注冊(cè) | 登錄讀書好,好讀書,讀好書!
讀書網(wǎng)-DuShu.com
當(dāng)前位置: 首頁(yè)出版圖書科學(xué)技術(shù)計(jì)算機(jī)/網(wǎng)絡(luò)信息安全物聯(lián)網(wǎng)滲透測(cè)試

物聯(lián)網(wǎng)滲透測(cè)試

物聯(lián)網(wǎng)滲透測(cè)試

定 價(jià):¥89.00

作 者: (美)亞倫·古茲曼,(美)阿迪蒂亞·古普塔
出版社: 機(jī)械工業(yè)出版社
叢編項(xiàng):
標(biāo) 簽: 暫缺
ISBN: 9787111625070 出版時(shí)間: 2019-06-01 包裝:
開本: 頁(yè)數(shù): 字?jǐn)?shù):  

內(nèi)容簡(jiǎn)介

  本書介紹物聯(lián)網(wǎng)滲透測(cè)試的原理和實(shí)用技術(shù)。主要內(nèi)容包括IOT威脅建模、固件分析及漏洞利用、嵌入式web應(yīng)用漏洞、IOT移動(dòng)應(yīng)用漏洞、IOT設(shè)備攻擊、無線電入侵、固件安全和移動(dòng)安全*佳實(shí)踐、硬件保護(hù)以及IOT高級(jí)漏洞的利用與安全自動(dòng)化。

作者簡(jiǎn)介

  Aaron Guzman是洛杉磯地區(qū)的安全顧問,在Web應(yīng)用安全、移動(dòng)應(yīng)用安全以及嵌入式設(shè)備安全領(lǐng)域具有豐富的經(jīng)驗(yàn)。Aaron Guzman在眾多國(guó)際會(huì)議以及一些地區(qū)性會(huì)議上分享過他的安全研究成果,這些國(guó)際會(huì)議包括DEF CON、DerbyCon、AppSec EU、AppSec USA、HackFest、Security Fest、HackMiami、44Con以及AusCERT等。此外,Aaron是開放式Web應(yīng)用程序安全項(xiàng)目(Open Web Application Security Project,OWASP)洛杉磯分會(huì)與云安全聯(lián)盟(Cloud Security Alliance,CSA)南加利福尼亞分會(huì)的負(fù)責(zé)人,還是Packt出版的《Practical Internet of Things Security》一書的技術(shù)審稿人。他為CSA、OWASP、PRPL等組織出版發(fā)行的很多IoT安全指南類書籍提供過幫助。Aaron主持了OWASP嵌入式應(yīng)用安全項(xiàng)目,為嵌入式與IoT社區(qū)解決常見的固件安全漏洞提供了卓有成效的指導(dǎo)。讀者可以關(guān)注Twitter賬號(hào)@scriptingxss了解Aaron的*新研究進(jìn)展。 這里向本書的讀者致以特別的謝意,希望這本書能夠?qū)λ麄冮_展IoT安全研究以及滲透測(cè)試有所幫助。 Aditya Gupta是IoT與移動(dòng)安全公司Attify的創(chuàng)始人,同時(shí)也是IoT和移動(dòng)安全研究員。他開發(fā)了廣受歡迎的培訓(xùn)課程Offensive IoT Exploitation(IoT漏洞利用技術(shù)),同時(shí)也是黑客在線商店Attify-Store的創(chuàng)始人。 Gupta文能提筆寫論文,武能編碼寫工具,并多次在BlackHat、DefCon、OWASP AppSec、ToorCon等國(guó)際會(huì)議上發(fā)表演講。 在過往的經(jīng)歷中,Gupta曾與多個(gè)機(jī)構(gòu)合作,幫助它們構(gòu)建安全架構(gòu),開發(fā)內(nèi)部自動(dòng)化檢測(cè)工具,挖掘Web和移動(dòng)應(yīng)用漏洞,主持制訂安全規(guī)劃方案等。 讀者可以通過Twitter賬號(hào)@adi1391或郵箱adityag@attify.com聯(lián)系Gupta。 我要感謝我的父母和姐姐,感謝他們?yōu)槲姨峁┝顺晒λ匦璧闹С趾蛣?dòng)力,并讓我對(duì)于“世間萬物的運(yùn)作機(jī)制”充滿了好奇,這推動(dòng)著我日復(fù)一日地追求自己鐘愛的事業(yè)。 *后也是*重要的是,感謝Attify公司的同事—非常幸運(yùn)能夠同*好的滲透測(cè)試人員、逆向分析師和擅長(zhǎng)解決問題的人們一起共事—正是在大家的通力協(xié)作下我們攻克了幾乎所有的IoT設(shè)備。你們是*棒的!

圖書目錄

譯者序 

前言 

致謝 

作者簡(jiǎn)介 

審稿者簡(jiǎn)介 

第1章 IoT滲透測(cè)試1 

1.1 簡(jiǎn)介1 

1.2 定義IoT生態(tài)系統(tǒng)與滲透測(cè)試生命周期2 

1.3 固件入門4 

1.3.1 固件深度分析4 

1.3.2 固件的開發(fā)供應(yīng)鏈5 

1.4 IoT中的Web應(yīng)用6 

1.5 IoT中的移動(dòng)應(yīng)用9 

1.5.1 混合應(yīng)用9 

1.5.2 原生應(yīng)用10 

1.6 硬件設(shè)備基礎(chǔ)11 

1.7 IoT無線通信簡(jiǎn)介13 

1.7.1 Wi-Fi13 

1.7.2 ZigBee14 

1.7.3 Z-Wave14 

1.7.4 藍(lán)牙15 

1.8 IoT滲透測(cè)試環(huán)境的部署15 

1.8.1 軟件工具要求15 

1.8.2 硬件分析工具需求17 

1.8.3 無線電分析工具需求19 

第2章 IoT威脅建模20 

2.1 簡(jiǎn)介20 

2.2 威脅建模概念簡(jiǎn)介21 

2.2.1 準(zhǔn)備工作24 

2.2.2 測(cè)試流程24 

2.3 IoT設(shè)備威脅建模剖析28 

2.4 固件威脅建模35 

2.4.1 準(zhǔn)備工作35 

2.4.2 測(cè)試流程36 

2.5 IoT Web應(yīng)用威脅建模39 

2.6 IoT移動(dòng)應(yīng)用威脅建模42 

2.7 IoT設(shè)備硬件威脅建模45 

2.8 IoT無線電通信威脅建模47 

第3章 固件分析與漏洞利用50 

3.1 簡(jiǎn)介50 

3.2 固件分析方法51 

3.3 固件提取51 

3.3.1 準(zhǔn)備工作51 

3.3.2 測(cè)試流程52 

3.3.3 測(cè)試分析59 

3.4 固件分析59 

3.4.1 準(zhǔn)備工作59 

3.4.2 測(cè)試流程59 

3.4.3 測(cè)試分析62 

3.4.4 拓展學(xué)習(xí)63 

3.4.5 延伸閱讀64 

3.5 文件系統(tǒng)分析64 

3.5.1 準(zhǔn)備工作64 

3.5.2 測(cè)試流程64 

3.5.3 測(cè)試分析67 

3.5.4 拓展學(xué)習(xí)68 

3.5.5 延伸閱讀68 

3.6 基于固件仿真的動(dòng)態(tài)分析68 

3.6.1 準(zhǔn)備工作68 

3.6.2 測(cè)試流程68 

3.6.3 測(cè)試分析70 

3.6.4 拓展學(xué)習(xí)71 

3.7 ARM與MIPS架構(gòu)下二進(jìn)制文件的分析入門71 

3.7.1 準(zhǔn)備工作71 

3.7.2 測(cè)試流程71 

3.7.3 拓展學(xué)習(xí)74 

3.8 MIPS架構(gòu)下的漏洞利用74 

3.8.1 準(zhǔn)備工作74 

3.8.2 測(cè)試流程74 

3.8.3 測(cè)試分析82 

3.8.4 拓展學(xué)習(xí)83 

3.9 使用firmware-mod-kit(FMK)在固件中添加后門83 

3.9.1 準(zhǔn)備工作83 

3.9.2 測(cè)試流程83 

3.9.3 測(cè)試分析88 

第4章 嵌入式Web應(yīng)用漏洞利用89 

4.1 簡(jiǎn)介89 

4.2 Web應(yīng)用的安全測(cè)試89 

4.3 Burp Suite的用法92 

4.3.1 準(zhǔn)備工作92 

4.3.2 測(cè)試流程92 

4.3.3 測(cè)試分析98 

4.3.4 拓展學(xué)習(xí)98 

4.3.5 延伸閱讀99 

4.4 OWASP ZAP的用法99 

4.4.1 準(zhǔn)備工作99 

4.4.2 測(cè)試流程99 

4.4.3 拓展學(xué)習(xí)104 

4.5 命令注入漏洞利用105 

4.5.1 準(zhǔn)備工作105 

4.5.2 測(cè)試流程106 

4.5.3 延伸閱讀109 

4.6 XSS漏洞利用109 

4.6.1 準(zhǔn)備工作110 

4.6.2 測(cè)試流程110 

4.6.3 拓展學(xué)習(xí)120 

4.6.4 延伸閱讀120 

4.7 CSRF漏洞利用121 

4.7.1 準(zhǔn)備工作122 

4.7.2 測(cè)試流程122 

4.7.3 延伸閱讀125 

第5章 IoT移動(dòng)應(yīng)用漏洞利用126 

5.1 簡(jiǎn)介126 

5.2 獲取IoT移動(dòng)應(yīng)用127 

5.3 反編譯Android應(yīng)用129 

5.3.1 準(zhǔn)備工作129 

5.3.2 測(cè)試流程130 

5.3.3 延伸閱讀132 

5.4 解密iOS應(yīng)用132 

5.4.1 準(zhǔn)備工作132 

5.4.2 測(cè)試流程132 

5.4.3 延伸閱讀135 

5.5 基于MobSF框架的靜態(tài)分析135 

5.5.1 準(zhǔn)備工作135 

5.5.2 測(cè)試流程136 

5.5.3 拓展學(xué)習(xí)144 

5.6 基于idb的iOS數(shù)據(jù)存儲(chǔ)分析144 

5.6.1 準(zhǔn)備工作144 

5.6.2 測(cè)試流程145 

5.6.3 拓展學(xué)習(xí)149 

5.6.4 延伸閱讀150 

5.7 Android數(shù)據(jù)存儲(chǔ)分析150 

5.7.1 準(zhǔn)備工作150 

5.7.2 測(cè)試流程150 

5.7.3 延伸閱讀153 

5.8 動(dòng)態(tài)分析測(cè)試153 

5.8.1 準(zhǔn)備工作153 

5.8.2 測(cè)試流程153 

5.8.3 延伸閱讀162 

第6章 IoT設(shè)備攻擊技術(shù)163 

6.1 簡(jiǎn)介163 

6.2 硬件漏洞利用與軟件漏洞利用164 

6.3 硬件攻擊方法164 

6.3.1 信息搜集與分析164 

6.3.2 設(shè)備的外部分析與內(nèi)部分析165 

6.3.3 通信接口識(shí)別165 

6.3.4 采用硬件通信技術(shù)獲取數(shù)據(jù)166 

6.3.5 基于硬件漏洞利用方法的軟件漏洞利用166 

6.4 硬件分析技術(shù)166 

6.4.1 打開設(shè)備166 

6.4.2 芯片分析166 

6.5 電子技術(shù)基礎(chǔ)167 

6.5.1 電阻167 

6.5.2 電壓168 

6.5.3 電流168 

6.5.4 電容169 

6.5.5 晶體管169 

6.5.6 存儲(chǔ)器類型170 

6.5.7 串行通信與并行通信170 

6.5.8 拓展學(xué)習(xí)171 

6.6 總線與接口識(shí)別171 

6.6.1 測(cè)試流程171 

6.6.2 拓展學(xué)習(xí)177 

6.7 嵌入式設(shè)備的串行接口177 

6.7.1 準(zhǔn)備工作178 

6.7.2 測(cè)試流程178 

6.7.3 延伸閱讀180 

6.8 NAND噪聲干擾180 

6.8.1 準(zhǔn)備工作181 

6.8.2 測(cè)試流程181 

6.8.3 延伸閱讀183 

6.9 JTAG接口的調(diào)試與漏洞利用183 

6.9.1 準(zhǔn)備工作183 

6.9.2 測(cè)試流程183 

6.9.3 延伸閱讀185 

第7章 無線電攻擊技術(shù)187 

7.1 簡(jiǎn)介187 

7.2 SDR入門188 

7.3 SDR工具189 

7.3.1 準(zhǔn)備工作189 

7.3.2 測(cè)試流程189 

7.3.3 拓展學(xué)習(xí)198 

7.4 ZigBee漏洞利用198 

7.4.1 準(zhǔn)備工作198 

7.4.2 測(cè)試流程198 

7.4.3 拓展學(xué)習(xí)201 

7.5 Z-Wave深入分析201 

7.6 BLE分析及漏洞利用203 

7.6.1 準(zhǔn)備工作205 

7.6.2 測(cè)試流程206 

7.6.3 拓展學(xué)習(xí)209 

第8章 固件安全最佳實(shí)踐210 

8.1 簡(jiǎn)介210 

8.2 內(nèi)存崩潰漏洞防護(hù)211 

8.2.1 準(zhǔn)備工作211 

8.2.2 測(cè)試流程211 

8.2.3 延伸閱讀214 

8.3 注入攻擊防護(hù)214 

8.3.1 測(cè)試流程215 

8.3.2 延伸閱讀216 

8.4 固件更新保護(hù)216 

8.5 敏感信息保護(hù)218 

8.5.1 測(cè)試流程219 

8.5.2 延伸閱讀220 

8.6 嵌入式框架加固220 

8.6.1 準(zhǔn)備工作221 

8.6.2 測(cè)試流程221 

8.7 第三方代碼及組件的保護(hù)225 

8.7.1 準(zhǔn)備工作225 

8.7.2 測(cè)試流程226 

第9章 移動(dòng)安全最佳實(shí)踐230 

9.1 簡(jiǎn)介230 

9.2 數(shù)據(jù)存儲(chǔ)安全231 

9.2.1 準(zhǔn)備工作231 

9.2.2 測(cè)試流程231 

9.2.3 延伸閱讀233 

9.3 認(rèn)證控制措施的實(shí)現(xiàn)233 

9.3.1 測(cè)試流程233 

9.3.2 延伸閱讀238 

9.4 數(shù)據(jù)傳輸安全238 

9.4.1 測(cè)試流程239 

9.4.2 延伸閱讀242 

9.5 Android與iOS平臺(tái)下組件的使用安全242 

9.6 第三方代碼與組件安全244 

9.6.1 測(cè)試流程245 

9.6.2 延伸閱讀246 

9.7 針對(duì)逆向分析的保護(hù)措施246 

9.7.1 測(cè)試流程247 

9.7.2 拓展學(xué)習(xí)248 

9.7.3 延伸閱讀248 

第10章 硬件安全保障249 

10.1 簡(jiǎn)介249 

10.2 硬件最佳實(shí)踐249 

10.3 非通用的螺絲類型250 

10.4 防篡改和硬件保護(hù)機(jī)制250 

10.5 側(cè)信道攻擊保護(hù)252 

10.6 暴露的接口253 

10.7 通信數(shù)據(jù)加密與TPM253 

第11章 IoT高級(jí)漏洞利用與自動(dòng)化安全防護(hù)254 

11.1 簡(jiǎn)介254 

11.2 ROP gadget搜索254 

11.2.1 準(zhǔn)備工作255 

11.2.2 測(cè)試流程255 

11.2.3 延伸閱讀267 

11.3 Web安全漏洞的組合利用268 

11.3.1 測(cè)試流程268 

11.3.2 延伸閱讀277 

11.4 固件持續(xù)集成測(cè)試配置277 

11.4.1 準(zhǔn)備工作277 

11.4.2 測(cè)試流程278 

11.4.3 延伸閱讀284 

11.5 Web應(yīng)用持續(xù)集成測(cè)試配置284 

11.5.1 準(zhǔn)備工作284 

11.5.2 測(cè)試流程284 

11.5.3 延伸閱讀292 

11.6 移動(dòng)應(yīng)用持續(xù)集成測(cè)試配置293 

11.6.1 準(zhǔn)備工作293 

11.6.2 測(cè)試流程293 

11.6.3 延伸閱讀303

本目錄推薦

掃描二維碼
Copyright ? 讀書網(wǎng) ranfinancial.com 2005-2020, All Rights Reserved.
鄂ICP備15019699號(hào) 鄂公網(wǎng)安備 42010302001612號(hào)