入侵的艺术pdf高清扫描版
分享到:
入侵的艺术由曾经的一位著名黑客EVIN.D.MITNICK先生编著,是一本帮助人们来怎么应对黑客的恶意攻击的免费电子书籍。随着计算机技术的发展,各种各样的病毒多起来了,病毒都是黑客所为,他们为了赚钱,做了很多违法的事,比如利用恶意软件,勒索用户。对于黑客的行为我们是非常唾弃的。接下来小编就给大家介绍一下这本书。入侵的艺术讲述四个志同道合的伙伴使用口袋大小的计算机在拉斯维加大把挣钱。一个无聊的加拿大小伙子居然能够非法访问南部的一家银行。几个年轻人被拉登的恐怖分子征召去攻击Lockheed.Maritn公司和防御信息系统网络。所以这些故事都是真实的!如果读者是自己所在单位的安全负责人,入侵的艺术中的故事完全可能在您管辖的领域内发生。害怕国家安全官员深夜造访吗?那就认真阅读本书并在自己管辖的范围内加以防范吧!而对在真实生活中斗智斗勇的故事感兴趣的读者,可以对入侵的艺术进行更深入的阅读。在网络攻击与利用方面的传奇生涯使得Kevin.Mitnick成为了真正的黑客英雄人物,这也是他能够获得其他黑客们真实故事的原因。在每一个故事的后面,Mitnick对其进行了专业的分析——攻击行为其实是可以防范的。而他确实是有资格推荐安全措施的不二人选。无论是在黑客社会的传奇经历中,还是在与电脑犯罪的斗争中,Kevin.Mitnick都牢牢地掌握着关键武器——对黑客才气与顽强精神的深入了解。小编希望分享的这本书能给大家带来帮助,感兴趣的宝宝们欢迎来3322软件免费下载阅读。
ISBN:9787302142720
版次:1
商品编码:10079012
包装:平装
丛书名: 安全技术经典译丛
开本:16开
出版时间:2007-01-01
用纸:胶版纸
页数:290
★早已金盆洗手的著名黑客KEVIN D. MITNICK将其一生积累下来的丰富技能汇集成书,使大家免受黑客攻击!
★入侵案例加对策,在每一个故事的后面,Mitnick都进行了专业的分析--攻击行为其实是可以防范的!
凯文·米特尼克(Kevin.D.Mitnick)作为一名前黑客和安全技术人员,在信息安全的世界里,他免费乘车、盗打电话、未经授权进入世界上最大的几家公司的计算机系统,并成功渗透一些防范最好的计算机系统的传奇黑客生涯是无人比拟的。他本身的经历就非常让人着迷、好奇和揣测,现在他将所采访的多个信息安全入侵者的入侵故事记录下来,与读者分享。书中涉及的人物从学校的学生、监狱的囚犯、公司的安全官员到政府的执法人员,涉及的故事包括入侵公司、政府、组织等,事实上,入侵的艺术中多个故事的主人公正是以作者为榜样来效尤的。读者阅读本书时,总可以与自己所处的环境结合起来,原来我们自己所使用的计算机系统和物理安全措施就存在不少的安全漏洞。
作者的前一部著作The.Art.of.Deception(《欺骗的艺术》)已经成为了一本畅销书,The.Art.of.Deception中所阐述的某些技术手段和社会工程学知识已经成了公司、政府以及国防信息安全等领域研究的热点,大学教授们经常引用入侵的艺术中的案例来充实书面上的理论。本书作为The Art of Deception的姊妹篇,所阐述的则是其他人的故事,我想,也只有作者这样的前黑客高手才可能采访到那些入侵者,让他们说出埋藏在心底多年的隐秘故事吧。
翻译入侵的艺术时,我们时常感叹大千世界,无奇不有,这些黑客们所利用的技术、耐心和对社会工程学的娴熟理解常常让我们叹为观止,拍案叫绝。
入侵的艺术中的故事和入侵过程引人入胜,匪夷所思。但是为了防止有人模仿,作者在有些技术的细节上有意对原来的过程进行了篡改,但这并不影响我们对本书所阐述的精髓的理解。
找一个舒适的地方,泡一杯龙井,慢慢品尝它吧!
——TomParker,GlobalInterSecLLC的创始人
很难理解这些违法行为会如此聪明,如此天衣无缝。试想一下吧,如果这些天才们运用他们拥有的技巧为社会做点好事,这将会是多么了不起的成就啊!无论是为了娱乐还是教育,我都推荐这本书。
——About.com
数据安全问题发生的源头往往是人们的无知。Mitnick让我们发现了“它们”的完美伎俩,并告知我们应该如何防范。
——StephenManes,《财富》杂志
1.1 研究
1.2 黑客技术日趋成熟
1.3 重写代码
1.4 重回赌场—— 进入实战
1.5 新方法
1.6 新一轮的攻击
1.7 被捕落网
1.8 结局
1.9 启示
1.10 对策
1.11 小结
第2章 当恐怖分子来袭时
2.1 恐怖主义者投下诱饵
2.2 今晚的猎物:SIPRNET
2.3 担心的时刻来了
2.4 Comrade被捕
2.5 调查Khalid
2.5.1 恐怖组织 Harkatul-Mujahideen
2.5.2 9·11以后
2.5.3 入侵白宫
2.5.4 结局
2.5.5 五年以后
2.5.6 到底有多刺激
2.6 启示
2.7 对策
2.8 小结
第3章 来自德克萨斯监狱的入侵
3.1 监狱里:认识了计算机
3.2 不一样的联邦监狱
3.3 William获取“城堡”钥匙
3.4 安全上网
3.5 解决方法
3.6 险些被抓
3.7 千钧一发
3.8 成长历程
3.9 重返自由世界
3.10 启示
3.11 对策
3.12 小结
第4章 警方与入侵黑客的较量
4.1 入侵电话系统
4.2 入侵法院计算机系统
4.3 旅馆来客
4.4 大门开启
4.5 守卫
4.6 处于监视之中
4.7 包围
4.8 过去
4.9 登上新闻
4.10 被捕
4.11 好运不再
4.12 入侵监禁所电话系统
4.13 打发时光
4.14 他们现在的工作情况
4.15 启示
4.16 对策
4.17 小结
第5章 黑客中的绿林好汉
5.1 援救
5.2 个人历史回顾
5.3 午夜会面
5.4 入侵MCI Worldcom(美国电信巨头)
5.5 在微软公司内部
5.6 英雄,但非圣人:攻击《纽约时报》
5.7 Adrian的过人之处
5.8 唾手可得的信息
5.9 这些日子
5.10 启示
5.11 对策
5.12 小结
第6章 渗透测试中的智慧与愚昧
6.1 寒冬
6.1.1 初次会晤
6.1.2 基本规则
6.1.3 攻击
6.1.4 灯火管制
6.1.5 语音信箱泄漏
6.1.6 最终结果
6.2 惊险游戏
6.2.1 结合的规则
6.2.2 计划
6.2.3 攻击
6.2.4 工作中的IOphtCrack
6.2.5 访问
6.2.6 报警
6.2.7 幽灵
6.2.8 未遭受挑战
6.2.9 暖手游戏
6.2.10 测试结束
6.3 回顾
6.4 启示
6.5 对策
6.6 小结
第7章 银行是否绝对可靠
7.1 遥远的爱沙尼亚
7.1.1 Perogie银行
7.1.2 个人观点
7.2 远距离的银行黑客
7.2.1 黑客是学出来的,不是天生的
7.2.2 入侵银行
7.2.3 你对瑞士银行账户感兴趣吗
7.2.4 结局
7.3 启示
7.4 对策
7.5 小结
第8章 知识产权并不安全
8.1 长达两年的黑客攻击
8.1.1 一颗探险之星
8.1.2 CEO的计算机
8.1.3 入侵CEO的计算机
8.1.4 CEO发现了黑客入侵
8.1.5 获取应用程序的访问权
8.1.6 被逮
8.1.7 返回敌方领地
8.1.8 此地不再留
8.2 Robert,垃圾邮件发送者之友
8.2.1 获取邮件列表
8.2.2 色情作品盈大利
8.2.3 Robert是条汉子
8.2.4 软件的诱惑
8.2.5 发现服务器名称
8.2.6 Helpdesk.exe的小帮助
8.2.7 黑客的锦囊妙计:“SQL注入”攻击
8.2.8 备份数据的危险
8.2.9 口令观测
8.2.10 获取完整访问权限
8.2.11 把代码发回家
8.3 共享:一个破解者的世界
8.4 启示
8.5 对策
8.5.1 公司防火墙
8.5.2 个人防火墙
8.5.3 端口扫描
8.5.4 了解你的系统
8.5.5 事故应变和警告
8.5.6 检查应用程序中经过授权了的改动
8.5.7 许可
8.5.8 口令
8.5.9 第三方软件
8.5.10 保护共享空间
8.5.11 避免DNS猜测
8.5.12 保护Microsoft SQL 服务器
8.5.13 保护敏感文件
8.5.14 保护备份
8.5.15 保护MS 免遭SQL 注入攻击
8.5.16 利用Microsoft服务
8.5.17 移除安装文件
8.5.18 重命名管理员账户
8.5.19 让Windows更健壮—— 避免存储某些资格
8.5.20 深度防御
8.6 小结
第9章 人在大陆
9.1 伦敦的某个地方
9.1.1 潜入
9.1.2 映射网络
9.1.3 确定一个路由器
9.1.4 第二天
9.1.5 查看3COM设备的配置
9.1.6 第三天
9.1.7 关于“黑客直觉”的一些想法
9.1.8 第四天
9.1.9 访问公司的系统
9.1.10 达到目标
9.2 启示
9.3 对策
9.3.1 临时解决方案
9.3.2 使用高端口
9.3.3 口令
9.3.4 确保个人膝上计算机的安全
9.3.5 认证
9.3.6 过滤不必要的服务
9.3.7 加强措施
9.4 小结
第10章 社交工程师的攻击手段以及防御其攻击的措施
10.1 社交工程典型案例
10.2 启示
10.2.1 角色的陷阱
10.2.2 信任度
10.2.3 迫使攻击目标进入角色(反转角色)
10.2.4 偏离系统式思维
10.2.5 顺从冲动
10.2.6 乐于助人
10.2.7 归因
10.2.8 喜好
10.2.9 恐惧
10.2.10 抗拒
10.3 对策
10.3.1 培训指导方针
10.3.2 如何对付社交工程师
10.3.3 值得注意:家里的操纵者—— 孩子
10.4 小结
第11章 小故事
11.1 消失了的薪水支票
11.2 欢迎来到好莱坞,天才小子
11.3 入侵软饮料售货机
11.4 沙漠风暴中陷于瘫痪的伊拉克陆军
11.5 价值十多亿美元的购物券
11.6 德克萨斯扑克游戏
11.7 追捕恋童癖的少年
11.8 你甚至不必当一名黑客
在所有作业显著的安全控制办法中,能有效地发现和防止内部人员作梗的办法有这些:·经管责任:现行的引发诸多问题的经管责任方案有两种:一种是所谓的账户身份——多个用户共同使用一个账户;另一种是共享账户或口令信息,以便员工不在办公室或无法取得联系时可以登录。但当出现严重失误时,这两种方法都容易造成员工以各自的理由推卸责任的局面。很简单,如果不能完全禁止共享账户信息的话,至少也不应鼓励这样做。这包括员工使用的工作站,即使是要求提供注册信息的工作站。 ·多目标环境:在大多数公司里,能设法进入放置设备的工作区域的 入侵者,也能轻易找到途径进入系统。很少有员工在离开工作岗位时会锁 住计算机或使用屏幕保护程序或者启动口令。对于心怀不轨者来说,在未 受保护的工作站上安装秘密监控程序软件只需要几秒钟。在银行,出纳员离开时总会锁上存放现金的抽屉。不幸的是,我们几乎没有看到这一方法被其他机构采用。可以考虑执行这样一种策略:使用屏幕保护口令或其他程序锁住计算机。并确保IT部门通过结构管理执行这一策略。口令管理:我的女朋友最近被一家在《财富》杂志排名前50的公司聘用,这个公司采用可预测模式为进入公司内部互联网的用户设置口令:用户名后随机带上3个阿拉伯数字。雇员被聘上时口令也就已经设定好了, 并不能由雇员自己更改。这样对于任何一位雇员来说,写一份简单的脚本 ,通过它用不了1000次,就能套到到口令——几秒钟而已。雇员的口令,不管是由公司设定还是由雇员自己选择,决不能采用能被轻易预测的模式 。 ·物理访问:熟悉公司网络的聪明雇员,趁旁边没人时,能充分利用自己的地理位置,攻击系统。我曾经是加利福尼亚GTE(一家电信公司)的雇员。能进入他们的办公楼就如同获得了这个王国的钥匙——所有的信息都尽收眼底。任何人都能进入雇员小隔间或办公室里的工作站,并能访问敏感的系统。如果雇员通过使用安全BIOS(基本输出系统)口令并注销,或锁定计算机,来保护自己的桌面、工作站、编写器和个人数字助理装置,内部不法人员就需要花相当多的时间才能达到己的目的。训练雇员能轻松应付身份不明的人,特别是在机密的区域。使用安全控制设备,如摄像机和/或徽章读取系统以控制入口,以及监视内部的运作。要考虑定期检查出入口登记,以确认是否有诡异的行为存在,特别是在安全事故发生时。“报废”工作间和其他入口点:当雇员离开公司或被调任到其他部门时,其工作间就空在那里,心怀不轨的内部人员就通过工作间空置的网络插孔连接上网,同时掩盖了自己的真实身份。更糟糕的是,工作站通常位于隔间的后面,与网络相联,供所有人使用,包括心怀不轨的内部人员。除此之外还有发现了搁置工作间的非授权人员。其他的访问点如会议室,也经常为蓄意搞破坏的内部人员打开方便之门。因此要注意将已经停用的网络插孔关闭,以防止匿名或未授权的人员利用。并确保闲置工作间里的任何计算机都处于安全状态下,以防止未授权人员钻了空子。·监督职员:应该将所有被通知解雇的员工视为潜在的危险。对这样的员工访问机密信息都应该给予监视,特别是复制或下载大量资料时。现在的一个u盘能容纳上千兆字节,用它只需要花几分钟就可以存下大量的机密资料,并带着它走出大门。在通知解雇员工降职或不如愿的调离前,对他们访问权限设限,这应该作为一项常用的策略。同样,要考虑监视雇员的计算机使用,以检查他们是否有未授权的访问或潜在的不利行动。安装未授权硬件:心怀不轨的内部人员能轻易进入其他雇员的工作隔间,安装硬件或击键记录程序以捕获口令和其他机密信息。同样,U盘也能帮助轻易盗取资料。应对的安全措施就是:禁止安装任何未经书面认可的硬件设备。但这种方法实施起来也有问题,品行端正的员工会对此感到不方便,而心怀不轨者则根本无视这一规定。在某些处理特别机密信息的组织内,在工作站上转移或关闭USB接口是一个必要的控制方法。全范围的检查必须定期进行。检查必须要确保这些事情:计算机里没有未授权的无线设备,硬件击键记录程序或附加的调制调解器;没有安装未受权的软件。安全和IT人员可以通过使用一个支持802.11的PDA,甚至可以通过安装了MicrosoftWindowsXP和无线网卡的膝上型电脑,来检查邻近区域的未受权的无线接入点(accesspoint)。WindowsXP有一个零设置的实用程序,当它检测到邻近区域有一个无线接入点时,就会弹出一个对话框。阻挠信息窃取:当职员在进入公司并逐渐了解内部关键的业务流程后,他们处在了一个有利的位置上,通过“制约与平衡”原则发现公司的弱点,然后进行欺诈与偷窃。不诚实的工人有可能偷窃或对公司造成其他严重的伤害,因为他们很清楚公司的运作。内部人员可以自由出入办公室,接触文件柜和内部邮件系统,了解日常事务流程。因此要通过分析机密和关键业务流程,找出自己的薄弱环节,以此来制定措施。在某些情况下,建立工作中的职权分离机制。某个人完成的机密操作要被另一个人单独检测,这样能够减少安全风险。现场访问政策:建立一个外来访问者安全确认方案,确认象包括其他办室地点的人员。一个有效的安全措施是,要求访问者进入安全区域前,出示州级以上身份证明,然后在安全记录本上记录这些来访信息。一旦安全事件发生,就可以帮助确认始作俑者。
……
入侵的艺术禁用于商业用途!如果您喜欢《入侵的艺术》,请购买正版,谢谢合作。
爱学习,请到3322软件站查找资源自行下载!
1、下载并解压,得出pdf文件
2、如果打不开本文件,请务必在3322软件站选择一款阅读器下载
3、安装后,在打开解压得出的pdf文件
4、双击进行阅读
方法二:
1、在手机里下载3322软件站中的阅读器和百度网盘
2、直接将pdf传输到百度网盘
3、用阅读器打开即可阅读
入侵的艺术简介:
出版社: 清华大学出版社ISBN:9787302142720
版次:1
商品编码:10079012
包装:平装
丛书名: 安全技术经典译丛
开本:16开
出版时间:2007-01-01
用纸:胶版纸
页数:290
入侵的艺术作者简介:
EVIN.D.MITNICK是一位著名的黑客,不过他早已金盆洗手,不再做这一行了。如今,他将他一生积累下来的丰富技能奉献给了企业、组织单位以及政府部门,帮助他们学会保护自身,不被这本书以及他的前一本畅销书《欺骗的艺术》中所描述的种种攻击行为所危害。KEVIN.D.MITNICK是“防御思维”(defensivethinking.com)的创始人之一。“防御思维”是一家信息安全咨询公司,致力于帮助企业,甚至政府部门保护其至关重要的信息。他曾受邀在《早安,美国》、《60分钟》、以及CNN的《举证责任》多个节目中出席,并在防范安全攻击以及网络犯罪方面确立了其领导地位。入侵的艺术编辑推荐:
★挖掘黑客背后的真实故事。★早已金盆洗手的著名黑客KEVIN D. MITNICK将其一生积累下来的丰富技能汇集成书,使大家免受黑客攻击!
★入侵案例加对策,在每一个故事的后面,Mitnick都进行了专业的分析--攻击行为其实是可以防范的!
凯文·米特尼克(Kevin.D.Mitnick)作为一名前黑客和安全技术人员,在信息安全的世界里,他免费乘车、盗打电话、未经授权进入世界上最大的几家公司的计算机系统,并成功渗透一些防范最好的计算机系统的传奇黑客生涯是无人比拟的。他本身的经历就非常让人着迷、好奇和揣测,现在他将所采访的多个信息安全入侵者的入侵故事记录下来,与读者分享。书中涉及的人物从学校的学生、监狱的囚犯、公司的安全官员到政府的执法人员,涉及的故事包括入侵公司、政府、组织等,事实上,入侵的艺术中多个故事的主人公正是以作者为榜样来效尤的。读者阅读本书时,总可以与自己所处的环境结合起来,原来我们自己所使用的计算机系统和物理安全措施就存在不少的安全漏洞。
作者的前一部著作The.Art.of.Deception(《欺骗的艺术》)已经成为了一本畅销书,The.Art.of.Deception中所阐述的某些技术手段和社会工程学知识已经成了公司、政府以及国防信息安全等领域研究的热点,大学教授们经常引用入侵的艺术中的案例来充实书面上的理论。本书作为The Art of Deception的姊妹篇,所阐述的则是其他人的故事,我想,也只有作者这样的前黑客高手才可能采访到那些入侵者,让他们说出埋藏在心底多年的隐秘故事吧。
翻译入侵的艺术时,我们时常感叹大千世界,无奇不有,这些黑客们所利用的技术、耐心和对社会工程学的娴熟理解常常让我们叹为观止,拍案叫绝。
入侵的艺术中的故事和入侵过程引人入胜,匪夷所思。但是为了防止有人模仿,作者在有些技术的细节上有意对原来的过程进行了篡改,但这并不影响我们对本书所阐述的精髓的理解。
找一个舒适的地方,泡一杯龙井,慢慢品尝它吧!
入侵的艺术精彩书评:
坐在自己舒适的座位上,零距离接触计算机犯罪。Mitnick所书写的内容中,每一章都是与黑客面谈他们真实攻击故事之后编写的。这是一本对计算机安全感兴趣的人必读的书籍。——TomParker,GlobalInterSecLLC的创始人
很难理解这些违法行为会如此聪明,如此天衣无缝。试想一下吧,如果这些天才们运用他们拥有的技巧为社会做点好事,这将会是多么了不起的成就啊!无论是为了娱乐还是教育,我都推荐这本书。
——About.com
数据安全问题发生的源头往往是人们的无知。Mitnick让我们发现了“它们”的完美伎俩,并告知我们应该如何防范。
——StephenManes,《财富》杂志
入侵的艺术目录:
第1章 赌场黑客轻取百万美金1.1 研究
1.2 黑客技术日趋成熟
1.3 重写代码
1.4 重回赌场—— 进入实战
1.5 新方法
1.6 新一轮的攻击
1.7 被捕落网
1.8 结局
1.9 启示
1.10 对策
1.11 小结
第2章 当恐怖分子来袭时
2.1 恐怖主义者投下诱饵
2.2 今晚的猎物:SIPRNET
2.3 担心的时刻来了
2.4 Comrade被捕
2.5 调查Khalid
2.5.1 恐怖组织 Harkatul-Mujahideen
2.5.2 9·11以后
2.5.3 入侵白宫
2.5.4 结局
2.5.5 五年以后
2.5.6 到底有多刺激
2.6 启示
2.7 对策
2.8 小结
第3章 来自德克萨斯监狱的入侵
3.1 监狱里:认识了计算机
3.2 不一样的联邦监狱
3.3 William获取“城堡”钥匙
3.4 安全上网
3.5 解决方法
3.6 险些被抓
3.7 千钧一发
3.8 成长历程
3.9 重返自由世界
3.10 启示
3.11 对策
3.12 小结
第4章 警方与入侵黑客的较量
4.1 入侵电话系统
4.2 入侵法院计算机系统
4.3 旅馆来客
4.4 大门开启
4.5 守卫
4.6 处于监视之中
4.7 包围
4.8 过去
4.9 登上新闻
4.10 被捕
4.11 好运不再
4.12 入侵监禁所电话系统
4.13 打发时光
4.14 他们现在的工作情况
4.15 启示
4.16 对策
4.17 小结
第5章 黑客中的绿林好汉
5.1 援救
5.2 个人历史回顾
5.3 午夜会面
5.4 入侵MCI Worldcom(美国电信巨头)
5.5 在微软公司内部
5.6 英雄,但非圣人:攻击《纽约时报》
5.7 Adrian的过人之处
5.8 唾手可得的信息
5.9 这些日子
5.10 启示
5.11 对策
5.12 小结
第6章 渗透测试中的智慧与愚昧
6.1 寒冬
6.1.1 初次会晤
6.1.2 基本规则
6.1.3 攻击
6.1.4 灯火管制
6.1.5 语音信箱泄漏
6.1.6 最终结果
6.2 惊险游戏
6.2.1 结合的规则
6.2.2 计划
6.2.3 攻击
6.2.4 工作中的IOphtCrack
6.2.5 访问
6.2.6 报警
6.2.7 幽灵
6.2.8 未遭受挑战
6.2.9 暖手游戏
6.2.10 测试结束
6.3 回顾
6.4 启示
6.5 对策
6.6 小结
第7章 银行是否绝对可靠
7.1 遥远的爱沙尼亚
7.1.1 Perogie银行
7.1.2 个人观点
7.2 远距离的银行黑客
7.2.1 黑客是学出来的,不是天生的
7.2.2 入侵银行
7.2.3 你对瑞士银行账户感兴趣吗
7.2.4 结局
7.3 启示
7.4 对策
7.5 小结
第8章 知识产权并不安全
8.1 长达两年的黑客攻击
8.1.1 一颗探险之星
8.1.2 CEO的计算机
8.1.3 入侵CEO的计算机
8.1.4 CEO发现了黑客入侵
8.1.5 获取应用程序的访问权
8.1.6 被逮
8.1.7 返回敌方领地
8.1.8 此地不再留
8.2 Robert,垃圾邮件发送者之友
8.2.1 获取邮件列表
8.2.2 色情作品盈大利
8.2.3 Robert是条汉子
8.2.4 软件的诱惑
8.2.5 发现服务器名称
8.2.6 Helpdesk.exe的小帮助
8.2.7 黑客的锦囊妙计:“SQL注入”攻击
8.2.8 备份数据的危险
8.2.9 口令观测
8.2.10 获取完整访问权限
8.2.11 把代码发回家
8.3 共享:一个破解者的世界
8.4 启示
8.5 对策
8.5.1 公司防火墙
8.5.2 个人防火墙
8.5.3 端口扫描
8.5.4 了解你的系统
8.5.5 事故应变和警告
8.5.6 检查应用程序中经过授权了的改动
8.5.7 许可
8.5.8 口令
8.5.9 第三方软件
8.5.10 保护共享空间
8.5.11 避免DNS猜测
8.5.12 保护Microsoft SQL 服务器
8.5.13 保护敏感文件
8.5.14 保护备份
8.5.15 保护MS 免遭SQL 注入攻击
8.5.16 利用Microsoft服务
8.5.17 移除安装文件
8.5.18 重命名管理员账户
8.5.19 让Windows更健壮—— 避免存储某些资格
8.5.20 深度防御
8.6 小结
第9章 人在大陆
9.1 伦敦的某个地方
9.1.1 潜入
9.1.2 映射网络
9.1.3 确定一个路由器
9.1.4 第二天
9.1.5 查看3COM设备的配置
9.1.6 第三天
9.1.7 关于“黑客直觉”的一些想法
9.1.8 第四天
9.1.9 访问公司的系统
9.1.10 达到目标
9.2 启示
9.3 对策
9.3.1 临时解决方案
9.3.2 使用高端口
9.3.3 口令
9.3.4 确保个人膝上计算机的安全
9.3.5 认证
9.3.6 过滤不必要的服务
9.3.7 加强措施
9.4 小结
第10章 社交工程师的攻击手段以及防御其攻击的措施
10.1 社交工程典型案例
10.2 启示
10.2.1 角色的陷阱
10.2.2 信任度
10.2.3 迫使攻击目标进入角色(反转角色)
10.2.4 偏离系统式思维
10.2.5 顺从冲动
10.2.6 乐于助人
10.2.7 归因
10.2.8 喜好
10.2.9 恐惧
10.2.10 抗拒
10.3 对策
10.3.1 培训指导方针
10.3.2 如何对付社交工程师
10.3.3 值得注意:家里的操纵者—— 孩子
10.4 小结
第11章 小故事
11.1 消失了的薪水支票
11.2 欢迎来到好莱坞,天才小子
11.3 入侵软饮料售货机
11.4 沙漠风暴中陷于瘫痪的伊拉克陆军
11.5 价值十多亿美元的购物券
11.6 德克萨斯扑克游戏
11.7 追捕恋童癖的少年
11.8 你甚至不必当一名黑客
入侵的艺术精彩文摘:
......在所有作业显著的安全控制办法中,能有效地发现和防止内部人员作梗的办法有这些:·经管责任:现行的引发诸多问题的经管责任方案有两种:一种是所谓的账户身份——多个用户共同使用一个账户;另一种是共享账户或口令信息,以便员工不在办公室或无法取得联系时可以登录。但当出现严重失误时,这两种方法都容易造成员工以各自的理由推卸责任的局面。很简单,如果不能完全禁止共享账户信息的话,至少也不应鼓励这样做。这包括员工使用的工作站,即使是要求提供注册信息的工作站。 ·多目标环境:在大多数公司里,能设法进入放置设备的工作区域的 入侵者,也能轻易找到途径进入系统。很少有员工在离开工作岗位时会锁 住计算机或使用屏幕保护程序或者启动口令。对于心怀不轨者来说,在未 受保护的工作站上安装秘密监控程序软件只需要几秒钟。在银行,出纳员离开时总会锁上存放现金的抽屉。不幸的是,我们几乎没有看到这一方法被其他机构采用。可以考虑执行这样一种策略:使用屏幕保护口令或其他程序锁住计算机。并确保IT部门通过结构管理执行这一策略。口令管理:我的女朋友最近被一家在《财富》杂志排名前50的公司聘用,这个公司采用可预测模式为进入公司内部互联网的用户设置口令:用户名后随机带上3个阿拉伯数字。雇员被聘上时口令也就已经设定好了, 并不能由雇员自己更改。这样对于任何一位雇员来说,写一份简单的脚本 ,通过它用不了1000次,就能套到到口令——几秒钟而已。雇员的口令,不管是由公司设定还是由雇员自己选择,决不能采用能被轻易预测的模式 。 ·物理访问:熟悉公司网络的聪明雇员,趁旁边没人时,能充分利用自己的地理位置,攻击系统。我曾经是加利福尼亚GTE(一家电信公司)的雇员。能进入他们的办公楼就如同获得了这个王国的钥匙——所有的信息都尽收眼底。任何人都能进入雇员小隔间或办公室里的工作站,并能访问敏感的系统。如果雇员通过使用安全BIOS(基本输出系统)口令并注销,或锁定计算机,来保护自己的桌面、工作站、编写器和个人数字助理装置,内部不法人员就需要花相当多的时间才能达到己的目的。训练雇员能轻松应付身份不明的人,特别是在机密的区域。使用安全控制设备,如摄像机和/或徽章读取系统以控制入口,以及监视内部的运作。要考虑定期检查出入口登记,以确认是否有诡异的行为存在,特别是在安全事故发生时。“报废”工作间和其他入口点:当雇员离开公司或被调任到其他部门时,其工作间就空在那里,心怀不轨的内部人员就通过工作间空置的网络插孔连接上网,同时掩盖了自己的真实身份。更糟糕的是,工作站通常位于隔间的后面,与网络相联,供所有人使用,包括心怀不轨的内部人员。除此之外还有发现了搁置工作间的非授权人员。其他的访问点如会议室,也经常为蓄意搞破坏的内部人员打开方便之门。因此要注意将已经停用的网络插孔关闭,以防止匿名或未授权的人员利用。并确保闲置工作间里的任何计算机都处于安全状态下,以防止未授权人员钻了空子。·监督职员:应该将所有被通知解雇的员工视为潜在的危险。对这样的员工访问机密信息都应该给予监视,特别是复制或下载大量资料时。现在的一个u盘能容纳上千兆字节,用它只需要花几分钟就可以存下大量的机密资料,并带着它走出大门。在通知解雇员工降职或不如愿的调离前,对他们访问权限设限,这应该作为一项常用的策略。同样,要考虑监视雇员的计算机使用,以检查他们是否有未授权的访问或潜在的不利行动。安装未授权硬件:心怀不轨的内部人员能轻易进入其他雇员的工作隔间,安装硬件或击键记录程序以捕获口令和其他机密信息。同样,U盘也能帮助轻易盗取资料。应对的安全措施就是:禁止安装任何未经书面认可的硬件设备。但这种方法实施起来也有问题,品行端正的员工会对此感到不方便,而心怀不轨者则根本无视这一规定。在某些处理特别机密信息的组织内,在工作站上转移或关闭USB接口是一个必要的控制方法。全范围的检查必须定期进行。检查必须要确保这些事情:计算机里没有未授权的无线设备,硬件击键记录程序或附加的调制调解器;没有安装未受权的软件。安全和IT人员可以通过使用一个支持802.11的PDA,甚至可以通过安装了MicrosoftWindowsXP和无线网卡的膝上型电脑,来检查邻近区域的未受权的无线接入点(accesspoint)。WindowsXP有一个零设置的实用程序,当它检测到邻近区域有一个无线接入点时,就会弹出一个对话框。阻挠信息窃取:当职员在进入公司并逐渐了解内部关键的业务流程后,他们处在了一个有利的位置上,通过“制约与平衡”原则发现公司的弱点,然后进行欺诈与偷窃。不诚实的工人有可能偷窃或对公司造成其他严重的伤害,因为他们很清楚公司的运作。内部人员可以自由出入办公室,接触文件柜和内部邮件系统,了解日常事务流程。因此要通过分析机密和关键业务流程,找出自己的薄弱环节,以此来制定措施。在某些情况下,建立工作中的职权分离机制。某个人完成的机密操作要被另一个人单独检测,这样能够减少安全风险。现场访问政策:建立一个外来访问者安全确认方案,确认象包括其他办室地点的人员。一个有效的安全措施是,要求访问者进入安全区域前,出示州级以上身份证明,然后在安全记录本上记录这些来访信息。一旦安全事件发生,就可以帮助确认始作俑者。
……
免责声明:
入侵的艺术来源于网络,仅用于分享知识,学习和交流!请下载完在24小时内删除。入侵的艺术禁用于商业用途!如果您喜欢《入侵的艺术》,请购买正版,谢谢合作。
爱学习,请到3322软件站查找资源自行下载!
使用说明:
方法一:1、下载并解压,得出pdf文件
2、如果打不开本文件,请务必在3322软件站选择一款阅读器下载
3、安装后,在打开解压得出的pdf文件
4、双击进行阅读
方法二:
1、在手机里下载3322软件站中的阅读器和百度网盘
2、直接将pdf传输到百度网盘
3、用阅读器打开即可阅读
展开更多
入侵的艺术pdf高清扫描版下载地址
- 需先下载高速下载器:
- 专用下载:
- 其它下载: