第1章 漏洞的基本知识 1
1.1漏洞概述 1
1.1.1漏洞的定义 1
1.1.2漏洞的成因 2
1.2漏洞的特征与危害 2
1.2.1漏洞的特征 2
1.2.2漏洞的危害 3
1.3漏洞的分类方式 4
1.3.1漏洞的作用方式 4
1.3.2漏洞的普遍性 5
1.4常见的漏洞类型 5
1.4.1操作系统漏洞 5
1.4.2数据库漏洞 6
1.4.3网络设备漏洞 7
1.4.4 Web漏洞 7
1.4.5弱口令 8
1.5漏洞的发展现状和趋势 9
1.5.1漏洞安全事件 9
1.5.2漏洞的发展现状 10
1.5.3漏洞的发展趋势 13
1.6漏洞外延应用 14
1.6.1安全服务 14
1.6.2补天漏洞响应平台 14
思考题 15
第2章 安全漏洞扫描系统 16
2.1漏洞扫描概述 16
2.1.1漏洞扫描的定义 16
2.1.2漏洞扫描的原理 16
2.1.3漏洞扫描器 17
2.2漏洞扫描的关键技术 18
2.3漏洞扫描的策略及流程 20
2.3.1漏洞扫描的策略 20
2.3.2漏洞扫描的流程 23
2.4漏洞扫描系统功能 27
2.4.1漏洞扫描系统的背景 27
2.4.2漏洞扫描系统的应用场景 29
2.4.3漏洞扫描系统的部署方案 29
2.5安全基线概述 30
2.5.1安全基线的概念 30
2.5.2安全基线的检测 31
思考题 32
第3章 网络设备漏洞及其防范措施 33
3.1网络设备常见漏洞 33
3.1.1交换机漏洞 34
3.1.2路由器漏洞 36
3.1.3防火墙漏洞 36
3.2网络设备漏洞扫描 37
3.2.1扫描器的重要性 37
3.2.2常见的漏洞扫描器类型 37
3.2.3商业扫描器的特点 38
3.2.4常见的扫描技术 39
3.3网络设备漏洞防护 43
3.3.1硬件本身的防护措施 43
3.3.2技术角度的防护措施 46
3.3.3管理角度的防护措施 47
思考题 48
第4章 操作系统漏洞及其防范措施 49
4.1操作系统的基本概念 49
4.2操作系统的常见漏洞 49
4.2.1 Windows系统的常见漏洞 49
4.2.2其他常见的操作系统漏洞 51
4.3操作系统漏洞的发展趋势 54
4.4操作系统安全扫描 57
4.5操作系统的漏洞防护 60
4.5.1 Windows系统的漏洞防护 60
4.5.2其他常见系统的漏洞防护 62
思考题 65
第5章 数据库系统漏洞及其防范措施 66
5.1数据库常见漏洞 66
5.1.1数据库漏洞类型 66
5.1.2数据库漏洞的发展趋势 68
5.2数据库漏洞扫描 71
5.2.1数据库漏洞的成因 71
5.2.2数据库漏洞扫描任务 72
5.2.3数据库漏洞扫描的技术路线 73
5.2.4数据库漏洞扫描的核心技术 74
5.3数据库漏洞防护 74
5.3.1数据库漏洞的处理 74
5.3.2数据库安全防护体系 75
思考题 76
第6章 Web系统漏洞及其防范措施 77
6.1HTTP基础知识 77
6.1.1 HTTP基本概念 77
6.1.2 HTTP响应 78
6.1.3 HTTP头信息 78
6.2 Web安全漏洞的发展概况 80
6.3常见的Web安全漏洞 80
6.4 Web漏洞扫描 82
6.4.1 Web漏洞扫描方式 82
6.4.2常见的Web漏洞扫描方法 83
6.5 Web漏洞处理 86
6.6 Web漏洞的发展趋势 88
6.7 Web指纹识别技术 89
6.8 Web认证安全 92
6.8.1限制访问 92
6.8.2认证的种类 93
6.8.3密码认证的设计 93
6.8.4封锁账户 94
6.8.5保护密码 94
6.8.6给用户显示错误信息的技巧 94
6.8.7认证时记录日志的技巧 95
6.8.8邮件认证 95
6.8.9手机号认证 95
6.9 Web会话管理 96
6.9.1生成Session的方法 97
6.9.2传输Session 97
6.9.3 HTTPS保护 97
6.9.4何时生成SessionID 97
6.9.5 CSRF对策 98
6.9.6直接访问的防范与对策 98
6.10 Web安全增强技术 99
思考题 100
第7章 用户名及口令猜解 101
7.1常见用户名和弱口令概述 101
7.1.1常见用户名和弱口令的概念 101
7.1.2弱口令的危害 102
7.2常见的弱口令类型 102
7.3弱口令安全防护 104
7.3.1口令字典 104
7.3.2弱口令猜解 105
思考题 108
第8章 软件配置检查 109
8.1配置检查 109
8.1.1配置不当的危害 109
8.1.2配置核查至关重要 110
8.1.3安全基线及配置核查的技术与方法 111
8.2安全配置标准 112
8.2.1中华人民共和国工业和信息化部的基线配置核查标准 112
8.2.2中国移动配置核查标准 114
8.2.3公安部的配置核查标准 116
8.2.4中国电信安全配置核查标准 116
思考题 118
第9章 典型案例 119
9.1互联网企业漏洞扫描解决方案 119
9.1.1应用背景 119
9.1.2企业需求 120
9.1.3解决方案 120
9.1.4用户价值 121
思考题 123
英文缩略语 124
参考文献 127