CTF实战:技术、解题与进阶
全新正版 极速发货
¥ 82.97 5.2折 ¥ 159 全新
库存9件
广东广州
认证卖家担保交易快速发货售后保障
作者ChaMd5安全团队 著
出版社机械工业
ISBN9787111728832
出版时间2023-06
装帧其他
开本其他
定价159元
货号31780831
上书时间2024-05-28
商品详情
- 品相描述:全新
- 商品描述
-
目录
目 录<br />赞誉<br />前言<br />第1章 Web安全1<br />1.1 SQL注入1<br />1.1.1 SQL注入基础1<br />1.1.2 SQL注入进阶16<br />1.2 XSS 27<br />1.2.1 XSS类型27<br />1.2.2 XSS Bypass技巧29<br />1.2.3 XSS进阶35<br />1.2.4 XSS CTF例题43<br />1.3 跨站请求伪造44<br />1.4 服务器端请求伪造46<br />1.4.1 SSRF利用47<br />1.4.2 SSRF Bypass技巧57<br />1.4.3 SSRF进阶60<br />1.5 任意文件上传70<br />1.5.1 客户端校验70<br />1.5.2 服务端校验72<br />1.5.3 任意文件上传进阶85<br />1.6 任意文件包含89<br />1.6.1 常见的利用方式89<br />1.6.2 任意文件包含进阶93<br />1.7 命令注入95<br />1.7.1 常见危险函数96<br />1.7.2 常见注入方式97<br />1.7.3 Bypass技巧99<br />1.7.4 命令注入进阶102<br />1.8 XML外部实体注入104<br />1.8.1 XML的基本语法104<br />1.8.2 利用方式106<br />1.8.3 Bypass技巧107<br />1.9 反序列化漏洞108<br />1.9.1 什么是反序列化108<br />1.9.2 PHP反序列化109<br />1.10 服务端模板注入115<br />1.10.1 模板引擎115<br />1.10.2 服务端模板注入原理116<br />1.10.3 Flask-Jinja2模板注入117<br />1.10.4 PHP-Smarty模板注入126<br />1.10.5 CTF实战分析129<br />1.11 逻辑漏洞132<br />1.11.1 登录体系安全133<br />1.11.2 业务数据安全134<br />1.11.3 会话权限安全139<br />1.11.4 密码重置漏洞144<br />1.11.5 CTF实战分析150<br />第2章 密码学153<br />2.1 现代密码学153<br />2.1.1 计算安全和无条件安全153<br />2.1.2 对称密码学154<br />2.1.3 非对称密码学155<br />2.2 古典密码学156<br />2.2.1 置换密码156<br />2.2.2 代换密码159<br />2.2.3 古典密码学的常用工具和方法164<br />2.3 分组密码的结构165<br />2.3.1 常见的网络结构165<br />2.3.2 常见的加密模式166<br />2.3.3 常见的分组加密算法170<br />2.4 针对分组密码的攻击方式170<br />2.5 差分分析攻击实例:对DES的差分<br /> 攻击172<br />2.6 格密码182<br />2.6.1 格理论知识基础182<br />2.6.2 knapsack密码系统186<br />2.6.3 NTRU密码系统188<br />2.6.4 基于Lattice的一些攻击场景191<br />第3章 逆向工程194<br />3.1 初识逆向工程194<br />3.1.1 逆向工程基础194<br />3.1.2 汇编语言基础196<br />3.1.3 Windows逆向工程198<br />3.1.4 Linux逆向工程206<br />3.2 逆向工程进阶207<br />3.2.1 逆向工程常用算法207<br />3.2.2 代码保护技术210<br />3.2.3 工具的高级应用217<br />3.2.4 Hook和DLL注入技术230<br />3.2.5 现代逆向工具237<br />3.3 高级语言逆向241<br />3.3.1 Python语言逆向241<br />3.3.2 .NET程序逆向245<br />3.3.3 WebAssembly程序逆向254<br />3.3.4 Go程序逆向256<br />3.3.5 Rust程序逆向272<br />3.4 Android平台逆向工程277<br />3.4.1 Android静态分析277<br />3.4.2 Android动态分析279<br />3.4.3 Android代码保护技术282<br />3.4.4 Android Hook和脱壳技术283<br />3.5 逆向工程心得与逆向学习285<br />3.5.1 关于逆向心得285<br />3.5.2 关于逆向学习286<br />第4章 Pwn方向288<br />4.1 Pwn基础288<br />4.1.1 常用三大工具288<br />4.1.2 Linux基础295<br />4.1.3 Glibc内存管理机制306<br />4.2 Pwn初探309<br />4.2.1 栈漏洞309<br />4.2.2 格式化字符串漏洞318<br />4.2.3 堆漏洞331<br />4.2.4 整数漏洞341<br />4.3 Pwn进阶342<br />4.3.1 栈相关技巧342<br />4.3.2 格式化字符串漏洞352<br />4.3.3 堆漏洞361<br />4.3.4 IO_FILE利用371<br />4.3.5 特殊场景下的Pwn375<br />第5章 隐写术390<br />5.1 图片隐写390<br />5.1.1 在文件结构上直接附加信息390<br />5.1.2 LSB隐写394<br />5.1.3 Exif395<br />5.1.4 盲水印396<br />5.2 音频隐写397<br />5.2.1 MP3隐写397<br />5.2.2 音频频谱隐写398<br />5.3 视频隐写399<br />5.4 其他载体的隐写方式399<br />5.4.1 PDF隐写399<br />5.4.2 DOC隐写400<br />第6章 数字取证402<br />6.1 数字取证概述402<br />6.1.1 数字取证的发展402<br />6.1.2 数字取证规范和法律依据403<br />6.2 数字取证技术入门404<br />6.2.1 存储与恢复404<br />6.2.2 Windows系统级取证通识406<br />6.2.3 UNIX/Linux系统级取证通识409<br />6.2.4 Mac OS系统级取证通识411<br />6.3 数字取证技术实务进阶414<br />6.3.1 文件结构分析与恢复414<br />6.3.2 镜像还原与仿真417<br />6.3.3 内存取证高级分析417<br />6.3.4 数字取证实战分析423<br />第7章 代码审计431<br />7.1 Java反序列化漏洞431<br />7.1.1 Java反序列化漏洞原理431<br />7.1.2 Ysoserial工具介绍437<br />7.1.3 CTF Java Web题目详解438<br />7.2 Python审计方向440<br />7.2.1 常见漏洞审计440<br />7.2.2 进阶漏洞审计445<br />7.2.3 自动化代码审计451<br />第8章 智能合约安全455<br />8.1 合约工具配置455<br />8.1.1 区块链与以太坊455<br />8.1.2 基础工具配置456<br />8.1.3 Remix的使用456<br />8.1.4 Etherscan的使用459<br />8.2 合约常见漏洞461<br />8.2.1 无符号整数溢出461<br />8.2.2 假充值漏洞462<br />8.2.3 跨合约调用463<br />8.2.4 call漏洞合约464<br />8.2.5 短地址攻击465<br />8.2.6 重入攻击467<br />8.2.7 tx.origin身份认证漏洞469<br />8.2.8 可控随机数470<br />8.2.9 异常紊乱漏洞470<br />8.3 CTF题目分析471<br />8.3.1 内联汇编471<br />8.3.2 区块链生态类475<br />8.4 智能合约漏洞分析实战477<br />8.4.1 整数溢出造成的合约攻击477<br />8.4.2 跨合约调用漏洞造成的攻击477<br />第9章 工控安全479<br />9.1 工业控制系统概述479<br />9.1.1 基本概念和主要元件479<br />9.1.2 工业控制系统网络结构481<br />9.2 工业控制系统协议482<br />9.2.1 Modbus482<br />9.2.2 S7Comm489<br />9.2.3 DNP3490<br />9.3 EtherNet/IP491<br />9.3.1 BACnet491<br />9.3.2 OPC492<br />9.4 工业控制系统编程493<br />9.4.1 PLC编程493<br />9.4.2 HMI编程508<br />9.5 工业控制系统逆向512<br />9.5.1 固件逆向512<br />9.5.2 VxWorks内核机制分析519<br />9.5.3 GoAhead Web Server执行流程<br /> 分析522<br />9.6 工业控制系统渗透527<br />9.6.1 工控网络特点527<br />9.6.2 资产探测530<br />9.6.3 漏洞利用533<br />第10章 物联网安全535<br />10.1 物联网基础理论535<br />10.1.1 ARM535<br />10.1.2 MIPS538<br />10.2 物联网安全分析539<br />10.2.1 仿真环境搭建539<br />10.2.2 固件的提取、解密和分析545<br />10.2.3 分析调试工具549<br />10.3 相关漏洞原理550<br />10.3.1 Web漏洞550<br />10.3.2 缓冲区溢出551<br />10.3.3 后门559<br />10.4 漏洞分析559<br />10.4.1 Web漏洞560<br />10.4.2 缓冲区溢出569<br />10.4.3 内置后门及后门植入574<br />第11章 车联网安全578<br />11.1 什么是车联网578<br />11.2 车联网安全竞赛579<br />11.2.1 总线逆向破解580<br />11.2.2 线上夺旗赛591<br />11.2.3 实车漏洞挖掘594<br />11.3 车联网安全实战596<br />11.3.1 TBOX安全596<br />11.3.2 车机安全603<br />11.3.3 充电桩安全615<br />
内容摘要
内容简介随着数字化和智能化的不断应用和发展,CTF涉及的技术领域、比赛的形式、解题的方法等也在快速变化,对参赛者的技术能力和实战经验要求越来越高,过往的图书越来越不能满足新时代CTFer的需求。本书是一本与时具进的CTF著作,紧跟CTF变化趋势,围绕Web安全、密码学、逆向工程、Pwn、隐写术、数字取证、代码审计7大传统核心领域以及智能合约、工控、物联网、车联网4大新兴领域,全面、系统地讲解了CTFer需要掌握的安全技术及其进阶知识,精心设计和挑选了大量的实操案例和典型真题,并分享了很多流行的战术和战法。既适合作为新人系统学习的入门教程,又适合身经百战的CTFer作为备赛时的定海神针,总而言之,本书希望能指导CTFer在新时代的比赛中取得傲人的成绩。本书是国内老牌CTF战队ChaMd5核心成员多年实战经验的总结,得到了来自百度、腾讯、绿盟、奇安信等多家互联网企业以及Lilac、Nu1LTeam、Redbud、W&M、米斯特、网络尖刀等国内知名CTF战队和SRC安全团队的20余位专家的好评和一致推荐。本书提供一站式CTF在线学习平台CTFHub(www.ctfhub.com),平台为CTFer提供了最新赛事消息、学习技能树、历年的真题及其解析、完善的题目环境及配套的Writeup、常见CTF工具及其使用。
相关推荐
— 没有更多了 —
以下为对购买帮助不大的评价