎元 |
內容簡介:CTF在網絡安全領域特指網絡安全技術人員之間進行技術競技的一種比賽。CTF代替了以往黑客通過互相發起真實攻擊進行技術比拼的方式,題目來自日常工作環境,并將其中的某些因素放大,以測試網絡安全技術人員的技術水平和心理素質。本書匯集了數十道歷年CTF比賽的經典賽題,既給出了解題思路,又還原了實際安全攻防場景,使比賽題目和日常工作有效互通。通過閱讀本書,讀者可以將Web安全、漏洞分析、安全編程等領域的知識點關聯起來,開闊思路,提升自身的技術水平。 |
目錄:第1章 Web類賽題 1
1.1 SQL注入漏洞 1
關鍵字繞過 1
題目1 簡單的編碼繞過 3
題目2 截斷繞過 5
題目3 二次注入 7
1.2 XSS漏洞 11
題目1 留言板 11
題目2 評論區 14
題目3 繞過JavaScript限制 16
1.3 命令執行漏洞 20
題目1 上傳圖片 20
題目2 ping命令工具 23
1.4 文件上傳漏洞 26
題目1 MIME 26
題目2 PHP標簽 31
1.5 信息泄露漏洞 37
題目1 CBC-ATTACK 37
題目2 robots 40
1.6 代碼審計 42
題目1 散列值 42
題目2 對象注入 44
題目3 JavaScript代碼審計 46
1.7 暴力破解 50
題目 MD5密碼破解 50
1.8 反序列化 54
題目 messagecenter 54
1.9 綜合滲透 57
題目1 命令執行 57
題目2 越權訪問 62
1.10 其他Web類賽題 67
題目1 LFI 67
題目2 突破登錄 71
第2章 可執行程序類賽題 75
2.1 Windows中的可執行程序 75
題目1 逆向和調試基礎 75
題目2 脫殼并找出序列號 86
題目3 逆向算法分析和修改 92
2.2 Linux中的可執行程序 97
題目1 逆向分析算法解密 97
題目2 從寄存器中取得flag 102
題目3 追蹤運行庫和系統調用 106
題目4 反調試和反反調試 110
2.3 Android可執行程序 115
題目1 反模擬器探測和APK反編譯 115
題目2 C運行庫文件的逆向分析 124
題目3 libc函數的劫持 131
題目4 dex脫殼與WebView漏洞 136
2.4 Python可執行程序 143
題目1 Python字節碼反編譯與加密算法的暴力破解 143
題目2 Python打包二進制文件的逆向 146
題目3 深入分析Python字節碼 152
2.5 .NET可執行程序 161
題目1 .NET反編譯和BMP圖像 161
題目2 .NET程序的反混淆和調試分析 168
第3章 PWN類賽題 175
3.1 Windows PWN 175
題目 FTP協議棧溢出漏洞 175
3.2 Linux PWN 179
題目1 靜態編譯軟件棧溢出漏洞 179
題目2 ret2libc棧溢出漏洞 184
題目3 構造浮點型Shellcode 188
題目4 Linux下的棧溢出漏洞 193
題目5 ret2plt棧溢出漏洞 196
題目6 unlink堆溢出漏洞 198
題目7 UAF堆溢出漏洞 208
題目8 格式化字符串漏洞 216
題目9 整數溢出(1) 220
題目10 整數溢出(2) 223
題目11 Linux隨機數 230
3.3 Python PWN 233
題目 Python沙盒繞過 233
第4章 PPC類賽題 239
4.1 工具編寫 239
題目1 LostKey 239
題目2 addcodes 240
4.2 算法 243
題目1 Code400 243
題目2 迷宮大逃亡 248
題目3 能看到嗎 251
4.3 競速 254
題目1 百米賽跑 254
題目2 速度爆破 255
第5章 安全雜項類賽題 257
5.1 密碼學 257
題目1 摩斯密碼 257
題目2 愷撒密碼 260
題目3 柵欄密碼 262
題目4 RSA算法 263
題目5 NTLM密碼 269
題目6 鍵盤圖案密碼 272
題目7 ROT13 274
其他密碼學賽題 275
5.2 隱寫 279
題目1 通過圖片傳遞隱藏信息 280
題目2 文件為什么打不開 281
題目3 文字隱身 289
題目4 不是一個人在戰斗 292
題目5 到處都是廣告 297
題目6 最低位的藝術 301
題目7 ISG圖片隱寫 308
題目8 藏在聲音中的密碼 311
第6章 比賽介紹 314
6.1 國外CTF 314
DEFCON 314
UCSB ICTF 315
6.2 國內CTF 315
XCTF聯賽 315
TCTF 315 |
| 序: |
|
