2024-06-12 21:1北
不久前,年收入 24 亿美元的安世半导体公司遭遇黑客攻击,黑客团伙“屎山”(Dunghill)宣称窃取了数百 GB 的敏感资料,并且索要巨额赎金,否则就威胁要将资料公之于众。泄露的数据涉及 SpaceX、苹果、华为等安世半导体重要客户的商业机密,还包括芯片设计文档和内部电子邮件、前高管护照等内容。安世半导体的产品遍及智能汽车、物联网、5G移动通信等领域,要是犯罪分子从窃取的数据中发现芯片的缺陷,从而发起更大规模的攻击,后果不堪设想。尽管安世半导体在事件发生后,迅速断开受影响系统与互联网的连接,并采取补救措施,但损失已经造成。那么在面对网络攻击的风险时,只能被动防御吗,还有更积极的办法吗?兵法有云,知彼知己,百战不殆。知道敌人会怎么进攻,才能做出正确的防守策略。渗透测试活动,就是一种主动的安全评估方法,可以找到系统的安全漏洞并加以修复。《深入浅出Kali Linux渗透测试》这本书基于 Kali Linux,讲明白了渗透测试之道,即使是网络小白也能看懂。我们先来了解一下 Kali Linux 这柄渗透测试的利剑。Kali Linux 的历史可以追溯到 1998 年,当时被称为 BackTrack,一个基于 Debian 的 Linux 发行版,专为渗透测试和安全审计而设计。2013年,BackTrack 与另一个安全发行版 Slackware 的渗透测试分支合并,形成了Kali Linux。Kali Linux 提供了一个高度定制化的环境,用户可以根据自己的需求安装和配置工具。作为一个滚动发行版,Kali Linux 提供了最新的软件和安全更新,确保用户始终拥有最新的工具和功能。Kali Linux 的核心优势在于它预装了数百个专业的安全测试工具,以下是一些重要的工具:1. Nmap:一个强大的网络扫描工具,用于发现网络上的设备,确定开放的端口和服务。
2. Metasploit Framework:一个渗透测试框架,提供了一个平台来开发、测试和执行漏洞利用代码。
3. Wireshark:一个网络协议分析工具,用于捕获和分析网络流量。
4. John the Ripper:一个著名的密码破解工具,支持多种加密算法。
5. Aircrack-ng:一个无线网络安全测试工具,用于评估 Wi-Fi 网络安全。
6. Sqlmap:一个自动化的 SQL 注入工具,用于检测和利用 SQL 注入漏洞。
7. Burp Suite:一个集成的平台,用于进行Web应用程序的安全测试。
8. OWASP ZAP:一个开源的 Web 应用程序安全扫描器,由 OWASP(开放式Web应用程序安全项目)开发。
9. Mimikatz:一个后渗透利用工具,用于从 Windows 操作系统中提取凭证信息。
10. Hashcat:一个密码恢复工具,支持多种散列类型和攻击模式。
看到了吧,这就是 Kali Linux 如此强大的原因。但目前一些教程只讲如何渗透,鲜有防守之法,有鉴于此,本书在讲了“矛”的用法之后,都会讲“盾”要如何用,提供了极大的价值。本书作者赵晓峰从事计算机与网络管理工作已有30多年,是一位网络安全领域的“老兵”。他是高级实验师,在网络安全渗透及防守方面有丰富的实践经验。现在我们跟随这位“老兵”,去学习网络安全的攻守之道吧。想构筑有效的防御体系,首先要充分了解网络攻击的各种手段,然后才可以做出针对性的防守。本书从内容上由浅入深可以分为三大部分,分别是基础知识与环境搭建、技术深入、高级方法。这部分先讲解网络安全渗透测试的基本概念、执行标准及术语。随后说明 Kali Linux 的两种安装方式:VMware 虚拟机安装和 U 盘安装。介绍了 Kali Linux 的常用命令、实用操作和配置方法。搭建模拟渗透测试环境是本书的特色内容,因为它是尽力在模拟实际网络环境。书中介绍了两种方式,一是在 VMware 中运行攻击机与靶机的常规方式,二是将 VMware 中攻击机与靶机嵌入 GNS3 模拟网络中运行。介绍在渗透测试情报收集阶段所要完成的任务,通过被动扫描技术、主动扫描技术实现渗透测试前期情报信息的收集与分析。这部分系统性地讲解了各种渗透攻击的手段,包括漏洞扫描、密码攻击、Web 渗透等。具体介绍了以下渗透知识:· 使用漏洞扫描工具(如Nmap NSE、GVM、OWASP ZAP)进行漏洞扫描。
· 密码攻击的方法和工具,以及防守者应对策略。
· 针对网络设备的渗透攻击,包括路由器、交换机等。
· 操作系统及服务软件的渗透攻击,特别是使用 Metasploit 框架实施漏洞攻击。
· Web 渗透攻击技术,如 SQL 注入、命令注入、文件包含等。
书中针对以上每种渗透技术都给出了一个真实案例,帮助读者理解并应用。这部分介绍了一些网络安全的高级主题,读者需要具备网络通信的底层知识与心理学知识。先是介绍了后渗透攻击技术,这是初次渗透成功后扩大战果的行为,包括权限提升、维持和内网跳板攻击。然后是嗅探与欺骗技术,介绍了基于 ARP 缺陷的攻击方法。再就是针对无线网络的渗透测试技术,重点讲解了无线网络密码破解方法。社会工程学是一种欺骗技术,本书以实例形式介绍了 Kali Linux 中 SET 工具的使用方法。最后讲解了如何使用 Kali Linux 中的辅助工具来编写渗透测试报告。学完以上三个部分,渗透测试技术将尽在掌握,读者在构建网络安全体系时就能胸有成竹,拒攻击于门外。网络攻防犹如没有硝烟的战场,一味地严防死守注定挨打,只有成为善攻者才能成为善守者。《深入浅出 Kali Linux 渗透测试》就帮助读者从攻者的角度来构建网络安全体系。· 攻守兼备:着重讲解了渗透技术,还针对每种攻击手段给出了防守应对策略。· 贴近实战:本书没有简单地在同网段环境下进行演示,而是先模拟出了跨网段的接近真实的网络环境,再讲解各种攻击方法,读者直接获得实战经验。· 案例丰富:作者精心挑选自己经历的多个真实案例,并与早期案例相对应,帮助读者加深对渗透技术的理解。· 循序渐进:作者在设计内容时,贴心地编排为由浅入深、由易到难、层层递进的结构,使得网络技术零基础小白也能轻松入门,并成长为渗透技术高手。
本书配套资源丰富,包括渗透测试工具包、思维导图、视频教程等,以多种手段方便读者消化所学。本书以其内容全面、理论扎实、技术深入,得到了中国科学技术大学计算机学院教授、博士生导师李京的高度评价。对于网络安全领域的专业人士、网络运维技术人员、企事业单位的网络管理人员,以及计算机相关专业的师生来说,这本书都值得阅读参考,是学习渗透测试技术的好帮手。看懂《深入浅出 Kali Linux 渗透测试》,悟透渗透技术,打造企业网络安全护城河!书籍(4本)
操作步骤:
1.转发:将本文分享至朋友圈。
2.参与抽奖:在公众号后台回复关键字安全绘景,参与抽奖。
3.领取奖品:获奖后,将朋友圈转发截图发送到公众号后台。
4.活动时间:6月16日20:00-6月19日20:00
还没有评论,来说两句吧...