專業滲透測試：第2版

隨著信息科學與技術的不斷發展和廣泛套用，網路空間作為繼陸、海、空、天之後的“第五維空間”，已成為世界各軍事強國戰略競爭的制高點。2014年，我國成立了中央網路安全與信息化領導小組，習主席明確指出“沒有網路安全就沒有國家安全”。2015年中國國防白皮書《中國的軍事戰略》中明確指出“網路空間是經濟社會發展新支柱和國家安全的新領域……加快網路空間力量建設……保障國家網路與信息安全，維護國家安全和社會穩定”。為了加快網路空間安全領域高精尖人才的培養，2015年教育部新增“網路空間安全”一級學科。網路滲透測試是通過黑客攻擊的手段和方法對網路系統進行漏洞探測和安全評估的科學，是目前國際上網路安全領域的發展熱點，許多已開發國家已經建立了相應的行業標準和職業能力認證體系。無論是理論技術發展還是人才培養體系，我國在網路滲透測試領域的發展還相對滯後。目前市面上關於滲透測試技術方面的著作,大都關注於各種黑客工具和滲透測試平台的使用方法。專業的滲透測試人員不僅應能熟練使用各種黑客工具和測試平台，而且還應從方法論的高度對網路滲透測試的組織實施和項目管理具備深刻的認識。 本書系統介紹了專業滲透測試的基礎理論和方法，注重基本概念與理論實踐的結合，從目前國際上公認的滲透測試方法論、通用執行標準到滲透測試流程中的每個關鍵環節，為讀者詳細介紹了如何組織和實施專業化的網路滲透測試。全書共分15章：第1章對全書的內容進行了簡要的介紹；第2章主要介紹了黑客的職業道德；第3章主要討論了如何建立滲透測試實驗環境；第4章主要介紹滲透測試方法論與滲透測試框架；第5章主要介紹如何進行滲透測試項目管理；第6章介紹如何進行滲透測試信息收集；第7章介紹如何進行漏洞識別；第8章介紹漏洞的驗證與利用；第9章介紹本地系統滲透測試；第10章介紹提升系統許可權；第11章主要討論如何攻擊網路的支持系統，特別是資料庫伺服器和網路共享系統；第12章主要討論如何進行無線網路和網路管理協定的滲透測試；第13章主要討論不同類型的Web套用攻擊，包括SQL注入和XSS攻擊等；第14章主要介紹如何撰寫滲透測試報告；第15章為如何成為一名職業的滲透測試工程師提供了發展指南。 原著者Thomas Wilhelm是科羅拉多理工大學的副教授，之前就職於美國財富前20強公司，主要從事滲透測試和風險評估工作。其在滲透測試和風險評估領域有超過15年的工作經驗，取得了多項信息安全領域的專家證書，在信息系統安全專業領域擁有多年理論研究和實踐經驗。本書英文原著在美國上市後，引起了強烈的反響。許多IT研究分析師聲稱，“本書將影響滲透測試人員的整個職業生涯，對網路安全諮詢行業的觀念影響是不可替代的”。 本書適合作為網路空間安全相關專業高年級本科生的選修課教材，特別適合作為研究生的專業課教材，同時也可供從事計算機網路安全、計算機網路滲透測試和網路攻防工作的技術人員作為必備的參考書。 參加本書翻譯工作的有王布宏、柏雪倩、李夏、劉新波、楊智顯。柏雪倩、李夏、劉新波、楊智顯、田繼偉、尚福特、李騰耀負責本書校對和文字整理工作，劉新波、劉帥琦參與了本書插圖的修改和整理，全書由王布宏和李夏負責統稿。張群審閱了譯稿並提出了許多寶貴的意見和建議。 感謝中央軍委裝備發展部裝備科技譯著出版基金對本書翻譯出版的支持，同時感謝責任編輯牛旭東在本書出版過程中所付出的辛勤勞動。 受譯者水平和知識面所限，書中難免有疏漏、不當和錯誤。懇請讀者批評指正。

第1章緒論

1.1引言

1.1.1新版介紹

1.1.2下載連結和支持檔案

1.2本章小結

第2章黑客行動的道德規範

2.1獲得測試許可

2.2道德標準規範

2.3為什麼要遵守道德準則

2.3.1黑帽黑客

2.3.2白帽黑客

2.3.3灰帽黑客

2.4道德標準

2.4.1行業認證

2.5計算機犯罪法律

2.5.1法律的種類

2.5.2計算機犯罪和攻擊的種類

2.6獲得測試許可

2.6.1保密協定

2.6.2公司義務

……