基本信息
- 作者: [美] 亚伦·古兹曼(Aaron Guzman), 阿迪蒂亚·古普塔(Aditya Gupta)
- 丛书名: 网络空间安全技术丛书
- 出版社:机械工业出版社
- ISBN:9787111625070
- 上架时间:2019-5-20
- 出版日期:2019 年5月
- 开本:16开
- 页码:320
- 版次:1-1
- 所属分类:计算机 > 电子商务与计算机文化 > 综合
编辑推荐
从渗透测试的视角全方位阐释物联网设备安全实践
涵盖物联网渗透测试的各种常用技术、工具和实践
内容简介
作译者
关于我们
客户服务
友情链接
客户服务
友情链接
目录
译者序
前言
致谢
作者简介
审稿者简介
第1章 IoT渗透测试1
1.1 简介1
1.2 定义IoT生态系统与渗透测试生命周期2
1.3 固件入门4
1.3.1 固件深度分析4
1.3.2 固件的开发供应链5
1.4 IoT中的Web应用6
1.5 IoT中的移动应用9
1.5.1 混合应用9
1.5.2 原生应用10
1.6 硬件设备基础11
1.7 IoT无线通信简介13
1.7.1 Wi-Fi13
1.7.2 ZigBee14
1.7.3 Z-Wave14
前言
致谢
作者简介
审稿者简介
第1章 IoT渗透测试1
1.1 简介1
1.2 定义IoT生态系统与渗透测试生命周期2
1.3 固件入门4
1.3.1 固件深度分析4
1.3.2 固件的开发供应链5
1.4 IoT中的Web应用6
1.5 IoT中的移动应用9
1.5.1 混合应用9
1.5.2 原生应用10
1.6 硬件设备基础11
1.7 IoT无线通信简介13
1.7.1 Wi-Fi13
1.7.2 ZigBee14
1.7.3 Z-Wave14
前言
IoT(物联网)主要指通过某种方式连接到网络的嵌入式设备。有些IoT设备通过为嵌入式设备添加联网模块改造而来,还有些IoT设备则是专门为特定需求开发的新型设备。无论是哪种形式,这些设备都可能给企业、国家与个人带来安全隐患。无论读者是刚入门渗透测试的新手还是渗透测试的老手,本书都能够帮助安全从业人员加深对IoT生态系统的全面了解,进而开展安全防护。
主要内容
第1章主要介绍IoT的基本概念以及开展IoT渗透测试的基础知识。
第2章主要深入介绍威胁建模,以及如何对IoT设备的生态系统开展威胁建模。
第3章主要研究如何对IoT设备固件进行逆向分析,以及如何针对常见的漏洞开展漏洞利用。
第4章介绍不同类型的嵌入式Web应用,以及如何挖掘可利用的漏洞进而获取IoT设备的控制权。
第5章介绍如何针对IoT移动应用进行逆向分析以及常见漏洞挖掘的基本原理,进而获取未授权功能模块的访问权限。
第6章介绍基本的硬件攻击技术,以及如何入侵IoT设备的组件。
第7章介绍基于软件定义的无线电概念,以及IoT设备中常见无线协议的漏洞挖掘与利用工具。
第8章主要介绍嵌入式开发人员如何将安全控制措施融入IoT设备固件当中,使其避免出现常见漏洞。
第9章主要介绍移动应用如何采用主动防御措施来确保IoT应用的安全。
第10章深入介绍改进硬件安全性的最佳实践,以提高逆向分析的难度。
第11章介绍如何开展漏洞利用,以及如何将一组漏洞结合起来进而获得对IoT设备的控制权限。此外,该章还演示了如何在持续集成环境中实现针对应用的自动化安全扫描。
应用工具
本书用到的软件包括:
Microsoft Threat Modeling Tool 2016
Binwalk、Firmadyne、Firmwalker、Angr(可选)、firmware-mod-toolkit、Firmware Analysis Toolkit、GDB、Radare2(可选)、Binary Analysis Tool(BAT)、Qemu、IDA Pro(可选)
Burp Suite、OWASP ZAP
Mobile Security Framework(MobSF)、Idb、SQLite Browser 3.10.1、Cydia、open-URL、dumpdecrypted、ipainstaller、SSL Kill Switch 2、Clutch2、Cycript、JD-GUI、Hopper
RTL-SDR
主要内容
第1章主要介绍IoT的基本概念以及开展IoT渗透测试的基础知识。
第2章主要深入介绍威胁建模,以及如何对IoT设备的生态系统开展威胁建模。
第3章主要研究如何对IoT设备固件进行逆向分析,以及如何针对常见的漏洞开展漏洞利用。
第4章介绍不同类型的嵌入式Web应用,以及如何挖掘可利用的漏洞进而获取IoT设备的控制权。
第5章介绍如何针对IoT移动应用进行逆向分析以及常见漏洞挖掘的基本原理,进而获取未授权功能模块的访问权限。
第6章介绍基本的硬件攻击技术,以及如何入侵IoT设备的组件。
第7章介绍基于软件定义的无线电概念,以及IoT设备中常见无线协议的漏洞挖掘与利用工具。
第8章主要介绍嵌入式开发人员如何将安全控制措施融入IoT设备固件当中,使其避免出现常见漏洞。
第9章主要介绍移动应用如何采用主动防御措施来确保IoT应用的安全。
第10章深入介绍改进硬件安全性的最佳实践,以提高逆向分析的难度。
第11章介绍如何开展漏洞利用,以及如何将一组漏洞结合起来进而获得对IoT设备的控制权限。此外,该章还演示了如何在持续集成环境中实现针对应用的自动化安全扫描。
应用工具
本书用到的软件包括:
Microsoft Threat Modeling Tool 2016
Binwalk、Firmadyne、Firmwalker、Angr(可选)、firmware-mod-toolkit、Firmware Analysis Toolkit、GDB、Radare2(可选)、Binary Analysis Tool(BAT)、Qemu、IDA Pro(可选)
Burp Suite、OWASP ZAP
Mobile Security Framework(MobSF)、Idb、SQLite Browser 3.10.1、Cydia、open-URL、dumpdecrypted、ipainstaller、SSL Kill Switch 2、Clutch2、Cycript、JD-GUI、Hopper
RTL-SDR
媒体评论
今天,IoT已经成为信息产业的主要发展方向,市场上出现了大量IoT设备,但是人们对如何保障这些IoT设备的安全知之甚少。对于从事网络安全研究或技术工作以及从事渗透测试工作的读者,本书将帮助你了解如何对IoT设备开展渗透测试并进行安全加固。
本书依据针对IoT设备开展渗透测试的各个攻击面,为读者提供保护IoT中的智能设备的实践经验。本书首先介绍如何分析IoT设备架构并挖掘设备漏洞,然后聚焦于开展IoT设备渗透测试所需要的各种技术,帮助读者了解如何开展IoT设备漏洞利用,以及如何挖掘IoT设备固件漏洞。在此基础上,讲解如何保障IoT设备的安全。本书还以ZigBee和Z-Wave等协议为例,介绍基于软件定义和无线电的IoT渗透测试方法等高级硬件渗透测试技术。最后,本书介绍了如何采用新型以及较为特殊的渗透技术针对不同的IoT设备(包括连接至云上的智能设备)开展渗透测试。
本书主要内容:
部署IoT渗透测试环境
各种威胁建模概念
对固件漏洞开展分析与漏洞利用
基于MobSF对iOS与Android平台下应用的二进制文件开展自动化分析
部署Burp Suite工具并开展Web应用测试
识别UART和JTAG接口的引脚定义、焊头以及硬件调试接口
针对常用无线协议的测试方案
移动应用安全和固件安全的实践
掌握各种高级IoT漏洞利用技术与自动化安全测试技术
本书依据针对IoT设备开展渗透测试的各个攻击面,为读者提供保护IoT中的智能设备的实践经验。本书首先介绍如何分析IoT设备架构并挖掘设备漏洞,然后聚焦于开展IoT设备渗透测试所需要的各种技术,帮助读者了解如何开展IoT设备漏洞利用,以及如何挖掘IoT设备固件漏洞。在此基础上,讲解如何保障IoT设备的安全。本书还以ZigBee和Z-Wave等协议为例,介绍基于软件定义和无线电的IoT渗透测试方法等高级硬件渗透测试技术。最后,本书介绍了如何采用新型以及较为特殊的渗透技术针对不同的IoT设备(包括连接至云上的智能设备)开展渗透测试。
本书主要内容:
部署IoT渗透测试环境
各种威胁建模概念
对固件漏洞开展分析与漏洞利用
基于MobSF对iOS与Android平台下应用的二进制文件开展自动化分析
部署Burp Suite工具并开展Web应用测试
识别UART和JTAG接口的引脚定义、焊头以及硬件调试接口
针对常用无线协议的测试方案
移动应用安全和固件安全的实践
掌握各种高级IoT漏洞利用技术与自动化安全测试技术
