读书使人成为完善的人。 —— 培根
鉴于上期推荐的“黑客电影”反响热烈,本期小编特意为大家奉上安全书籍专题,保持大家的思维持续在线。
开篇我们先来问自己一个问题:你认为安全圈最好的书是哪本?
或者我们退一步问自己:你有自己的安全书库吗?如果没有,为什么呢?
现在的安全专家习惯通过无数的博客、视频和微博等途径了解迅速变化和更新的安全新闻和趋势。书籍,在另一个层面而言,是深入特定安全区域进行自身知识构建和拓宽认识面的一种有价值的资源。
安全行业是非常复杂的,不可能通过一本著作就了解一切,一本著作通常只关注某个单一的主题包括加密、网络安全模型以及安全评估等。
无乱现在的你是在考虑转行还是单纯的想学习新知识,下面推荐的这些安全书籍都值得你花上时间认真品阅:
1. 《应用密码学:协议算法与C源程序》——2015.3.30日出版
(Applied Cryptography:Protocols,Algorithms,and Source Code in C)
作者:Bruce Schneier
1963年1月15日,Bruce Schneier出生于纽约市布鲁克林,1984年,他按自己的兴趣在罗彻斯特大学拿到物理学士学位后,却发现自己找不到理想的工作。最后被美国国防部招募,开始从事密码研究。期间,他来到位于华盛顿的美国大学学习计算机科学,获得硕士学位。
后来他一边创办自己的安全咨询公司Counterpane(2006年10月被英国电信收购),一边收集资料,准备写一本密码学方面的图书—也就是1993年由Wiley出版的《应用密码学》。
该书对密码学20年的发展做了百科全书式的总结,而且更美妙的是,随书奉送的软盘提供了许多算法的C语言实现代码,所以一经问世就成为畅销书,Schneier也一举成名。
著述之外,Schneier还设计了大量密码算法。其中与人合作设计的对称加密算法Twofish成功进入AES标准评选最后一轮,最终排名第三。2008年与人合作设计的Skein散列函数在2010年底成功入围SHA-3标准竞赛五强之一。这些成就奠定了他作为世界公认的顶尖密码专家的地位。
但Schneier并没有止步在密码专家的光环中,1997年他发表《Cryptography, Security and the Future》一文,开始思考密码之外更加广阔的安全问题。2001年911事件更加快了这一进程。
2000年到2012年,Schneier陆续出版了《Secrets & Lies》、《Beyond Fear》和《Liars and Outliers》,并为《连线》、《华尔街日报》等大众媒体撰文,将复杂晦涩的安全问题用通俗易懂的语言介绍给更广泛的读者,逐渐成为公众技术专家。
作品简介:
密码学的应用领域远远不只是编码和解码信息,要了解有关密码学技术的数字签名的知识,《应用密码学:协议算法与C源程序》是必读之作。
本书介绍了密码学协议的通用类型、特定技术,详细介绍了现实世界密码学算法的内部机制,包括DES和RSA公开密钥加密系统。书中提供了源代码列表和大量密码学应用方面的实践活动,如产 生真正的随机数和保持密钥安全的重要性。
《应用密码学:协议算法与C源程序》共分四个部分,定义了密码学的多个术语,介绍了密码学的发展及背景,描述了密码学从简单到复杂的各种协议,详细讨论了密码技术。并在此基础上列举了如DES、IDEA、RSA、DSA等十多个算法以及多个应用实例,并提供了算法的源代码清单。
全书内容广博权威,具有极大的实用价值,是致力于密码学研究的专业及非专业人员一本难得的好书。
推荐指数:★★★★★
2. 《威胁建模 : 设计和交付更安全的软件》——2014.2.17日出版
(Threat modeling : designing for security)
作者:Adam Shostack
亚当·斯塔克(Adam Shostack)微软资深安全技术专家,微软可信计算项目团队核心管理人员,拥有数十年操作系统管理和产品开发从业经验,工作范围涉及安全开发过程、应用安全、攻击建模等安全领域。
除了从事安全开发工作,他还从事针对微软公司员工、合作伙伴及客户的威胁建模培训工作。
在加入微软之前,他曾在多家创业企业担任信息安全与隐私执行官,曾协助建立通用漏洞与披露信息库(CVE)、隐私增强技术研讨论坛以及国际金融加密技术协会。
此外,他著有多部书籍,也是位高产的主和公共演讲者,曾与Andrew Stewart合作出版《The New School of Information Security》。
作品简介:
该书为第24届Jolt大奖获奖图书,系统且深入阐释威胁建模的工具、方法、原则和最佳实践,对威胁建模的各种常见问题进行深入分析,涉及识别安全威胁、处理安全威胁、最优安全措施、彻底解决安全威胁等内容,能为程序员开发安全软件提供有效指导。
推荐指数:★★★★☆
3. 《网络安全监控实战:深入理解事件检测与响应》——2013.8.5日出版
(The Practice of Network Security Monitoring: Understanding Incident Detection and Response)
作者:Richard Bejtlich
理查德·贝特利奇(Richard Bejtlich)现任全球顶级安全公司FireEye的首席安全战略官、美国前沿网络安全公司Mandiant的首席安全官,曾任通用电气事件响应的主管,是最早一批研究网络安全和NSM防御的践行者。
他毕业于哈弗大学和美国空军学院,著有《The Tao of Network Security Monitoring》、《Extrusion Detection》和《Real Digital Forensics》。
他还在博客和推特上创作,其博客地址为http://taosecurity.blogspot.com;推特账号为@taosecurity。
作品简介:
本书深入解读网络安全监控的核心思想、工具和很好实践,从网络安全监控的原理、工具选型、环境部署到攻击的识别、发现与截击,详细讲解网络安全监控(NSM)主流工具的使用。
《网络安全监控实战:深入理解事件检测与响应》分为四部分:第一部分系统讲述了NSM的基本原理以及如何部署传感器以应对各种挑战;
第二部分讲解SO在硬件上的安装与配置,SO的单机与分布式环境的安装与部署,以及SO平台的运行维护;
第三部分主要介绍NSM工具链的应用,涵盖命令行和图形化的数据包分析工具(发现问题),以及NSM控制台(启动检测和响应流程);
第四部分为实战部分,讲解如何建立有效的NSM团队,发现并制止服务器端和客户端的攻击。
本书网络安全监控内容比较细致,工具的可操作性强,是一本网络安全的入门好书。
推荐指数:★★★★☆
4. 《网络战争:对国家安全的下一个威胁及应对措施》——2011.8.5日出版
(Cyber War: The Next Threat to National Security and What to Do About It)
作者:Richard Clarke和Robert Knake
Richard Clarke是哈佛肯尼迪学院教授,里根到克林顿任总统期间一直担任美国白宫网络安全顾问;罗伯特•克纳基(Robert Knake)为美国对外关系委员会(Council on Foreign Relations)高级研究员、白宫前网络安全政策主任。
作品简介:
本书详细分析了网络空间战的未来形势,内容涉及犯罪、间谍、士兵、和黑客等。书中列举了以色列对叙利亚、美国对伊拉克的战例,指出网络战争是真实的,是超越战场的,并且已经在全球打响。
但是书中也浓墨重彩的描述了“中国威胁论+阴谋论”:中国向微软索要了操作系统秘密代码;从思科拷贝了路由器硬件结构;中国软硬兼施,彻底掌握了网络战争的核心技术等言论。
推荐指数:★★★☆☆(存在中国威胁论等不实言论)
5. 《网络间谍:监视、黑客和数字间谍的秘密历史》——2016.7.5日出版
(Cyberspies: The Secret History of Surveillance, Hacking, and Digital Espionage)
作者:Gordon Corera
Gordon Corera是一名BBC安全通讯记者,2006年7月31日出版《购买核弹》,介绍了有巴基斯坦“核弹之父”之称的科学家卡迪尔·汗非法转让核机密一案大白于天下的过程。
作品介绍:
在《网络间谍》一书中,Gordon Corera探讨了电脑和间谍的进化过程,从第二次世界大战、冷战、互联网的产生及兴起到现代黑客的发展演变过程。除了历史细节外,本书还介绍了英国、美国和中国的间谍活动等。
推荐指数:★★★☆☆(新出版,缺少评分数据)
6. 《安全工程:建立可靠的分布式系统指南》——2008.4.14日出版
(Security Engineering: A Guide to Building Dependable Distributed Systems)
作者:Ross J. Anderson
Ross J. Anderson是剑桥大学的安全工程教授,是当今世界安全工程领域的权威,曾著有《信息安全工程》一书,内容涵盖安全工程的方方面面,内容丰富、表述准确、概念清晰、针对性极强,堪称安全工程方面的鸿篇巨著,适合所有对安全工程感兴趣的读者。
作品介绍:
《安全工程:建立可靠的分布式系统指南》一直被全球信息安全界奉若神明。安全工程自2001年以来已经发生了很大的变化,网络犯罪分子的范围也不断扩大包括垃圾邮件发布者、网络间谍、洗黑钱者以及其他很多类型的罪犯。
在本书中,Ross Anderson讨论了很多话题包括攻击类型、安全心理学、政策以及专门的保护机制等,帮助安全人员建立可靠、安全的系统工程。
推荐指数:★★★★☆
7. 《Web Application黑客手册:安全漏洞的发现与利用》——2011.9.27日出版
(The Web Application Hacker's Handbook: Finding and Exploiting Security Flaws)
作者:Dafydd Stuttard和Marcus Pinto
Dafydd Stuttard 世界知名安全顾问、作家、软件开发人士。牛津大学博士,MDSec公司联合创始人,尤其擅长Web应用程序和编译软件的渗透测试。Dafydd以网名PortSwigger蜚声安全界,是众所周知的Web应用程序集成攻击平台Burp Suite的开发者。
Marcus Pinto 资深渗透测试专家,剑桥大学硕士,MDSec公司联合创始人。Marcus为全球金融、政府、电信、博彩、零售等行业顶尖组织和机构提供Web应用程序渗透测试和安全防御的咨询与培训。
两人还著有《黑客攻防技术宝典.Web实战篇》等作品。
作品介绍:
该书对于负责防御网络犯罪的专业人士而言具有很好的指导作用。新版的《Web应用程序黑客手册》尤为专注Web应用程序安全,因为它很容易暴露企业漏洞,给予黑客窃取数据和执行欺诈性交易的机会。
本书循序渐进地讲述了Web应用程序的攻击和防护技术等,手册侧重于安全领域经历的最新变化,对关注Web应用程序安全的专业人士很有学习价值。
推荐指数:★★★★☆
8. 《软件安全评估的艺术:识别与防范软件》——2006.11.30日出版
(The Art of Software Security Assessment: Identifying and Preventing Software Vulnerabilities)
作者:Mark Dowd、John McDonald、Justin Schuh
Mark Dowd是McAfee首席安全架构师,应用安全领域的专家;John McDonald是Neohapsis公司高级顾问,主要负责跨平台高级应用安全评估工作;Justin Schuh是谷歌的Chrome安全负责人,负责应用程序安全实践。
作品介绍:
作者Mark Dowd、John McDonald和Justin Schuh在《软件安全评估的艺术》一书中揭示了一些常见企业应用(如Microsoft Exchange、sendmail、Internet Explorer以及Check Point VPN)中存在的缺陷,用自己的经验解释了挖掘应用程序安全漏洞的方法。
本书还涵盖了Windows 和 UNIX/LINUX环境中存在的一系列软件漏洞。读者可以从各种类型的应用程序中更加深入的了解程序安全审计过程,从实际例子出发,在过去的错误中吸取教训,更好的做好应用程序安全评估工作。
推荐指数:★★★★☆
更多推荐阅读
应用安全 - 本地应用
书名 | 内容 | 技术层
|
The Art of Software Security Assessment《软件安全评估的艺术》 | 源码审计的圣经级读物 | 中高级,需要能阅读C/C++代码 |
Secure Coding in C and C++ 《c和c++安全编码》 | 写牢固的底层代码最好的书籍 | 对于所有能阅读C/C++的人都很容易 |
应用安全 - web应用
书名 | 内容 | 技术层 |
The Browser Hacker's Handbook 《浏览器黑客手册》 | 有许多详细的web安全主题 | 从基础进阶到高级主题 |
The Database Hacker's Handbook 《数据库黑客手册》 | 有关于数据库攻击的最详细的书 | 从基础进阶到高级主题 |
The Tangled Web 《Web之困:现代Web应用安全指南》 | 通过web的弱点测试来讲解web协议的书籍,强烈推荐 | 所有人都可以阅读。这本书开头的章节为后续的高级章节做了铺垫 |
The Web Application Hacker's Handbook 《黑客攻防技术宝典:Web实战篇》 | 覆盖了大部分的web安全问题 | 中级 |
密码学
书名 | 内容 | 技术层 |
Applied Cryptography 《应用密码学:协议、算法与C源程序》 | 学习密码学的标准教材 | 包含内容从背景介绍到深度运算和安全法则 |
Introduction to Modern Cryptography《现代密码学:原理与协议》 | 一本很棒的密码学书,在很多高级的计算机科学程序的课里使用 | 高级,要完全理解需要很深的数学知识 |
数据库取证
书名 | 内容 | 技术层 |
Microsoft SQL Server Internals 《深入解析Microsoft SQL Server》 | 类似于windows构件的系统级MSSQL构件的书籍 | 中级,阅读之前需要有数据库基础知识 |
SQL Server Forensic Analysis 《SQL Server取证分析》 | 一本很深入的MSSQL系统取证分析的书籍 | 中级 - 阅读之前需要有数据库基础知识 |
数字取证和应急响应
书名 | 内容 | 技术层 |
File System Forensic Analysis 《文件统统取证分析》 | 文件系统取证的权威书籍 | 中高级 |
Forensic Discovery 《取证发现》 | 通过两个简单的案例讲解了计算机取证的基本内容 | 中级 |
Real Digital Forensics 《真实的数字取证》 | 取证过程的简明描述 | 初级-高级 |
Windows Forensic Analysis, Second Edition 《WINDOWS取证分析》 | 这本书已经出到第2版了,是最容易得到的windows磁盘取证书籍 | 从基础概念到深入分析Windows Forensic Analysis, Fourth Edition这本书已经出到第4版了,是最容易得到的windows磁盘取证书籍从基础概念到深入分析 |
漏洞利用 / 渗透测试
书名 | 内容
| 技术层 |
A Guide to Kernel Exploitation 《内核开发指南:攻击核心》 | 操作系统高级漏洞利用 | 高级 |
Android Hacker's Handbook 《安卓黑客手册》 | Android系统漏洞利用 | 中级 |
Hacking: The Art of Exploitation, 1st Edition 《黑客之道:漏洞发掘的艺术》 | 底层漏洞利用基础 | 中级 |
iOS Hacker's Handbook 《黑客攻防技术宝典:iOS实战篇》 | IOS设备漏洞利用 | 中高级 |
The Mac Hacker's Handbook 《黑客攻防技术宝典:MAC实战篇》 | MAC设备漏洞利用 | 中高级 |
Rtfm: Red Team Field Manual | 一本简明的,优秀的,每个渗透测试人员都应该配备的书籍 | 所有拥有渗透测试背景的人都可以阅读 |
网络取证
书名 | 内容 | 技术层 |
The Practice of Network Security Monitoring 《网络安全监视实战》 | 告诉你怎么样把网络取证融入到真实的世界中,而不仅仅的数据包分析 | 中级 |
Practical Packet Analysis 《数据包分析实战》 | 学习网络通信分析和鉴别的一本很棒的书 | 初级-中级 |
Wireshark (R) 101 | Wireshark的深入探索 | 初级-中级 |
编程 - 概念和算法
书名 | 内容 | 技术层 |
Compilers: Principles, Techniques, and Tools 《编译原理、技术和工具》 | 编译原理的书中最著名的“龙书” | 高级 - 除非你已经扎实的理解了设计模式和运行时的环境,否则不要阅读此书 |
Design Patterns 《设计模式 可复用面向对象软件的基础》 | 需要抱着很严谨的态度阅读 | 中级 |
Linkers and Loaders | 需要理解程序耦合和运行时加载的,请阅读 | 中级 |
逆向工程
书名 | 内容 | 技术层 |
Assembly Language Step-by-step 《一步一步学习linux汇编语言程序设计》 | 学习汇编语言最好的资源,之后的书籍都聚焦在“高级”汇编来作为实际操作指南 | 中高级 |
Hacker Disassembling Uncovered 《黑客反汇编揭密》 | 在逆向工程方面的一本很好的书,包含许多高层次的主题 | 中高级 |
Hacking the Xbox | 写的很有趣的一本学习逆向的书 | 中级 |
The IDA Pro Book 《IDA Pro权威指南》 | 学习IDA最好的资源 | 中级
|
Reversing: Secrets of Reverse Engineering 《Reversing:逆向工程揭密》 | 有一个章节把windows的API逆向成了C语言,并且完美的编译匹配了windows的DLL | 中高级 |
Practical Reverse Engineering 《实操性逆向工程》 | Intel和ARM的逆向 | 中级 |
社会工程学 - 传统方式
书名 | 内容 | 技术层 |
The Art of Intelligence 《国家威胁:中情局谍战亲历》 | Henry Crumpton对社会工程学和现实世界的分析 | 初级-中级 |
Chinese Intelligence Operations 《中国情报活动》 | 一本很有深度的中国情报学教材 | 高级 |
See No Evil | CIA对中东的社会工程学的分析课 | 中级 |
Spy Handler: Memoir of a KGB Officer 《间谍程序:克伯格的高级官员回忆录》 | 克伯格的高级官员写的关于罗伯特·汉森和阿尔德里奇·阿麦斯的真实故事。学习社会工程学战术和理论的最佳教材 | 初级-中级 |
Terrorism and Counterintelligence: How Terrorist Groups Elude Detection | 现代恐怖组织和反情报政府部门的深度探索 | 中级 |
本期推荐结束,对于书单你有什么意见和补充?来来来,评论的大门向您敞开!既然选择成为一名网络安全技术人员,你必须准备:
耐得住寂寞;
禁得住诱惑;
守得住底线;
遵从黑客精神:
保持一颗探索的心;
守住一颗低调的心;
不包装不显摆;
在技术中寻找成就感;
拒绝从事非法交易!
最后祝愿大家早日成材~~
踩着“巨人”的肩膀开辟新天地!
延伸阅读:
回复002: 黑客密探 | 催收公司的红玫瑰
回复003: 黑客密探 | 黑入诈骗窝
回复关键字,看最经典的黑客传奇
回复010:原创 | 智者大潘
回复011:原创 | 360谭晓生的方法论
回复012:原创 | 龚蔚:我不是黑客教父
回复013:原创 | Ucloud之父季昕华
回复014:原创 | “苹果”是我干掉的,韩争光
回复015:原创 | 云舒,我为什么要离开阿里
回复016:原创 | TK,从妇科圣手到黑客教主
回复017:原创 | 乌云来了,我是方小顿
回复018:原创 | 破解了特斯拉的林伟
回复019:原创 | 刺风有道,吴翰清的云端飞扬
回复020:原创 | 铁马“冰河”,侠骨黄鑫
扫描二维码 关注更多精彩
新锐丨大咖丨视频丨白帽丨在看
回复关键词获得关于安在更多信息
