万本电子书0元读

万本电子书0元读

顶部广告

物联网渗透测试电子书

今天,IoT已经成为信息产业的主要发展方向,市场上出现了大量IoT设备,但是人们对如何保障这些IoT设备的安全知之甚少。对于从事网络安全研究或技术工作以及从事渗透测试工作的读者,本书将帮助你了解如何对IoT设备展渗透测试并行安全加固。 本书依据针对IoT设备展渗透测试的各个攻面,为读者提供保护IoT中的智能设备的实践经验。本书首先介绍如何分析IoT设备架构并挖掘设备漏洞,然后聚焦于展IoT设备渗透测试所需要的各种技术,帮助读者了解如何展IoT设备漏洞利用,以及如何挖掘IoT设备固件漏洞。在此基础上,讲解如何保障IoT设备的安全。本书还以ZigBee和Z-Wave等协议为例,介绍基于软件定义和无线电的IoT渗透测试方法等高级硬件渗透测试技术。*后,本书介绍了如何采用新型以及较为特殊的渗透技术针对不同的IoT设备(包括连至云上的智能设备)展渗透测试。

售       价:¥

纸质售价:¥70.30购买纸书

136人正在读 | 0人评论 6.2

作       者:(美)亚伦·古兹曼(Aaron Guzman)

出  版  社:机械工业出版社

出版时间:2019-03-01

字       数:17.0万

所属分类: 科技 > 计算机/网络 > 程序设计

温馨提示:此类商品不支持退换货,不支持下载打印

为你推荐

  • 读书简介
  • 目录
  • 累计评论(0条)
  • 读书简介
  • 目录
  • 累计评论(0条)
本书介绍物联网渗透测试的原理和实用技术。主要内容包括IOT威胁建模、固件分析及漏洞利用、嵌式web应用漏洞、IOT移动应用漏洞、IOT设备攻、无线电侵、固件安全和移动安全*佳实践、硬件保护以及IOT高级漏洞的利用与安全自动化。 本书介绍物联网渗透测试的原理和实用技术。主要内容包括IOT威胁建模、固件分析及漏洞利用、嵌式web应用漏洞、IOT移动应用漏洞、IOT设备攻、无线电侵、固件安全和移动安全*佳实践、硬件保护以及IOT高级漏洞的利用与安全自动化。
【推荐语】
今天,IoT已经成为信息产业的主要发展方向,市场上出现了大量IoT设备,但是人们对如何保障这些IoT设备的安全知之甚少。对于从事网络安全研究或技术工作以及从事渗透测试工作的读者,本书将帮助你了解如何对IoT设备展渗透测试并行安全加固。 本书依据针对IoT设备展渗透测试的各个攻面,为读者提供保护IoT中的智能设备的实践经验。本书首先介绍如何分析IoT设备架构并挖掘设备漏洞,然后聚焦于展IoT设备渗透测试所需要的各种技术,帮助读者了解如何展IoT设备漏洞利用,以及如何挖掘IoT设备固件漏洞。在此基础上,讲解如何保障IoT设备的安全。本书还以ZigBee和Z-Wave等协议为例,介绍基于软件定义和无线电的IoT渗透测试方法等高级硬件渗透测试技术。*后,本书介绍了如何采用新型以及较为特殊的渗透技术针对不同的IoT设备(包括连至云上的智能设备)展渗透测试。 本书主要内容: 部署IoT渗透测试环境 各种威胁建模概念 对固件漏洞展分析与漏洞利用 基于MobSF对iOS与Android平台下应用的二制文件展自动化分析 部署Burp Suite工具并展Web应用测试 识别UART和JTAG口的引脚定义、焊头以及硬件调试口 针对常用无线协议的测试方案 移动应用安全和固件安全的实践 掌握各种高级IoT漏洞利用技术与自动化安全测试技术
【作者】
作者简介 Aaron Guzman是洛杉矶地区知名的安全顾问,在Web应用安全、移动应用安全以及嵌式设备安全领域具有丰富的经验。Aaron Guzman在众多国际会议以及一些地区性会议上分享过他的安全研究成果,这些国际会议包括DEF CON、DerbyCon、AppSec EU、AppSec USA、HackFest、Security Fest、HackMiami、44Con以及AusCERT等。此外,Aaron是放式Web应用程序安全项目(Open Web Application Security Project,OWASP)洛杉矶分会与云安全联盟(Cloud Security Alliance,CSA)南加利福尼亚分会的负责人,还是Packt出版的《Practical Internet of Things Security》一书的技术审稿人。他为CSA、OWASP、PRPL等组织出版发行的很多IoT安全指南类书籍提供过帮助。Aaron主持了OWASP嵌式应用安全项目,为嵌式与IoT社区解决常见的固件安全漏洞提供了卓有成效的指导。读者可以关注Twitter账号@scriptingxss了解Aaron的*新研究展。 这里向本书的读者致以特别的谢意,希望这本书能够对他们展IoT安全研究以及渗透测试有所帮助。 Aditya Gupta是IoT与移动安全公司Attify的创始人,同时也是IoT和移动安全研究员。他发了广受欢迎的培训课程Offensive IoT Exploitation(IoT漏洞利用技术),同时也是黑客在线商店Attify-Store的创始人。 Gupta文能提笔写论文,武能编码写工具,并多次在BlackHat、DefCon、OWASP AppSec、ToorCon等国际会议上发表演讲。 在过往的经历中,Gupta曾与多个机构合作,帮助它们构建安全架构,发内部自动化检测工具,挖掘Web和移动应用漏洞,主持制订安全规划方案等。 读者可以通过Twitter账号@adi1391或邮箱adityag@attify.com联系Gupta。 我要感谢我的父母和姐姐,感谢他们为我提供了成功所必需的支持和动力,并让我对于“世间万物的运作机制”充满了好奇,这推动着我日复一日地追求自己钟爱的事业。 *后也是*重要的是,感谢Attify公司的同事—非常幸运能够同*好的渗透测试人员、逆向分析师和擅长解决问题的人们一起共事—正是在大家的通力协作下我们攻克了几乎所有的IoT设备。你们是*棒的!
目录展开

译者序

前言

主要内容

应用工具

本书的读者对象

章节结构说明

格式约定

下载示例代码及彩色插图

致谢

作者简介

审稿者简介

第1章 IoT渗透测试

1.1 简介

1.2 定义IoT生态系统与渗透测试生命周期

渗透测试方法

1.3 固件入门

1.3.1 固件深度分析

1.3.2 固件的开发供应链

1.4 IoT中的Web应用

Web通信

1.5 IoT中的移动应用

1.5.1 混合应用

1.5.2 原生应用

1.6 硬件设备基础

硬件输入

1.7 IoT无线通信简介

1.7.1 Wi-Fi

1.7.2 ZigBee

1.7.3 Z-Wave

1.7.4 蓝牙

1.8 IoT渗透测试环境的部署

1.8.1 软件工具要求

1.8.2 硬件分析工具需求

1.8.3 无线电分析工具需求

第2章 IoT威胁建模

2.1 简介

2.2 威胁建模概念简介

2.2.1 准备工作

2.2.2 测试流程

2.3 IoT设备威胁建模剖析

测试流程

2.4 固件威胁建模

2.4.1 准备工作

2.4.2 测试流程

2.5 IoT Web应用威胁建模

测试流程

2.6 IoT移动应用威胁建模

测试流程

2.7 IoT设备硬件威胁建模

测试流程

2.8 IoT无线电通信威胁建模

测试流程

第3章 固件分析与漏洞利用

3.1 简介

3.2 固件分析方法

3.3 固件提取

3.3.1 准备工作

3.3.2 测试流程

3.3.3 测试分析

3.4 固件分析

3.4.1 准备工作

3.4.2 测试流程

3.4.3 测试分析

3.4.4 拓展学习

3.4.5 延伸阅读

3.5 文件系统分析

3.5.1 准备工作

3.5.2 测试流程

3.5.3 测试分析

3.5.4 拓展学习

3.5.5 延伸阅读

3.6 基于固件仿真的动态分析

3.6.1 准备工作

3.6.2 测试流程

3.6.3 测试分析

3.6.4 拓展学习

3.7 ARM与MIPS架构下二进制文件的分析入门

3.7.1 准备工作

3.7.2 测试流程

3.7.3 拓展学习

3.8 MIPS架构下的漏洞利用

3.8.1 准备工作

3.8.2 测试流程

3.8.3 测试分析

3.8.4 拓展学习

3.9 使用firmware-mod-kit(FMK)在固件中添加后门

3.9.1 准备工作

3.9.2 测试流程

3.9.3 测试分析

第4章 嵌入式Web应用漏洞利用

4.1 简介

4.2 Web应用的安全测试

测试流程

4.3 Burp Suite的用法

4.3.1 准备工作

4.3.2 测试流程

4.3.3 测试分析

4.3.4 拓展学习

4.3.5 延伸阅读

4.4 OWASP ZAP的用法

4.4.1 准备工作

4.4.2 测试流程

4.4.3 拓展学习

4.5 命令注入漏洞利用

4.5.1 准备工作

4.5.2 测试流程

4.5.3 延伸阅读

4.6 XSS漏洞利用

4.6.1 准备工作

4.6.2 测试流程

4.6.3 拓展学习

4.6.4 延伸阅读

4.7 CSRF漏洞利用

4.7.1 准备工作

4.7.2 测试流程

4.7.3 延伸阅读

第5章 IoT移动应用漏洞利用

5.1 简介

5.2 获取IoT移动应用

测试流程

5.3 反编译Android应用

5.3.1 准备工作

5.3.2 测试流程

5.3.3 延伸阅读

5.4 解密iOS应用

5.4.1 准备工作

5.4.2 测试流程

5.4.3 延伸阅读

5.5 基于MobSF框架的静态分析

5.5.1 准备工作

5.5.2 测试流程

5.5.3 拓展学习

5.6 基于idb的iOS数据存储分析

5.6.1 准备工作

5.6.2 测试流程

5.6.3 拓展学习

5.6.4 延伸阅读

5.7 Android数据存储分析

5.7.1 准备工作

5.7.2 测试流程

5.7.3 延伸阅读

5.8 动态分析测试

5.8.1 准备工作

5.8.2 测试流程

5.8.3 延伸阅读

第6章 IoT设备攻击技术

6.1 简介

6.2 硬件漏洞利用与软件漏洞利用

6.3 硬件攻击方法

6.3.1 信息搜集与分析

6.3.2 设备的外部分析与内部分析

6.3.3 通信接口识别

6.3.4 采用硬件通信技术获取数据

6.3.5 基于硬件漏洞利用方法的软件漏洞利用

6.4 硬件分析技术

6.4.1 打开设备

6.4.2 芯片分析

6.5 电子技术基础

6.5.1 电阻

6.5.2 电压

6.5.3 电流

6.5.4 电容

6.5.5 晶体管

6.5.6 存储器类型

6.5.7 串行通信与并行通信

6.5.8 拓展学习

6.6 总线与接口识别

6.6.1 测试流程

6.6.2 拓展学习

6.7 嵌入式设备的串行接口

6.7.1 准备工作

6.7.2 测试流程

6.7.3 延伸阅读

6.8 NAND噪声干扰

6.8.1 准备工作

6.8.2 测试流程

6.8.3 延伸阅读

6.9 JTAG接口的调试与漏洞利用

6.9.1 准备工作

6.9.2 测试流程

6.9.3 延伸阅读

第7章 无线电攻击技术

7.1 简介

7.2 SDR入门

无线电的关键术语

7.3 SDR工具

7.3.1 准备工作

7.3.2 测试流程

7.3.3 拓展学习

7.4 ZigBee漏洞利用

7.4.1 准备工作

7.4.2 测试流程

7.4.3 拓展学习

7.5 Z-Wave深入分析

测试流程

7.6 BLE分析及漏洞利用

7.6.1 准备工作

7.6.2 测试流程

7.6.3 拓展学习

第8章 固件安全最佳实践

8.1 简介

8.2 内存崩溃漏洞防护

8.2.1 准备工作

8.2.2 测试流程

8.2.3 延伸阅读

8.3 注入攻击防护

8.3.1 测试流程

8.3.2 延伸阅读

8.4 固件更新保护

测试流程

8.5 敏感信息保护

8.5.1 测试流程

8.5.2 延伸阅读

8.6 嵌入式框架加固

8.6.1 准备工作

8.6.2 测试流程

8.7 第三方代码及组件的保护

8.7.1 准备工作

8.7.2 测试流程

第9章 移动安全最佳实践

9.1 简介

9.2 数据存储安全

9.2.1 准备工作

9.2.2 测试流程

9.2.3 延伸阅读

9.3 认证控制措施的实现

9.3.1 测试流程

9.3.2 延伸阅读

9.4 数据传输安全

9.4.1 测试流程

9.4.2 延伸阅读

9.5 Android与iOS平台下组件的使用安全

测试流程

9.6 第三方代码与组件安全

9.6.1 测试流程

9.6.2 延伸阅读

9.7 针对逆向分析的保护措施

9.7.1 测试流程

9.7.2 拓展学习

9.7.3 延伸阅读

第10章 硬件安全保障

10.1 简介

10.2 硬件最佳实践

10.3 非通用的螺丝类型

10.4 防篡改和硬件保护机制

10.5 侧信道攻击保护

10.6 暴露的接口

10.7 通信数据加密与TPM

第11章 IoT高级漏洞利用与自动化安全防护

11.1 简介

11.2 ROP gadget搜索

11.2.1 准备工作

11.2.2 测试流程

11.2.3 延伸阅读

11.3 Web安全漏洞的组合利用

11.3.1 测试流程

11.3.2 延伸阅读

11.4 固件持续集成测试配置

11.4.1 准备工作

11.4.2 测试流程

11.4.3 延伸阅读

11.5 Web应用持续集成测试配置

11.5.1 准备工作

11.5.2 测试流程

11.5.3 延伸阅读

11.6 移动应用持续集成测试配置

11.6.1 准备工作

11.6.2 测试流程

11.6.3 延伸阅读

累计评论(0条) 0个书友正在讨论这本书 发表评论

发表评论

发表评论,分享你的想法吧!

买过这本书的人还买过

读了这本书的人还在读

回顶部