- 定价:¥79.00
- 评分:
(已有0条评价) - 电子书:Kali Linux高级渗透测试(原书第2版)
基本信息
- 原书名:Mastering Kali Linux for Advanced Penetration Testing, Second Edition
- 作者: (印)维杰·库马尔·维卢(Vijay Kumar Velu)
- 译者: 蒋溢
- 丛书名: 网络空间安全技术丛书
- 出版社:机械工业出版社
- ISBN:9787111593065
- 上架时间:2018-3-23
- 出版日期:2018 年3月
- 开本:16开
- 版次:1-1
- 所属分类:计算机 > 操作系统 > Linux
编辑推荐
Kali Linux渗透测试经典之作全新升级,全面、系统阐释Kali Linux网络渗透测试工具、方法和实践
从攻击者的角度来审视网络框架,详细介绍攻击者“杀链”采取的具体步骤,包含大量实例,并提供源码
内容简介
作译者
作者简介
Vijay Kumar Velu是一位充满激情的信息安全从业者、作者、演讲人和博主。他目前是马来西亚的Big4的副总监之一,拥有超过11年的IT行业经验,拥有渗透测试人员资格证书,专门为各种网络安全问题提供技术解决方案,包括简单的安全配置审查、网络威胁情报,以及事件响应等方面。Vijay有多个安全职业头衔,包括CEH(道德黑客)、EC委员会安全分析师和计算机取证调查员。
Vijay受邀在印度各种网络安全大会上发表过演讲,包括国家网络安全峰会(NCSS)、印度网络会议(InCyCon)、开放云会议(Open Cloud Conference)等;他还在印度各大商学院举办的重要信息安全培训会上做了多次客座讲座。
Vijay还撰写了《Mobile Application Penetration Testing》一书,并且审校了Packt出版的《Learning Android Forensics》一书。
在信息安全界,Vijay是吉隆坡云安全联盟(CSA)董事会成员,也是印度国家网络防御与研究中心(NCDRC)主席。工作之余,他喜欢演奏音乐和做慈善事业。
Vijay是新技术的采用者,喜欢听任何疯狂的想法——所以,如果你有一个创意、产品或服务,不要犹豫,与他联系。
特别感谢我的母亲、姐姐、兄弟和父亲对我的信任,他们总是鼓励我做我喜欢的事,甚至疯狂的事。不能忘记感谢我的黑客朋友(Mega、Madhan、Sathish、Kumaresh、Parthi、Vardha)和我的同事Rachel Martis及Reny Cheah的支持。
感谢Packt出版社在本书的整个出版过程中提供的所有支持,对Chandan和Deepti表示特别的感谢!感谢他们完美的协调工作!
审校者简介
Amir Roknifard是一名自学成才的网络安全解决方案架构师,专注于Web应用、网络和移动安全。他领导马来西亚KPMG的研究、开发和创新,并且爱好编码与程序开发,他喜欢花时间教导人们理解隐私和安全,即使是普通人也可以用知识来保护他们自己。他喜欢自动化,并为网络防御团队开发了一个综合平台,以便他们能轻松地工作:从需求票据表到最终报告。
Amir已经完成了许多项目,包括政府、军队,以及无国界的公共部门,他为银行、金融机构、石油、天然气,以及电信公司工作。他也曾开展数小时的IT和信息安全专题讲座。
Amir还创办了《Academician Journal》,旨在缩小学术界与信息安全行业之间的差距,试图找出这个差距发生的原因,分析和解决它们。他提出了可能解决未来问题的新思路并研究如何发展它们。所以,有类似想法的人总是乐于通过@roknifard分享他们的想法或者共同发表研究成果。
译者简介
蒋 溢 博士、正高级工程师、硕士生导师,重庆邮电大学计算机科学与技术学院副院长,重庆市移动互联网数据应用工程技术研究中心负责人,重庆高校“移动互联网大数据创新团队”带头人,重庆高校移动互联网大数据智能处理众创空间负责人。主要从事移动互联网网络安全、服务计算、海量数据处理与分析等领域研究。出版学术专著两部;获重庆市科技进步奖两项。
马祥均 从事网络安全十余年,精通计算机网络,擅长利用OSI七层模型审视和规划计算机与网络安全,对大数据和人工智能有一定研究。
陈京浩 副高级工程师,拥有9年网络安全领域从业经验,主要感兴趣的领域包括Web安全、网络设备安全及风险评估。
祝清意 博士,重庆邮电大学网络空间安全与信息法学院讲师,主要研究领域为网络安全动力学。
孙天勇 硕士,四川公众监理咨询有限公司高级工程师,从事通信及网络信息安全工作15年。
罗文俊 博士,重庆邮电大学网络空间安全与信息法学院教授,为研究生、本科生讲授信息安全课程。
Vijay Kumar Velu是一位充满激情的信息安全从业者、作者、演讲人和博主。他目前是马来西亚的Big4的副总监之一,拥有超过11年的IT行业经验,拥有渗透测试人员资格证书,专门为各种网络安全问题提供技术解决方案,包括简单的安全配置审查、网络威胁情报,以及事件响应等方面。Vijay有多个安全职业头衔,包括CEH(道德黑客)、EC委员会安全分析师和计算机取证调查员。
Vijay受邀在印度各种网络安全大会上发表过演讲,包括国家网络安全峰会(NCSS)、印度网络会议(InCyCon)、开放云会议(Open Cloud Conference)等;他还在印度各大商学院举办的重要信息安全培训会上做了多次客座讲座。
Vijay还撰写了《Mobile Application Penetration Testing》一书,并且审校了Packt出版的《Learning Android Forensics》一书。
在信息安全界,Vijay是吉隆坡云安全联盟(CSA)董事会成员,也是印度国家网络防御与研究中心(NCDRC)主席。工作之余,他喜欢演奏音乐和做慈善事业。
Vijay是新技术的采用者,喜欢听任何疯狂的想法——所以,如果你有一个创意、产品或服务,不要犹豫,与他联系。
特别感谢我的母亲、姐姐、兄弟和父亲对我的信任,他们总是鼓励我做我喜欢的事,甚至疯狂的事。不能忘记感谢我的黑客朋友(Mega、Madhan、Sathish、Kumaresh、Parthi、Vardha)和我的同事Rachel Martis及Reny Cheah的支持。
感谢Packt出版社在本书的整个出版过程中提供的所有支持,对Chandan和Deepti表示特别的感谢!感谢他们完美的协调工作!
审校者简介
Amir Roknifard是一名自学成才的网络安全解决方案架构师,专注于Web应用、网络和移动安全。他领导马来西亚KPMG的研究、开发和创新,并且爱好编码与程序开发,他喜欢花时间教导人们理解隐私和安全,即使是普通人也可以用知识来保护他们自己。他喜欢自动化,并为网络防御团队开发了一个综合平台,以便他们能轻松地工作:从需求票据表到最终报告。
Amir已经完成了许多项目,包括政府、军队,以及无国界的公共部门,他为银行、金融机构、石油、天然气,以及电信公司工作。他也曾开展数小时的IT和信息安全专题讲座。
Amir还创办了《Academician Journal》,旨在缩小学术界与信息安全行业之间的差距,试图找出这个差距发生的原因,分析和解决它们。他提出了可能解决未来问题的新思路并研究如何发展它们。所以,有类似想法的人总是乐于通过@roknifard分享他们的想法或者共同发表研究成果。
译者简介
蒋 溢 博士、正高级工程师、硕士生导师,重庆邮电大学计算机科学与技术学院副院长,重庆市移动互联网数据应用工程技术研究中心负责人,重庆高校“移动互联网大数据创新团队”带头人,重庆高校移动互联网大数据智能处理众创空间负责人。主要从事移动互联网网络安全、服务计算、海量数据处理与分析等领域研究。出版学术专著两部;获重庆市科技进步奖两项。
马祥均 从事网络安全十余年,精通计算机网络,擅长利用OSI七层模型审视和规划计算机与网络安全,对大数据和人工智能有一定研究。
陈京浩 副高级工程师,拥有9年网络安全领域从业经验,主要感兴趣的领域包括Web安全、网络设备安全及风险评估。
祝清意 博士,重庆邮电大学网络空间安全与信息法学院讲师,主要研究领域为网络安全动力学。
孙天勇 硕士,四川公众监理咨询有限公司高级工程师,从事通信及网络信息安全工作15年。
罗文俊 博士,重庆邮电大学网络空间安全与信息法学院教授,为研究生、本科生讲授信息安全课程。
目录
推荐序
作者简介
审校者简介
译者简介
前 言
第1章 基于目标的渗透测试 1
1.1 安全测试的概念 1
1.2 经典漏洞扫描、渗透测试和红队练习的失败 2
1.3 测试方法 2
1.4 Kali Linux介绍——历史和目的 4
1.5 安装和更新Kali Linux 5
1.6 在便携式设备中使用Kali Linux 5
1.7 将Kali安装到虚拟机中 6
1.8 将Kali安装到Docker设备 10
1.9 将Kali安装到云——创建一个AWS实例 12
1.10 组织Kali Linux 14
1.10.1 配置和自定义Kali Linux 15
1.10.2 建立验证实验室 18
1.11 小结 26
第2章 开源情报和被动侦察 27
作者简介
审校者简介
译者简介
前 言
第1章 基于目标的渗透测试 1
1.1 安全测试的概念 1
1.2 经典漏洞扫描、渗透测试和红队练习的失败 2
1.3 测试方法 2
1.4 Kali Linux介绍——历史和目的 4
1.5 安装和更新Kali Linux 5
1.6 在便携式设备中使用Kali Linux 5
1.7 将Kali安装到虚拟机中 6
1.8 将Kali安装到Docker设备 10
1.9 将Kali安装到云——创建一个AWS实例 12
1.10 组织Kali Linux 14
1.10.1 配置和自定义Kali Linux 15
1.10.2 建立验证实验室 18
1.11 小结 26
第2章 开源情报和被动侦察 27
前言
本书致力于介绍如何使用Kail Linux对网络、系统、应用执行渗透测试。渗透测试可以模拟内部或外部的恶意攻击者对网络或系统进行的攻击。不同于漏洞评估,渗透测试包括漏洞利用阶段。因此,漏洞是存在的,而且如果不采取相应的措施将会有很大风险。
在本书中,“渗透测试人员”“攻击者”和“黑客”使用完全相同的技术及工具评估网络和数据系统的安全性。他们之间唯一的区别是他们的目标——数据网络的安全或数据的外泄。
简而言之,本书将带你踏上渗透测试者之旅:使用一些成熟的工具,在使用 Kali Linux 的网络上打败最新的防御,从选择最有效的工具,到网络安全快速响应,再到最重要的避免检测技术。
本书涵盖的内容
第1章介绍了贯穿全书的渗透测试方法的功能概要,确保全书遵循一致和全面的渗透测试方法。
第2章提供了一个背景,说明如何利用公共可用的资源和工具收集有关目标的信息,从而简化侦察和信息管理。
第3章向读者介绍可用于获取有关目标信息的隐秘方法,特别是识别可利用的漏洞的信息。
第4章教你掌握扫描网络及其设备的半自动化过程,接受所有侦察和漏洞信息,评估并创建一个指导渗透测试过程的地图。
第5章说明了如何能够物理地访问一个系统,或与管理人员进行交互,从而提供最成功的利用方法。
第6章简要介绍了无线技术,重点介绍了绕过安全防范进而危害这些网络的常用技术。
第7章简要概述了一个最复杂的交付阶段,以确保基于Web的应用暴露在公共网络上。
第8章从安全的角度介绍了最常用的远程访问技术,说明了可利用的弱点在哪里,以及如何在渗透测试中验证系统的安全性。
第9章着重介绍对最终用户系统上的应用程序的攻击,这些终端系统常常没有得到与组织的主干网络相同级别的保护。
第10章演示最常见的安全控制,找出克服这些控制的系统过程,并演示如何使用Kali工具集的工具。
第11章演示了攻击者发现和利用系统漏洞的方法。
第12章重点讨论直接的后利用活动和横向扩展,即利用被控制系统作为起点,“跳”到网络上的其他系统。
第13章演示了渗透测试人员如何拥有系统各方面的操作权限;更重要的是,获得一些访问权限,将允许测试人员控制网络上的所有系统。
第14章重点讨论现代攻击者如何使数据转移到攻击者的本地位置,以及隐藏攻击的证据。
学习本书需要准备什么
为了练习本书中出现的示例,需要虚拟化工具,例如VMware或者VirtualBox。
在本书中,“渗透测试人员”“攻击者”和“黑客”使用完全相同的技术及工具评估网络和数据系统的安全性。他们之间唯一的区别是他们的目标——数据网络的安全或数据的外泄。
简而言之,本书将带你踏上渗透测试者之旅:使用一些成熟的工具,在使用 Kali Linux 的网络上打败最新的防御,从选择最有效的工具,到网络安全快速响应,再到最重要的避免检测技术。
本书涵盖的内容
第1章介绍了贯穿全书的渗透测试方法的功能概要,确保全书遵循一致和全面的渗透测试方法。
第2章提供了一个背景,说明如何利用公共可用的资源和工具收集有关目标的信息,从而简化侦察和信息管理。
第3章向读者介绍可用于获取有关目标信息的隐秘方法,特别是识别可利用的漏洞的信息。
第4章教你掌握扫描网络及其设备的半自动化过程,接受所有侦察和漏洞信息,评估并创建一个指导渗透测试过程的地图。
第5章说明了如何能够物理地访问一个系统,或与管理人员进行交互,从而提供最成功的利用方法。
第6章简要介绍了无线技术,重点介绍了绕过安全防范进而危害这些网络的常用技术。
第7章简要概述了一个最复杂的交付阶段,以确保基于Web的应用暴露在公共网络上。
第8章从安全的角度介绍了最常用的远程访问技术,说明了可利用的弱点在哪里,以及如何在渗透测试中验证系统的安全性。
第9章着重介绍对最终用户系统上的应用程序的攻击,这些终端系统常常没有得到与组织的主干网络相同级别的保护。
第10章演示最常见的安全控制,找出克服这些控制的系统过程,并演示如何使用Kali工具集的工具。
第11章演示了攻击者发现和利用系统漏洞的方法。
第12章重点讨论直接的后利用活动和横向扩展,即利用被控制系统作为起点,“跳”到网络上的其他系统。
第13章演示了渗透测试人员如何拥有系统各方面的操作权限;更重要的是,获得一些访问权限,将允许测试人员控制网络上的所有系统。
第14章重点讨论现代攻击者如何使数据转移到攻击者的本地位置,以及隐藏攻击的证据。
学习本书需要准备什么
为了练习本书中出现的示例,需要虚拟化工具,例如VMware或者VirtualBox。
序言
推荐序
时隔一年,《Kali Linux高级渗透测试》(原书第2版)这么快就跟读者见面了,不得不感叹网络空间安全技术的发展日新月异。
刚刚过去的2017年,勒索病毒WannaCry肆虐全球,各种“邮件门”、个人隐私泄露事件层出不穷,网络安全问题更加突出。也正是在2017年6月1日,我国首部网络安全法—— 《中华人民共和国网络安全法》正式实施,成为我国第一部规范网络空间秩序的基础性法律,该部法典从法律层面明确了网络安全保护的基本原则和要求,对于技术人员则需要从技术层面去研究实践如何提高网络攻击防御技术,提升网络系统的安全保护能力。渗透测试作为主动防御的一种重要手段,其重要性不言而喻。本书在第1版的基础上,增加了部分章节,更加全面、系统地介绍了Kali Linux在渗透测试中的高级应用,相信能够为国内从事空间网络安全的相关人员提供最前沿的技术参考。
本书由网络空间安全方面的教授和行业专家合作翻译,译者不但理论水平高,而且还拥有丰富的业务实践经验,尤其在渗透测试方面更是实干的权威行家。本书译文忠实原著,是一部高质量的学术译著。本书既可作为网络空间安全专业领域的研究开发人员、工程技术人员及高级技术主管的工具书,也可作为高校研究生和高年级本科生学习网络安全相关课程的参考书。
网络空间安全学科建设任重道远,学科的统一基础理论有待创立;心理学、管理学、经济学、社会学、安全熵、赛博学等因素对网络空间安全的影响有待深入探讨;借助科普提升普通大众的网络空间安全意识才刚刚开始;网络空间安全的各种攻防新手段、新思路永无止境。但愿此书能为此添砖加瓦;但愿已经(或即将)出版的《安全通论》《安全简史》《安全心理学》和《安全管理学》等,能为网络空间安全学科建设尽一点绵薄之力。
杨义先
2018年1月
时隔一年,《Kali Linux高级渗透测试》(原书第2版)这么快就跟读者见面了,不得不感叹网络空间安全技术的发展日新月异。
刚刚过去的2017年,勒索病毒WannaCry肆虐全球,各种“邮件门”、个人隐私泄露事件层出不穷,网络安全问题更加突出。也正是在2017年6月1日,我国首部网络安全法—— 《中华人民共和国网络安全法》正式实施,成为我国第一部规范网络空间秩序的基础性法律,该部法典从法律层面明确了网络安全保护的基本原则和要求,对于技术人员则需要从技术层面去研究实践如何提高网络攻击防御技术,提升网络系统的安全保护能力。渗透测试作为主动防御的一种重要手段,其重要性不言而喻。本书在第1版的基础上,增加了部分章节,更加全面、系统地介绍了Kali Linux在渗透测试中的高级应用,相信能够为国内从事空间网络安全的相关人员提供最前沿的技术参考。
本书由网络空间安全方面的教授和行业专家合作翻译,译者不但理论水平高,而且还拥有丰富的业务实践经验,尤其在渗透测试方面更是实干的权威行家。本书译文忠实原著,是一部高质量的学术译著。本书既可作为网络空间安全专业领域的研究开发人员、工程技术人员及高级技术主管的工具书,也可作为高校研究生和高年级本科生学习网络安全相关课程的参考书。
网络空间安全学科建设任重道远,学科的统一基础理论有待创立;心理学、管理学、经济学、社会学、安全熵、赛博学等因素对网络空间安全的影响有待深入探讨;借助科普提升普通大众的网络空间安全意识才刚刚开始;网络空间安全的各种攻防新手段、新思路永无止境。但愿此书能为此添砖加瓦;但愿已经(或即将)出版的《安全通论》《安全简史》《安全心理学》和《安全管理学》等,能为网络空间安全学科建设尽一点绵薄之力。
杨义先
2018年1月
媒体评论
Kali Linux面向专业的渗透测试和安全审计,集成了大量精心挑选的安全检测工具。本书在Kali Linux平台上从攻击者的角度来审视网络框架,详细介绍攻击者“杀链”采取的具体步骤。
本书旨在帮助你开发自己的方法和方式来进行有效渗透测试,深入理解黑客怎样攻击数据系统,进而了解怎样在漏洞被利用之前弥补漏洞。如果你是一名专业的安全工程师、渗透测试员,或者是对复杂的数据环境的安全感兴趣的人,那么这本书是为你准备的。
通过阅读本书,你将学到:
采用黑客有效使用的方法来确保最有效的网络渗透测试
Kali Linux渗透测试的最优配置
使用隐形技术来逃避被测试网络的检测
识别网络中的隐形攻击
使用有线和无线网络以及Web服务来利用网络和数据系统
从目标系统识别和下载有价值的数据
保持访问被入侵系统
利用社会工程学入侵网络的最弱部分——终端用户
本书旨在帮助你开发自己的方法和方式来进行有效渗透测试,深入理解黑客怎样攻击数据系统,进而了解怎样在漏洞被利用之前弥补漏洞。如果你是一名专业的安全工程师、渗透测试员,或者是对复杂的数据环境的安全感兴趣的人,那么这本书是为你准备的。
通过阅读本书,你将学到:
采用黑客有效使用的方法来确保最有效的网络渗透测试
Kali Linux渗透测试的最优配置
使用隐形技术来逃避被测试网络的检测
识别网络中的隐形攻击
使用有线和无线网络以及Web服务来利用网络和数据系统
从目标系统识别和下载有价值的数据
保持访问被入侵系统
利用社会工程学入侵网络的最弱部分——终端用户
