信安入門神級書單 | Mark一下？

信安入門神級書單 | Mark一下？

來自專欄 網路安全通

一直沉迷於遊戲無法自拔？

想學習又找不到認真學習的理由？

學習信息安全，卻又苦於入門不得法？

也許

你需要這份神級書單帶領你走向人生巔峰

過去的幾周里

我們勤勤懇懇、任勞任怨、不分晝夜、風雨無阻......

為在座的各位吐血整理了這份信安入門神級書單

背後的辛苦

通通不說（你們也曉得）

著名的三毛女士曾經說過

「讀書讀多了容顏自然改變」

看完接下去通通推薦的這十本書

容貌改不改變我不知道

但是牛X的資本確實提高了不少呢

本期推薦書目

《社會工程：安全體系中的人性漏洞》

《Android應用安全防護和逆向分析》

《逆向工程核心原理》

《Metasploit滲透測試魔鬼訓練營》

《鳥哥linux的私房菜》（第三版）

《Linux二進位分析》

《網路空間安全實戰基礎》

《Python絕技：運用Python成為頂級黑客》

《白帽子講web安全》

《web前端黑客技術解密》

（排名不分先後）

社會工程學

--Social engineering--

《社會工程：安全體系中的人性漏洞》

【內容簡介】

本書首次從技術層面剖析和解密社會工程手法，從攻擊者的視角詳細介紹了社會工程的所有方面，包括誘導、偽裝、心理影響和人際操縱等，並通過凱文·米特尼克等社會工程大師的真實故事和案例加以闡釋，探討了社會工程的奧秘。主要內容包括黑客、間諜和騙子所使用的欺騙手法，以及防止社會工程威脅的關鍵步驟。

【推薦原因】

社會工程學嚴格來說並非一門學科，但是卻是信息安全中不可或缺的重要環節和體系。很多安全滲透的第一步就是利用社會工程學來獲取個人信息，進而提取信息為之後的滲透環節做準備。很多弱密碼或者薄弱突破點都會在社會工程學中體現出來。

安卓逆向

--Android reverse--

《Android應用安全防護和逆向分析》

【內容簡介】

本書全面介紹Android應用的安全防護方法與逆向分析技術，分為四篇：基礎篇、防護篇、工具篇、操作篇，共26章。基礎篇包括第1~7章，主要介紹移動應用安全的基礎知識，包括Android中NDK開發知識、逆向中需要用到的命令、編譯之後的apk包含的四類主要文件格式解析等。防護篇包括第8~14章，主要介紹移動應用安全防護的相關技術，包括混淆、簽名校驗、反調試檢測等安全策略，Android應用升級許可權、降低許可權等，配置文件中的問題，應用簽名機制，apk的加固策略，so文件的加固策略等。工具篇包括第15~19章，主要介紹逆向分析常用的工具以及使用場景，包括如何開啟設備的總調試開關，反編譯利器apktool、Jadx、Xposed、CydiaSubstrate等。操作篇包括第20~26章，主要介紹Android中的逆向分析技巧，包括靜態方式和動態方式等。

【推薦原因】

隨著移動應用的廣泛使用，不可忽視的一個問題就是信息安全。本書從Android應用安全和逆向兩個方面來介紹移動開發中如何做好安全。在CTF比賽大量出現安卓逆向分析的題目，這本書很詳細地闡述了逆向分析的步驟和需要注意的關鍵點。非常適合新手入坑逆向分析。

《逆向工程核心原理》

【內容簡介】

《逆向工程核心原理》十分詳盡地介紹了代碼逆向分析的核心原理。作者在Ahnlab 研究所工作多年，書中不僅包括其以此經驗為基礎親自編寫的大量代碼，還包含了逆向工程研究人員必須了解的各種技術和技巧。徹底理解並切實掌握逆向工程這門技術，就能在眾多IT相關領域進行拓展運用，這本《逆向工程核心原理》就是通向逆向工程大門的捷徑。

想成為逆向工程研究員的讀者或正在從事逆向開發工作的開發人員一定會通過《逆向工程核心原理》獲得很大幫助。同時，想成為安全領域專家的人也可從《逆向工程核心原理》輕鬆起步。

【推薦原因】

入門逆向工程的第一本書也是最好的一本書。

滲透測試

--Penetration test--

《Metasploit 滲透測試魔鬼訓練營》

【內容簡介】

本書是Metasploit滲透測試領域難得的經典佳作，由國內信息安全領域的資深Metasploit滲透測試專家領銜撰寫。內容系統、廣泛、有深度，不僅詳細講解了Metasploit滲透測試的技術、流程、方法和技巧，而且深刻揭示了滲透測試平台背後蘊含的思想。

書中虛擬了兩家安全公司，所有內容都圍繞這兩家安全公司在多個角度的多次「對戰」展開，頗具趣味性和可讀性。很多知識點都配有案例解析，更重要的是每章還有精心設計的「魔鬼訓練營實踐作業」，充分體現了「實踐，實踐，再實踐」的宗旨。

本書採用了第二人稱的獨特視角，讓讀者跟隨「你」一起參加魔鬼訓練營，並經歷一次極具挑戰性的滲透測試任務考驗。你的滲透測試之旅包括10段精彩的旅程。

全書共10章。第1章對滲透測試和Metasploit進行了系統介紹，首先介紹了滲透測試的分類、方法、流程、過程環節等，然後介紹了Metasploit的功能、結構和基本的使用方法。第2章詳細演示了滲透測試實驗環境的搭建。第3章講解了情報收集技術。第4章講解了Web應用滲透技術。第5章講解了網路服務的滲透攻擊技術。第6章講解了客戶端的滲透攻擊技術。第7章講解了社會工程學的技術框架和若干個社會工程學攻擊案例。第8章講解了針對筆記本電腦、智能手機等各種類型移動設備的滲透測試技術。第9章講解了Metasploit中功能最為強大的攻擊載荷模塊Meterpreter的原理與應用。第10章，魔鬼訓練營活動大結局，本章發起了一個「黑客奪旗競賽」實戰項目，目的是進一步提高讀者的實戰能力。

【推薦原因】

Msf是一個非常著名的框架，通過此書可以掌握msf基本操作要領和常用payload，在滲透實戰中有著很好的指導作用。

Linux運維

--Linux operation and maintenance--

《鳥哥的Linux私房菜》（第三版）

【內容簡介】

　本書是非常有知名的Linux入門書《鳥哥的Linux私房菜基礎學習篇》的第三版，全面而詳細地介紹了Linux操作系統。全書分為5個部分：第一部分著重說明Linux的起源及功能，如何規劃和安裝Linux主機；第二部分介紹Linux的文件系統、文件、目錄與磁碟的管理；第三部分介紹文字模式介面shell和管理系統的好幫手shell腳本，另外還介紹了文字編輯器vi和vim的使用方法；第四部分介紹了對於系統安全非常重要的Linux賬號的管理，以及主機系統與程序的管理，如查看進程、任務分配和作業管理；第五部分介紹了系統管理員(root)的管理事項，如了解系統運行狀況、系統服務，針對登錄文件進行解析，對系統進行備份以及核心的管理等。本書內容豐富全面，基本概念的講解非常細緻，深入淺出。各種功能和命令的介紹，都配以大量的實例操作和詳盡的解析。本書是初學者學習Linux不可多得的一本入門好書。

【推薦原因】

信安的第一步，玩轉linux。

《Linux二進位分析》

【內容簡介】

二進位分析屬於信息安全業界逆向工程中的一種技術，通過利用可執行的機器代碼（二進位）來分析應用程序的控制結構和運行方式，有助於信息安全從業人員更好地分析各種漏洞、病毒以及惡意軟體，從而找到相應的解決方案。 《Linux二進位分析》是一本剖析Linux ELF工作機制的圖書，共分為9章，其內容涵蓋了Linux環境和相關工具、ELF二進位格式、Linux進程追蹤、ELF病毒技術、Linux二進位保護、Linux中的ELF二進位取證分析、進程內存取證分析、擴展核心文件快照技術、Linux proc kcore分析等。《Linux二進位分析》適合具有一定的Linux操作知識，且了解C語言編程技巧的信息安全從業人員閱讀。

【推薦原因】

涉及到linux底層和linux病毒，通過具體對病毒的注入、二進位分析以及溢出等常規漏洞進行分析，對程序編譯運行有個大體的了解。總體不深奧，易懂，適合有一定基礎的人進行學習。

信安綜合

--Information security synthesis--

《網路空間安全實戰基礎》

【內容簡介】

基於網路空間安全攻防實戰的創新視角，全面系統地介紹網路空間安全技術基礎、專業工具、方法技能等，闡釋了網路空間安全的基本特點，涵蓋了網路空間安全的應用技術，探討了網路空間安全的發展方向。全書內容詳實，具有較強的理論和實用參考價值，另配有網路空間安全實戰技能在線演練平台及其實訓教程。本書旨在系統地提高網路空間安全實戰技能及防禦知識。

【推薦原因】

涵蓋了網路空間安全90%以上的內容，對每一部分的內容都做了深入淺出的介紹和分析。配合書中的實際動手操作樣例，能夠非常輕鬆的掌握信安的基礎技能。實為一本不可多得的好書。

信安編程

--Information security programming--

《Python絕技：運用Python成為頂級黑客》

【內容簡介】

Python 是一門常用的編程語言，它不僅上手容易，而且還擁有豐富的支持庫。對經常需要針對自己所處的特定場景編寫專用工具的黑客、計算機犯罪調查人員、滲透測試師和安全工程師來說，Python 的這些特點可以幫助他們又快又好地完成這一任務，以極少的代碼量實現所需的功能。《Python絕技：運用Python成為頂級黑客》結合具體的場景和真實的案例，詳述了 Python 在滲透測試、電子取證、網路流量分析、無線安全、網站中信息的自動抓取、 病毒免殺等領域內所發揮的巨大作用。

《Python絕技：運用Python成為頂級黑客》適合計算機安全管理人員、計算機犯罪調查和電子取證人員、滲透測試人員，以及所有對計算機安全感興趣的愛好者閱讀。同時也可供計算機、信息安全及相關專業的本/專科院校師生學習參考。

【推薦原因】

Python在滲透測試中是非常便捷的腳本語言，推薦這本書入門。

Web安全

--Web security--

《白帽子講Web安全》

【內容簡介】

互聯網時代的數據安全與個人隱私受到前所未有的挑戰，各種新奇的攻擊技術層出不窮。如何才能更好地保護我們的數據？《白帽子講Web安全（紀念版）》將帶你走進Web安全的世界，讓你了解Web安全的方方面面。黑客不再神秘，攻擊技術原來如此，小網站也能找到適合自己的安全道路。大公司如何做安全，為什麼要選擇這樣的方案呢？在《白帽子講Web安全（紀念版）》中都能找到答案。詳細的剖析，讓你不僅能「知其然」，更能「知其所以然」。

【推薦原因】

Web安全目前來看還是網路安全的重頭，很多xss，csrf等仍然層出不窮。這本書從白帽子視角講述了web安全之路。

《Web前端黑客技術解密》

【內容簡介】

Web前端的黑客攻防技術是一門非常新穎且有趣的黑客技術，主要包含Web前端安全的跨站腳本（XSS）、跨站請求偽造（CSRF）、界面操作劫持這三大類，涉及的知識點涵蓋信任與信任關係、Cookie安全、Flash安全、DOM渲染、字符集、跨域、原生態攻擊、高級釣魚、蠕蟲思想等，這些都是研究前端安全的人必備的知識點。本書作者深入剖析了許多經典的攻防技巧，並給出了許多獨到的安全見解。

【推薦原因】

Web安全，原因同上。

End.

推薦閱讀：