計算機安全導論：深度實踐

定　價：￥49.00

作　者：	杜文亮著
出版社：	高等教育出版社
叢編項：	高等學校網(wǎng)絡空間安全系列教材
標　簽：	暫缺

購買這本書可以去

ISBN：	9787040538823	出版時間：	2020-04-01	包裝：	平裝
開本：	16開	頁數(shù)：	429	字數(shù)：

內(nèi)容簡介

　　《計算機安全導論：深度實踐》是作者結(jié)合18年來在計算機安全教育和研發(fā)方面的經(jīng)驗編寫而成的?！队嬎銠C安全導論：深度實踐》涵蓋計算機和網(wǎng)絡空間安全的基礎知識，包括軟件安全、Web安全和網(wǎng)絡安全?！队嬎銠C安全導論：深度實踐》旨在幫助讀者了解各種各樣的攻擊和防御的思想與原理。通過《計算機安全導論：深度實踐》，讀者可以養(yǎng)成良好的安全思維習慣，正確評估計算機和網(wǎng)絡所面臨的風險，提升發(fā)現(xiàn)和攻破軟件及系統(tǒng)安全漏洞的能力，并提高設計實現(xiàn)軟件的能力及系統(tǒng)防御能力?！队嬎銠C安全導論：深度實踐》的特點是理論與實踐相結(jié)合。對于每個涉及的理論，《計算機安全導論：深度實踐》都使用一系列實驗幫助讀者加深對理論的理解，目的是讓讀者得到親身體驗。這些實驗是作者花費16年心血精心設計的，它們已經(jīng)在世界各地被廣泛使用。《計算機安全導論：深度實踐》適用于學生、計算機科學家、計算機工程師、程序員、軟件開發(fā)人員、網(wǎng)絡和系統(tǒng)管理員以及其他對計算機安全感興趣的讀者，可作為本科和研究生的計算機安全教材，也可作為自學者提高計算機安全技能的學習材料。《計算機安全導論：深度實踐》特色：理論與實踐相結(jié)合。既講解攻擊原理，又介紹攻擊過程，提供完整的實驗環(huán)境，每章都有對應的SEED實驗，使讀者身臨其境體驗攻擊及防御過程。注重構(gòu)建計算機安全知識體系。深入挖掘知識點的內(nèi)在關(guān)聯(lián)，深刻闡釋攻擊發(fā)生的共性原因及防御措施的本質(zhì)特點，幫助讀者建立扎實的計算機安全知識體系。深入細節(jié)、講解透徹。從基礎知識點入手，由淺入深、循序漸進地剖析攻擊及防御的完整過程，直擊重點難點，幫助讀者快速提升實踐能力。

作者簡介

　　杜文亮，1993年從中國科學技術(shù)大學獲得學士學位（軟件專業(yè)），1996年從佛羅里達國際大學獲得碩士學位。1996-2001年在普渡大學計算機系攻讀博士，并于2001年獲得博士學位（計算機安全方向）。畢業(yè)后，成為雪城大學（Syracuse University）的助理教授。目前是該校電氣工程與計算機科學系教授（終身教授），同時也是浙江大學客座教授。2001年開始一直為本科生和研究生講授計算機安全和網(wǎng)絡安全課程。為了讓學生獲得動手實踐的機會，從2002年起開始研發(fā)動手實驗，目前已開發(fā)30多個名為SEED的動手實驗。這些實驗目前廣為人知，全球有1000多所學校正在使用或已經(jīng)使用過這些實驗。2010年，美國國家科學基金會在遞交給國會的報告中把SEED項目作為一個模范項目。該報告名為《新挑戰(zhàn)，新戰(zhàn)略：在本科STEM教育中追求卓越》，它挑選了“在全國STEM教育中尖端的具有創(chuàng)造力的17個項目”。2017年，由于SEED實驗的影響力，獲得第21屆信息系統(tǒng)安全教育大會頒發(fā)的“學術(shù)領(lǐng)導”獎。2019年，被雪城大學授予Meredith教授名譽。這是一個終身的名譽，是雪城大學教學獎。在計算機和網(wǎng)絡安全領(lǐng)域的研究興趣主要集中在系統(tǒng)安全方面。研究成果曾10次獲得美國國家科學基金會獎，也曾獲得一次Google公司的研究獎。先后發(fā)表100多篇論文。截至2019年10月，論文總被引用數(shù)超過14600次（基于GoogleScholar）。2003年在ACM-CCS學術(shù)會議上發(fā)表的一篇論文于2013年獲得該會議頒發(fā)的時間測試獎（Test-of-TimeAward）。該獎項頒發(fā)給10年前在該會議上發(fā)表的有影響力的文章。目前的研究重點是智能手機安全性，在Android（安卓）的設計和實現(xiàn)中發(fā)現(xiàn)了許多操作系統(tǒng)內(nèi)部存在的安全問題，并開發(fā)了新的機制來增強智能手機的系統(tǒng)安全性。

圖書目錄

第1部分軟件安全
第1章 Set-UID特權(quán)程序原理及攻擊方法
1．1 特權(quán)程序存在的必要性
1．1．1 密碼困境
1．1．2 不同類型的特權(quán)程序
1．2 Set-UID機制
1．2．1 超人的故事
1．2．2 特權(quán)程序的工作原理
1．2．3 一個Set-UID程序的例子
1．2．4 Set-UID機制的安全性
1．2．5 Set-GID機制
1．3 可能出現(xiàn)的問題：超人的遭遇
j．4 Set-UID程序的攻擊面
1．4．1 用戶輸入：顯式輸入
1．4．2 系統(tǒng)輸入
1．4．3 環(huán)境變量：隱藏的輸入
1．4．4 權(quán)限泄露
1．5 調(diào)用其他程序
1．5．1 不安全的方式：使用system（）
1．5．2 安全的方式：使用execve（）
1．5．3 用其他語言調(diào)用外部命令
1．5．4 經(jīng)驗教訓：隔離的原則
1．6 最小特權(quán)原則
1．7 總結(jié)
動手實驗
習題
第2章通過環(huán)境變量實現(xiàn)攻擊
2．1 環(huán)境變量
2．1．1 如何訪問環(huán)境變量
2．1．2 進程獲取環(huán)境變量的方式
2．1．3 環(huán)境變量在內(nèi)存中的位置
2．1．4 shell變量和環(huán)境變量
2．2 環(huán)境變量帶來的攻擊面
2．3 通過動態(tài)鏈接器的攻擊
2．3．1 靜態(tài)和動態(tài)鏈接
2．3．2 案例分析：LD_PRELOAD和LD_LIBRARY_PATH
2．3．3 案例分析：OSX動態(tài)鏈接器
2．4 通過外部程序進行攻擊
2．4．1 兩種調(diào)用外部程序的典型方式
2．4．2 案例分析：PATH環(huán)境變量
2．4．3 減小攻擊面
2．5 通過程序庫攻擊
案例分析：UNIX中的Locale程序
2．6 通過程序本身的代碼進行攻擊
案例分析：在應用代碼中使用getenv（）函數(shù)
2．7 Set-UID機制和服務機制的比較
2．8 總結(jié)
動手實驗
習題
第3章 Shellshock攻擊
3．1 背景知識：shell函數(shù)
3．2 Shellshock漏洞
3．2．1 Shellshock漏洞
3．2．2 Bash源代碼中的錯誤
3．2．3 Shellshock漏洞的利用
3．3 利用Shellshock攻擊Set-UID程序
3．4 利用Shellshock攻擊CGI程序
3．4．1 實驗環(huán)境準備
3．4．2 Web服務器調(diào)用CGI程序
3．4．3 攻擊者向Bash發(fā)送數(shù)據(jù)
3．4．4 實施Shellshock攻擊
3．4．5 創(chuàng)建反向shell
3．5 針對PHP的遠程攻擊
3．6 總結(jié)
動手實驗
習題
……
第4章緩沖區(qū)溢出攻擊
第2部分 Web安全
第3部分網(wǎng)絡安全
參考文獻