掃一掃
關注中圖網
官方微博
本類五星書更多>
-
>
全國計算機等級考試最新真考題庫模擬考場及詳解·二級MSOffice高級應用
-
>
決戰行測5000題(言語理解與表達)
-
>
軟件性能測試.分析與調優實踐之路
-
>
第一行代碼Android
-
>
JAVA持續交付
-
>
EXCEL最強教科書(完全版)(全彩印刷)
-
>
深度學習
CTF實戰 技術 解題與進階 版權信息
- ISBN:9787111728832
- 條形碼:9787111728832 ; 978-7-111-72883-2
- 裝幀:平裝-膠訂
- 冊數:暫無
- 重量:暫無
- 所屬分類:>
CTF實戰 技術 解題與進階 本書特色
(1)緊跟時代步伐:CTF隨著技術的應用和發展不斷變化,本書從新賽事、新題目、新打法、新技術4個維度指導讀者成為新時代CTFer。 (2)作者背景權威:ChaMd5是國內的王牌安全團隊,團隊核心成員來自阿里、滴滴、啟明星辰、綠盟、知道創宇、奇安信、永信至誠、360、陌陌、牛盾、安恒、啟明等公司。 (3)作者經驗豐富:自成立以來,在CTF比賽、工控安全比賽、IoT比賽、AI安全比賽、車聯網安全比賽等多種安全賽事中屢獲佳績,累計獲得6次冠軍,為企業報告安全漏洞超10萬個。 (4)覆蓋11大領域:全面覆蓋Web安全、密碼學、逆向工程、Pwn、隱寫術、數字取證、代碼審計7大傳統核心領域以及智能合約、工控、物聯網、車聯網4大新興領域,緊跟安全技術的發展。 (5)從基礎到進階:不僅詳細講解11大技術領域的基礎和原理,而且還針對性地講解了它們的進階知識、技巧和心得。 (6)大量案例真題:不僅精心設計了大量的實操案例來幫助讀者理解,而且還精心挑選了大量的典型真題,給出了真題的解法以及比賽的戰術、戰法。 (7)22位專家力薦:來自百度、騰訊、綠盟、奇安信等多家互聯網企業的專家,來自Lilac、Nu1L Team、Redbud、W&M、米斯特、網絡尖刀等國內知名CTF戰隊和安全團隊的專家,以及來自高校的學者聯袂推薦。
CTF實戰 技術 解題與進階 內容簡介
感謝 ChaMd5 戰隊的24 名參與編寫的戰隊成員,他們分別是 b0ldfrev、badmonkey、bingo、董浩宇、eevee、飯飯(范鵬)、ggb0n、LFY、luckyu、南宮十六、Pcat、prowes5、PureT、Reshahar、thinker、天河、童帥、Vanish、waynehao、wEik1、Windforce17、xq17、逍遙自在、張智恒。
隨著數字化和智能化的不斷應用和發展,CTF涉及的技術領域、比賽的形式、解題的方法等也在快速變化,對參賽者的技術能力和實戰經驗要求越來越高,過往的圖書越來越不能滿足新時代CTFer的需求。
本書是一本與時具進的CTF著作,緊跟CTF變化趨勢,圍繞Web安全、密碼學、逆向工程、Pwn、隱寫術、數字取證、代碼審計7大傳統核心領域以及智能合約、工控、物聯網、車聯網4大新興領域,全面、系統地講解了CTFer需要掌握的安全技術及其進階知識,精心設計和挑選了大量的實操案例和典型真題,并分享了很多流行的戰術和戰法。既適合作為新人系統學習的入門教程,又適合身經百戰的CTFer作為備賽時的定海神針,總而言之,本書希望能指導CTFer在新時代的比賽中取得傲人的成績。感謝 ChaMd5 戰隊的24 名參與編寫的戰隊成員,他們分別是 b0ldfrev、badmonkey、bingo、董浩宇、eevee、飯飯(范鵬)、ggb0n、LFY、luckyu、南宮十六、Pcat、prowes5、PureT、Reshahar、thinker、天河、童帥、Vanish、waynehao、wEik1、Windforce17、xq17、逍遙自在、張智恒。
隨著數字化和智能化的不斷應用和發展,CTF涉及的技術領域、比賽的形式、解題的方法等也在快速變化,對參賽者的技術能力和實戰經驗要求越來越高,過往的圖書越來越不能滿足新時代CTFer的需求。
本書是一本與時具進的CTF著作,緊跟CTF變化趨勢,圍繞Web安全、密碼學、逆向工程、Pwn、隱寫術、數字取證、代碼審計7大傳統核心領域以及智能合約、工控、物聯網、車聯網4大新興領域,全面、系統地講解了CTFer需要掌握的安全技術及其進階知識,精心設計和挑選了大量的實操案例和典型真題,并分享了很多流行的戰術和戰法。既適合作為新人系統學習的入門教程,又適合身經百戰的CTFer作為備賽時的定海神針,總而言之,本書希望能指導CTFer在新時代的比賽中取得傲人的成績。
本書是國內老牌CTF戰隊ChaMd5核心成員多年實戰經驗的總結,得到了來自百度、騰訊、綠盟、奇安信等多家互聯網企業以及Lilac、Nu1L Team、Redbud、W&M、米斯特、網絡尖刀等國內知名CTF戰隊和SRC安全團隊的20余位專家的好評和一致推薦。
本書提供一站式CTF在線學習平臺CTFHub(www.ctfhub.com),平臺為CTFer提供了*新賽事消息、學習技能樹、歷年的真題及其解析、完善的題目環境及配套的Writeup、常見CTF工具及其使用。
CTF實戰 技術 解題與進階 目錄
目 錄
贊譽
前言
第1章 Web安全1
1.1 SQL注入1
1.1.1 SQL注入基礎1
1.1.2 SQL注入進階16
1.2 XSS 27
1.2.1 XSS類型27
1.2.2 XSS Bypass技巧29
1.2.3 XSS進階35
1.2.4 XSS CTF例題43
1.3 跨站請求偽造44
1.4 服務器端請求偽造46
1.4.1 SSRF利用47
1.4.2 SSRF Bypass技巧57
1.4.3 SSRF進階60
1.5 任意文件上傳70
1.5.1 客戶端校驗70
1.5.2 服務端校驗72
1.5.3 任意文件上傳進階85
1.6 任意文件包含89
1.6.1 常見的利用方式89
1.6.2 任意文件包含進階93
1.7 命令注入95
1.7.1 常見危險函數96
1.7.2 常見注入方式97
1.7.3 Bypass技巧99
1.7.4 命令注入進階102
1.8 XML外部實體注入104
1.8.1 XML的基本語法104
1.8.2 利用方式106
1.8.3 Bypass技巧107
1.9 反序列化漏洞108
1.9.1 什么是反序列化108
1.9.2 PHP反序列化109
1.10 服務端模板注入115
1.10.1 模板引擎115
1.10.2 服務端模板注入原理116
1.10.3 Flask-Jinja2模板注入117
1.10.4 PHP-Smarty模板注入126
1.10.5 CTF實戰分析129
1.11 邏輯漏洞132
1.11.1 登錄體系安全133
1.11.2 業務數據安全134
1.11.3 會話權限安全139
1.11.4 密碼重置漏洞144
1.11.5 CTF實戰分析150
第2章 密碼學153
2.1 現代密碼學153
2.1.1 計算安全和無條件安全153
2.1.2 對稱密碼學154
2.1.3 非對稱密碼學155
2.2 古典密碼學156
2.2.1 置換密碼156
2.2.2 代換密碼159
2.2.3 古典密碼學的常用工具和方法164
2.3 分組密碼的結構165
2.3.1 常見的網絡結構165
2.3.2 常見的加密模式166
2.3.3 常見的分組加密算法170
2.4 針對分組密碼的攻擊方式170
2.5 差分分析攻擊實例:對DES的差分
攻擊172
2.6 格密碼182
2.6.1 格理論知識基礎182
2.6.2 knapsack密碼系統186
2.6.3 NTRU密碼系統188
2.6.4 基于Lattice的一些攻擊場景191
第3章 逆向工程194
3.1 初識逆向工程194
3.1.1 逆向工程基礎194
3.1.2 匯編語言基礎196
3.1.3 Windows逆向工程198
3.1.4 Linux逆向工程206
3.2 逆向工程進階207
3.2.1 逆向工程常用算法207
3.2.2 代碼保護技術210
3.2.3 工具的高級應用217
3.2.4 Hook和DLL注入技術230
3.2.5 現代逆向工具237
3.3 高級語言逆向241
3.3.1 Python語言逆向241
3.3.2 .NET程序逆向245
3.3.3 WebAssembly程序逆向254
3.3.4 Go程序逆向256
3.3.5 Rust程序逆向272
3.4 Android平臺逆向工程277
3.4.1 Android靜態分析277
3.4.2 Android動態分析279
3.4.3 Android代碼保護技術282
3.4.4 Android Hook和脫殼技術283
3.5 逆向工程心得與逆向學習285
3.5.1 關于逆向心得285
3.5.2 關于逆向學習286
第4章 Pwn方向288
4.1 Pwn基礎288
4.1.1 常用三大工具288
4.1.2 Linux基礎295
4.1.3 Glibc內存管理機制306
4.2 Pwn初探309
4.2.1 棧漏洞309
4.2.2 格式化字符串漏洞318
4.2.3 堆漏洞331
4.2.4 整數漏洞341
4.3 Pwn進階342
4.3.1 棧相關技巧342
4.3.2 格式化字符串漏洞352
4.3.3 堆漏洞361
4.3.4 IO_FILE利用371
4.3.5 特殊場景下的Pwn375
第5章 隱寫術390
5.1 圖片隱寫390
5.1.1 在文件結構上直接附加信息390
5.1.2 LSB隱寫394
5.1.3 Exif395
5.1.4 盲水印396
5.2 音頻隱寫397
5.2.1 MP3隱寫397
5.2.2 音頻頻譜隱寫398
5.3 視頻隱寫399
5.4 其他載體的隱寫方式399
5.4.1 PDF隱寫399
5.4.2 DOC隱寫400
第6章 數字取證402
6.1 數字取證概述402
6.1.1 數字取證的發展402
6.1.2 數字取證規范和法律依據403
6.2 數字取證技術入門404
6.2.1 存儲與恢復404
6.2.2 Windows系統級取證通識406
6.2.3 UNIX/Linux系統級取證通識409
6.2.4 Mac OS系統級取證通識411
6.3 數字取證技術實務進階414
6.3.1 文件結構分析與恢復414
6.3.2 鏡像還原與仿真417
6.3.3 內存取證高級分析417
6.3.4 數字取證實戰分析423
第7章 代碼審計431
7.1 Java反序列化漏洞431
7.1.1 Java反序列化漏洞原理431
7.1.2 Ysoserial工具介紹437
7.1.3 CTF Java Web題目詳解438
7.2 Python審計方向440
7.2.1 常見漏洞審計440
7.2.2 進階漏洞審計445
7.2.3 自動化代碼審計451
第8章 智能合約安全455
8.1 合約工具配置455
8.1.1 區塊鏈與以太坊455
8.1.2 基礎工具配置456
8.1.3 Remix的使用456
8.1.4 Etherscan的使用459
8.2 合約常見漏洞461
8.2.1 無符號整數溢出461
8.2.2 假充值漏洞462
8.2.3 跨合約調用463
8.2.4 call漏洞合約464
8.2.5 短地址攻擊465
8.2.6 重入攻擊467
8.2.7 tx.origin身份認證漏洞469
8.2.8 可控隨機數470
8.2.9 異常紊亂漏洞470
8.3 CTF題目分析471
8.3.1 內聯匯編471
8.3.2 區塊鏈生態類475
8.4 智能合約漏洞分析實戰477
8.4.1 整數溢出造成的合約攻擊477
8.4.2 跨合約調用漏洞造成的攻擊477
第9章 工控安全479
9.1 工業控制系統概述479
9.1.1 基本概念和主要元件479
9.1.2 工業控制系統網絡結構481
9.2 工業控制系統協議482
9.2.1 Modbus482
9.2.2 S7Comm489
9.2.3 DNP3490
9.3 EtherNet/IP491
9.3.1 BACnet491
9.3.2 OPC492
9.4 工業控制系統編程493
9.4.1 PLC編程493
9.4.2 HMI編程508
9.5 工業控制系統逆向512
9.5.1 固件逆向512
9.5.2 VxWorks內核機制分析519
9.5.3 GoAhead Web Server執行流程
分析522
9.6 工業控制系統滲透527
9.6.1 工控網絡特點527
9.6.2 資產探測530
9.6.3 漏洞利用533
第10章 物聯網安全535
10.1 物聯網基礎理論535
10.1.1 ARM535
10.1.2 MIPS538
10.2 物聯網安全分析539
10.2.1 仿真環境搭建539
10.2.2 固件的提取、解密和分析545
10.2.3 分析調試工具549
10.3 相關漏洞原理550
10.3.1 Web漏洞550
10.3.2 緩沖區溢出551
10.3.3 后門559
10.4 漏洞分析559
10.4.1 Web漏洞560
10.4.2 緩沖區溢出569
10.4.3 內置后門及后門植入574
第11章 車聯網安全578
11.1 什么是車聯網578
11.2 車聯網安全競賽579
11.2.1 總線逆向破解580
11.2.2 線上奪旗賽591
11.2.3 實車漏洞挖掘594
11.3 車聯網安全實戰596
11.3.1 TBOX安全596
11.3.2 車機安全603
11.3.3 充電樁安全615
贊譽
前言
第1章 Web安全1
1.1 SQL注入1
1.1.1 SQL注入基礎1
1.1.2 SQL注入進階16
1.2 XSS 27
1.2.1 XSS類型27
1.2.2 XSS Bypass技巧29
1.2.3 XSS進階35
1.2.4 XSS CTF例題43
1.3 跨站請求偽造44
1.4 服務器端請求偽造46
1.4.1 SSRF利用47
1.4.2 SSRF Bypass技巧57
1.4.3 SSRF進階60
1.5 任意文件上傳70
1.5.1 客戶端校驗70
1.5.2 服務端校驗72
1.5.3 任意文件上傳進階85
1.6 任意文件包含89
1.6.1 常見的利用方式89
1.6.2 任意文件包含進階93
1.7 命令注入95
1.7.1 常見危險函數96
1.7.2 常見注入方式97
1.7.3 Bypass技巧99
1.7.4 命令注入進階102
1.8 XML外部實體注入104
1.8.1 XML的基本語法104
1.8.2 利用方式106
1.8.3 Bypass技巧107
1.9 反序列化漏洞108
1.9.1 什么是反序列化108
1.9.2 PHP反序列化109
1.10 服務端模板注入115
1.10.1 模板引擎115
1.10.2 服務端模板注入原理116
1.10.3 Flask-Jinja2模板注入117
1.10.4 PHP-Smarty模板注入126
1.10.5 CTF實戰分析129
1.11 邏輯漏洞132
1.11.1 登錄體系安全133
1.11.2 業務數據安全134
1.11.3 會話權限安全139
1.11.4 密碼重置漏洞144
1.11.5 CTF實戰分析150
第2章 密碼學153
2.1 現代密碼學153
2.1.1 計算安全和無條件安全153
2.1.2 對稱密碼學154
2.1.3 非對稱密碼學155
2.2 古典密碼學156
2.2.1 置換密碼156
2.2.2 代換密碼159
2.2.3 古典密碼學的常用工具和方法164
2.3 分組密碼的結構165
2.3.1 常見的網絡結構165
2.3.2 常見的加密模式166
2.3.3 常見的分組加密算法170
2.4 針對分組密碼的攻擊方式170
2.5 差分分析攻擊實例:對DES的差分
攻擊172
2.6 格密碼182
2.6.1 格理論知識基礎182
2.6.2 knapsack密碼系統186
2.6.3 NTRU密碼系統188
2.6.4 基于Lattice的一些攻擊場景191
第3章 逆向工程194
3.1 初識逆向工程194
3.1.1 逆向工程基礎194
3.1.2 匯編語言基礎196
3.1.3 Windows逆向工程198
3.1.4 Linux逆向工程206
3.2 逆向工程進階207
3.2.1 逆向工程常用算法207
3.2.2 代碼保護技術210
3.2.3 工具的高級應用217
3.2.4 Hook和DLL注入技術230
3.2.5 現代逆向工具237
3.3 高級語言逆向241
3.3.1 Python語言逆向241
3.3.2 .NET程序逆向245
3.3.3 WebAssembly程序逆向254
3.3.4 Go程序逆向256
3.3.5 Rust程序逆向272
3.4 Android平臺逆向工程277
3.4.1 Android靜態分析277
3.4.2 Android動態分析279
3.4.3 Android代碼保護技術282
3.4.4 Android Hook和脫殼技術283
3.5 逆向工程心得與逆向學習285
3.5.1 關于逆向心得285
3.5.2 關于逆向學習286
第4章 Pwn方向288
4.1 Pwn基礎288
4.1.1 常用三大工具288
4.1.2 Linux基礎295
4.1.3 Glibc內存管理機制306
4.2 Pwn初探309
4.2.1 棧漏洞309
4.2.2 格式化字符串漏洞318
4.2.3 堆漏洞331
4.2.4 整數漏洞341
4.3 Pwn進階342
4.3.1 棧相關技巧342
4.3.2 格式化字符串漏洞352
4.3.3 堆漏洞361
4.3.4 IO_FILE利用371
4.3.5 特殊場景下的Pwn375
第5章 隱寫術390
5.1 圖片隱寫390
5.1.1 在文件結構上直接附加信息390
5.1.2 LSB隱寫394
5.1.3 Exif395
5.1.4 盲水印396
5.2 音頻隱寫397
5.2.1 MP3隱寫397
5.2.2 音頻頻譜隱寫398
5.3 視頻隱寫399
5.4 其他載體的隱寫方式399
5.4.1 PDF隱寫399
5.4.2 DOC隱寫400
第6章 數字取證402
6.1 數字取證概述402
6.1.1 數字取證的發展402
6.1.2 數字取證規范和法律依據403
6.2 數字取證技術入門404
6.2.1 存儲與恢復404
6.2.2 Windows系統級取證通識406
6.2.3 UNIX/Linux系統級取證通識409
6.2.4 Mac OS系統級取證通識411
6.3 數字取證技術實務進階414
6.3.1 文件結構分析與恢復414
6.3.2 鏡像還原與仿真417
6.3.3 內存取證高級分析417
6.3.4 數字取證實戰分析423
第7章 代碼審計431
7.1 Java反序列化漏洞431
7.1.1 Java反序列化漏洞原理431
7.1.2 Ysoserial工具介紹437
7.1.3 CTF Java Web題目詳解438
7.2 Python審計方向440
7.2.1 常見漏洞審計440
7.2.2 進階漏洞審計445
7.2.3 自動化代碼審計451
第8章 智能合約安全455
8.1 合約工具配置455
8.1.1 區塊鏈與以太坊455
8.1.2 基礎工具配置456
8.1.3 Remix的使用456
8.1.4 Etherscan的使用459
8.2 合約常見漏洞461
8.2.1 無符號整數溢出461
8.2.2 假充值漏洞462
8.2.3 跨合約調用463
8.2.4 call漏洞合約464
8.2.5 短地址攻擊465
8.2.6 重入攻擊467
8.2.7 tx.origin身份認證漏洞469
8.2.8 可控隨機數470
8.2.9 異常紊亂漏洞470
8.3 CTF題目分析471
8.3.1 內聯匯編471
8.3.2 區塊鏈生態類475
8.4 智能合約漏洞分析實戰477
8.4.1 整數溢出造成的合約攻擊477
8.4.2 跨合約調用漏洞造成的攻擊477
第9章 工控安全479
9.1 工業控制系統概述479
9.1.1 基本概念和主要元件479
9.1.2 工業控制系統網絡結構481
9.2 工業控制系統協議482
9.2.1 Modbus482
9.2.2 S7Comm489
9.2.3 DNP3490
9.3 EtherNet/IP491
9.3.1 BACnet491
9.3.2 OPC492
9.4 工業控制系統編程493
9.4.1 PLC編程493
9.4.2 HMI編程508
9.5 工業控制系統逆向512
9.5.1 固件逆向512
9.5.2 VxWorks內核機制分析519
9.5.3 GoAhead Web Server執行流程
分析522
9.6 工業控制系統滲透527
9.6.1 工控網絡特點527
9.6.2 資產探測530
9.6.3 漏洞利用533
第10章 物聯網安全535
10.1 物聯網基礎理論535
10.1.1 ARM535
10.1.2 MIPS538
10.2 物聯網安全分析539
10.2.1 仿真環境搭建539
10.2.2 固件的提取、解密和分析545
10.2.3 分析調試工具549
10.3 相關漏洞原理550
10.3.1 Web漏洞550
10.3.2 緩沖區溢出551
10.3.3 后門559
10.4 漏洞分析559
10.4.1 Web漏洞560
10.4.2 緩沖區溢出569
10.4.3 內置后門及后門植入574
第11章 車聯網安全578
11.1 什么是車聯網578
11.2 車聯網安全競賽579
11.2.1 總線逆向破解580
11.2.2 線上奪旗賽591
11.2.3 實車漏洞挖掘594
11.3 車聯網安全實戰596
11.3.1 TBOX安全596
11.3.2 車機安全603
11.3.3 充電樁安全615
展開全部
CTF實戰 技術 解題與進階 相關資料
推薦語(按姓氏拼音排序) 本書以比賽方向及考點為切入點,配合真題深入淺出的介紹了CTF各個方向的學習方法與測試技巧。更是從實戰出發引入了工業互聯網、車聯網等較新的概念。內容貼合實戰,不僅適合CTF新人學習,更適合對工業控制、車聯網等方向感興趣,想進一步學習的網絡安全愛好者。 ——腹黑 安恒車聯網天問實驗室主任、工信部車聯網漏洞分析專家工作組專家、W&M戰隊創始人 本書以CTF實戰為目標,從基礎知識出發,囊括了網絡安全的方方面面,深入淺出地闡述了重要的知識點。不但有傳統的IT類領域,而且包括了智能合約安全、工控安全、車聯網安全等新興領域,內容豐富。在工控安全領域部分配備了詳細的實踐操作和分析案例,很是難得。網絡安全是一項實踐性的學科,本書正是帶領你走向實戰的好向導。 ——高劍 綠盟科技 工控安全研究員 本書可以幫助不同層次的讀者獲取參加CTF競賽所需的知識,內容結合實際賽事中的真題講述了實戰運用和解題思路,可以說是一本極為難得、理論聯系實際的佳作。 ——郭永健 武漢大學國家網絡安全學院教師,中國電子學會計算機取證專家委員會委員 目標資產信息搜集的廣度決定滲透過程的復雜程度。滲透的本質是信息搜集,而信息搜集整理為后續的情報跟進提供了強大的保證。本書圍繞Web安全系統化介紹了“點”與“面”的重要性與關聯性,感謝作者的無私分享! ——侯亮(Micropoor) 本書涵蓋從Web安全到逆向工程,從密碼學到數字取證,以及智能合約、工控安全、車聯網、物聯網等諸多方向,除了介紹基本概念,還分析了很多實際案例以幫助初學者上手和愛好者進階。 ——iczc 區塊鏈安全社區ChainFlag,Scroll Tech安全研究員 本書介紹了CTF競賽需要的安全技術和常見的題目類型及解題技巧,從基礎知識到進階知識由淺入深地進行分析詮釋。本書不僅適合對CTF感興趣的初學者,也可以對資深CTF選手有所裨益,是一本值得一讀的好書。 ——姜楠 大連民族大學計算機學院教授 這是一本內容翔實,涉獵廣泛的書。不僅覆蓋了目前CTF競賽中幾種主流的賽題類型的解題思路,更是融合了物聯網安全、工控安全、車聯網安全等熱門的安全研究方向,為CTF解題和實際的安全研究之間搭建了橋梁。本書不僅為信息安全初學者提供了細致的入門指導,也為安全從業人員提高實踐和研究能力提供有益參考。 ——康健 吉林大學網絡安全學科競賽領隊兼指導教師 對于CTF選手和滲透測試人員而言,車聯網安全是- -知識。本書通俗易懂,從實戰案例出發,使得車聯網安全門外漢的我對其有了更深的了解。我會將本書推薦給每一個熱愛技術的伙伴。 ——Kevin2600 奇安信星輿實驗室首席安全專家 本書的編寫思路符合先業務、后攻防的邏輯。在業務方面,覆蓋了市面上絕大多數的業務環境與系統,詳細介紹了廣泛使用的通訊協議。在攻防方面,提出了常見的安全評估思路。結合CTF的實操演練,最終達成“以練代戰”的目標。本書可為網絡安全人才培養提供參考與借鑒,為國家網絡安全人才培養建設貢獻力量。 ——李東宏 綠盟科技格物實驗室負責人 隨著我國網絡安全市場規模的高速增長,目前網絡安全人才供需嚴重失衡,CTF自誕生以來,在網絡安全人才的培養中,扮演著極為重要的角色。本書不僅深入淺出地對傳統CTF涉及方向進行了講解,更是對當下新興的工控安全、車聯網安全、智能合約等方向進行了詳細的介紹與講解,對于網絡安全從業人員,是一本值得放在身邊隨時翻閱的工具書。 ——李子奇 綠盟科技運營攻防能力部技術總監、梅花K戰隊負責人 本書涵蓋了當下CTF賽事中大部分方向,在講解傳統CTF方向之外又增加了智能合約、工控安全、車聯網安全等方向,補全了國內此類圖書的空缺,是一本不可多得的好書。拜讀此書,使我受益匪淺。 ——林晨 米斯特安全團隊創始人、CTFcrackTools作者 本書從CTF實戰角度出發,從技術原理到實戰操作,由淺入深,尤其對工控安全、物聯網安全、車聯網安全等新興領域做了深入講解,案例經典,不論新手還是經驗豐富的職業選手都會受益匪淺。 ——劉新鵬 恒安嘉新水滴攻防安全實驗室 自1996年在美國DEF CON誕生以來,CTF已成為風靡全球的網絡安全競賽形式。在各類行業中,它都有著獨特的價值。本書立足實戰角度,由工控安全、車聯網安全、物聯網安全等前沿安全領域的專家深入淺出地介紹基礎理論、安全分析、漏洞原理及防御措施。對于讀者來說,它具有很好的指導和借鑒價值。 ——劉葉 百度安全市場運營負責人 本書適合CTF新人從入門到進階,覆蓋了Web安全、密碼學、逆向工程、Pwn等CTF競賽中常見的知識點。書中既有理論,也有實踐。如果你想進入信息安全行業,成為一名實戰型的安全人才,請不要錯過本書。 ——曲子龍 網絡尖刀創始人 ChaMd5安全團隊在眾多國內賽事中取得了優異的成績。本書涵蓋了工控安全和車聯網安全等技術內容,填補了國內網安賽事相關技術圖書的空白。相信能夠對參賽選手起到相應的幫助。 ——Venenof7 Nu1L Team創始人 本書以簡潔清晰的語言闡述了CTF題目的類型、題目中所涉及的概念,通過實戰案例解析發掘問題并解析規避方式,適合入門和進階讀者,是一本值得研讀的好書。 ——王強 東北大學軟件學院副教授 本書以Web安全為始,橫跨密碼學、逆向工程,再到正在流行的PWN、隱寫術、智能合約,并涵蓋了工業控制、物聯網、車聯網等諸多關鍵安全領域。希望這些高密度的知識信息能啟發并促使讀者獨立思考Hack的本質。 ——楊卿 騰訊安全天馬實驗室負責人 作為國內知名的安全團隊之一,ChaMd5根據自身長期積累的經驗和知識撰寫了這本書,以實戰為導向,從入門到進階講解了CTF相關的技術與技巧。相信本書對于各個學習階段的網安從業者與愛好者都具有很好的學習和參考價值。 ——楊雅儒 Redbud隊長,清華大學博士生 本書從實戰角度出發,講解了各種CTF實戰技術,并與時俱進對數字取證、智能合約、工控、物聯網和車聯網等新興安全賽道進行了全面細致地講解,是一本安全入門者不可多得的好書。 ——葉猛 京東藍軍負責人 本書較全面地介紹了當今主流CTF賽題的解題技術基礎和方法思路,循序漸進地介紹基本概念、技術思路、工具推薦及實例分析,特別是介紹了區塊鏈、工控安全、物聯網和車聯網等新方向的網絡攻防技術,讓讀者全面了解CTF競賽現狀與發展趨勢,理解掌握各個方向的安全問題以及基本攻防思路。 ——翟健宏 哈爾濱工業大學副教授,Lilac戰隊指導教師 本書構建了系統的CTF實戰框架,通過大量實例詳盡介紹了技術原理、解題方法及進階知識,是ChaMd5安全團隊實戰多年的經驗凝結。未來網安技術發展日益加速,CTF競賽題目也變得越來越紛繁復雜,相信這本書一定會給讀者指引,延續中國網絡安全知識傳承! ——張璇 山東警察學院網安社指導老師 本書對工業控制系統和物聯網安全從其基本的概念、元件、網絡結構等多方面進行了詳細闡述。內容條理清晰,將晦澀難懂的安全技術知識描述得易于理解,讓讀者能夠將所學知識應用于實際場景。 ——周坤 中國網安·衛士通 工控IoT團隊負責人
CTF實戰 技術 解題與進階 作者簡介
作者簡介
2021年 “長安杯總決賽”一等獎
2021年 “巔峰極客”第1名
(2)工控安全比賽
2018年 “賽博地球杯工業互聯網安全大賽·線下” 第二名
(3)IoT安全比賽
(4)AI安全比賽
(5)車聯網安全比賽作者簡介
ChaMd5安全團隊
國內老牌CTF戰隊,成立于2016年,為維護企業安全建設而成立,竭盡全力培養安全人才,服務于各大企業。
專注于算法加解密、安全漏洞挖掘、CTF競賽及安全人才培養。團隊成員200余人,大多數來自阿里、滴滴、啟明星辰、綠盟、知道創宇、奇安信、永信至誠、360、陌陌、牛盾、安恒、啟明等公司,也有部分在校學生與自由職業者。
團隊自成立以來,在CTF比賽、工控安全比賽、IoT比賽、AI安全比賽、車聯網安全比賽等多種安全賽事中屢獲佳績,累計獲得6次冠軍。長期與企業保持良好合作關系,累計向企業報告安全漏洞超過10萬個,多次在SRC中獲得第1名,曾獲得華為、螞蟻金服、百度、京東、滴滴、微軟和蘋果等多家企業的感謝和好評。
ChaMd5團隊戰績(部分):
(1)CTF比賽
2021年 “第四屆強網擬態”第1名
2021年 “長安杯總決賽”一等獎
2021年 “巔峰極客”第1名
(2)工控安全比賽
2020年 “之江杯”第1名
2018年 “賽博地球杯工業互聯網安全大賽·線下” 第二名
(3)IoT安全比賽
2020年西湖論劍IOT挑戰賽第1名
(4)AI安全比賽
2022年 “ CCF BDCI 競技賽單賽題決賽”二等獎
(5)車聯網安全比賽
2022年 “CICV 智能網聯汽車漏洞挖掘賽·線下”一等獎
2021年 “第二屆中國智能網聯汽車大賽·天融信杯”銅獎
2021年 “世界智能駕駛挑戰賽”銅獎
(6)SRC成績
2022年BSRC(百度)獲得團隊第1名
2017-2020年DSRC團隊第1名
2020年JSRC(京東)團隊年度第二名
2020年網易SRC團隊年度第二名
2020年字節跳動SRC團隊年度第三名
2020年360SRC年度團隊第二名
2020年TSRC(騰訊)年度合作伙伴獎
2019年華為云年度團隊二等獎
2019年MTSRC(美團)年度團隊第二名
2019年ASRC(阿里)年度合作伙伴獎
書友推薦
- >
回憶愛瑪儂
- >
朝聞道
- >
龍榆生:詞曲概論/大家小書
- >
莉莉和章魚
- >
名家帶你讀魯迅:朝花夕拾
- >
中國歷史的瞬間
- >
詩經-先民的歌唱
- >
推拿
本類暢銷
