新書推薦:
《
英国都铎王朝君主形象塑造与政治文化变迁
》
售價:NT$
857
《
从一道高三数学模拟测试题的背景谈起:兼谈等周问题与等周不等式
》
售價:NT$
347
《
《仪礼》版本研究:全三册
》
售價:NT$
1780
《
水浒传绘本 全8册 水浒桥梁书 同步原著改编去暴力 萌趣卡通国风画卷 文史科普趣味拓展
》
售價:NT$
1061
《
中国清代戏曲史上、下卷(套装2册)
》
售價:NT$
2030
《
私域裂变运营实战手册
》
售價:NT$
254
《
超越高定
》
售價:NT$
3050
《
耶鲁大学公开课 心理学导论
》
售價:NT$
337
|
| 編輯推薦: |
在人工智能技术深刻重塑网络攻防格局的大环境下,本书精准回应了国内安全从业者在智能化时代面临的核心焦虑:如何应对日益智能化的攻击与防御,以及如何更新自身的技术工具箱。
本书的亮点在于,它并非简单罗列AI工具,而是系统构建了一个“方法演进+实战工具” 的知识框架。它清晰地展示了从传统漏洞挖掘到AI增强评估的技术发展路径,不仅深入剖析了AI辅助信息收集、智能漏洞利用、对抗AI防御系统等前沿课题,更完整覆盖了红队基础设施、社会工程学、后渗透、AD/Linux环境攻击等核心实战领域。
对于希望从传统测试转向智能攻防的安全工程师、致力于提升对抗模拟能力的红队成员,以及所有渴望理解下一代安全威胁的研究者而言,本书提供了不可多得的全景式路线图与实践指南。它帮助你不仅是适应变革,更是主动掌握定义未来安全规则的能力。
|
| 內容簡介: |
|
本书聚焦人工智能与安全测试的交叉创新,系统性介绍了从AI辅助信息收集到漏洞利用开发等前沿技术,比如现代红队基础设施的构建与维护方法,并讨论如何使用结合传统与新型技术的定制工具和框架。全书共11章,第1章梳理了安全测试领域的发展历程,并阐述三个关键变革对网络安全行业产生的深远影响;第2章介绍红队评估与传统渗透测试在基本原则和方法论上的区别以及相关基础框架,并分析这些框架在现代红队行动中的实际应用;第3章详细阐述如何构建和维护红队基础设施;第4章深入探讨塑造现代红队评估的先进技术体系和工具集,并系统地解析红队评估各个作战阶段的细节;第5章重点探讨红队评估中的人为因素,主要从高级社会工程学技术和物理安全评估两个维度展开分析;第6章阐述了一系列精密的后渗透方法,帮助红队在规避检测的同时维持对目标系统的持续访问能力;第7章深入讲解针对现代Active Directory(AD)环境和Linux基础设施的高级攻击方法;第8章探讨人工智能与新兴技术在红队评估中的应用;第9章系统介绍了在当前竞争激烈的环境下,专业漏洞赏金猎人的基本概念;第10章介绍了一系列用于测试现代Web应用和API的技术方法;第11章阐述人工智能与自动化技术在漏洞挖掘领域中的应用变革。
|
| 關於作者: |
奥马尔·桑托斯(Omar Santos)思科公司的网络安全领导者和杰出工程师,在人工智能安全、网络安全研究、合规性渗透测试、事件响应和漏洞披露等多个领域取得重要成果。他目前担任安全人工智能联盟(CoSAI)联合主席,同时是OASIS Open 标准组织董事会成员,专注于推动各行业安全技术的进步与应用。他还是 DEF CON Red Team Village的联合创始人和核心领导者之一,并且是一名多产的作家。他的贡献极大地推动了技术和全球安全场景的发展。
萨凡纳·拉扎拉(Savannah Lazzara)
现任某科技公司安全工程师,负责红队评估工作。她在安全咨询领域积累了多年经验,曾服务众多《财富》500强企业。她精通多种安全评估工作,在对抗模拟评估方面也有经验。她是社会工程学与物理安全方面的专家,还是Red Team Village的联合负责人,曾在Source Zero Con、BSides等多个网络安全会议上发表演讲。此外,她还是 The Hacker Factory和 Hackerz and Haecksen 等知名播客节目的特邀嘉宾。
韦斯利·瑟纳(Wesley Thurner) Intuit 公司红队首席安全工程师,主要负责设计和推动公司范围内的安全创新项目。在加入Intuit 前,他曾在美国国防部最高级别的计算机网络利用(CNE)部门担任漏洞利用操作员。在美国空军网络中队服役期间,他承担过多项重要职务,并组建了多支专业团队。作为 Red Team Village 的联合负责人,他专注于促进渗透测试人员与攻击性行动实践者之间的交流,多次在行业会议上发表演讲,并撰写了多部培训教程和技术白皮书。
罗洋,ChaMd5安全团队创始人,ChaMd5安全团队成立于2016年,专注于算法加解密、安全漏洞挖掘、CTF竞赛及安全人才培养。目前有团队成员有200余人,分别来自阿里、滴滴、启明星辰、绿盟、知道创宇、奇安信、永信至诚、360、四叶草、陌陌、牛盾、无声信息等安全公司,也有部分在校学生与自由职业者。
|
| 目錄:
|
目 录
译者序
前言
关于作者
关于技术审校者
第1章 渗透测试、红队评估和漏洞挖掘的演进 1
1.1 深入探索 1
1.1.1 未知的领域 2
1.1.2 人工智能速成指南 2
1.1.3 突破防线 3
1.1.4 高潮 4
1.1.5 后续步骤 5
1.2 行业概述 5
1.2.1 渗透测试、红队评估和漏洞挖掘
计划简介 5
1.2.2 这些方法为什么重要 6
1.2.3 黑客的演变 6
1.3 渗透测试的早期发展与演变 6
1.4 红队评估的兴起 8
1.5 漏洞挖掘计划的兴起 8
1.6 渗透测试、红队评估和漏洞挖掘的
融合 10
1.7 渗透测试、红队评估和漏洞挖掘的
未来 10
1.8 人工智能和机器学习在渗透测试、红队评估和漏洞挖掘中的应用不断增加 11
1.9 技能测试 12
第2章 红队评估导论 14
2.1 什么是红队评估 14
2.2 红队评估的重要性 15
2.2.1 识别关键漏洞 15
2.2.2 质疑假设 15
2.2.3 模拟特定行业威胁 16
2.3 红队框架与方法论 16
2.3.1 MITRE ATT&CK框架 16
2.3.2 统一击杀链 17
2.3.3 TIBER-EU 17
2.3.4 CBEST 18
2.4 红队评估 18
2.4.1 全范围渗透测试 19
2.4.2 目标导向型评估 19
2.4.3 基于场景的对抗模拟 20
2.4.4 紫队 20
2.4.5 桌面推演 21
2.5 红队挑战 21
2.5.1 提升其他团队水平 21
2.5.2 失败也是收获 22
2.6 参考文献 23
2.7 技能测试 24
第3章 红队基础设施 25
3.1 红队基础设施概述 26
3.2 命令与控制 26
3.2.1 命令与控制通信信道 27
3.2.2 重定向器 28
3.2.3 命令与控制系统搭建 29
3.3 技能测试 46
第4章 现代红队方法论与工具 47
4.1 规划 47
4.1.1 交战规则 48
4.1.2 启动会议 48
4.1.3 沟通 48
4.2 信息收集 48
4.2.1 自治系统编号 48
4.2.2 证书透明度 49
4.2.3 流量代理 49
4.2.4 域名服务 53
4.2.5 元数据 60
4.2.6 用户名收集 60
4.2.7 软件发现 62
4.2.8 数据泄露 62
4.3 初始访问 63
4.3.1 密码喷洒攻击 63
4.3.2 移动设备管理 68
4.3.3 社会工程学与物理访问 69
4.3.4 攻击载荷准备 69
4.3.5 Web应用程序漏洞 75
4.4 持久化 75
4.5 横向移动 76
4.5.1 获取凭证 77
4.5.2 收集域信息 77
4.5.3 Kerberos票据破解 79
4.5.4 活动目录证书服务 80
4.5.5 SCCM滥用 83
4.6 后渗透 84
4.7 报告编写 84
4.8 技能测试 85
第5章 社会工程学和物理安全评估 87
5.1 电话社工:拨打电话并欺骗你的
目标 88
5.1.1 信息收集 88
5.1.2 电话社工 89
5.1.3 攻击目标 90
5.2 鱼叉式网络钓鱼:是时候收网了 91
5.2.1 基础设施 92
5.2.2 钓鱼邮件/即时消息的构建
要点 103
5.2.3 攻击目标 104
5.3 能从内部听到我们吗 105
5.3.1 远程信息收集 105
5.3.2 门禁卡复制 106
5.3.3 现场信息收集 111
5.3.4 现场社会工程学 112
5.3.5 物理建筑绕过 112
5.4 技能测试 114
第6章 高级后渗透技术 116
6.1 后渗透概述 116
6.1.1 评估检测与响应能力并理解数据
泄露的影响 117
6.1.2 提升蓝队能力 117
6.2 如何维持访问、使用持久性机制和
创建后门 120
6.2.1 后门类型 120
6.2.2 反向Shell与正向Shell对比 127
6.2.3 在二进制文件中植入后门 131
6.2.4 使用代码混淆规避检测 133
6.2.5 系统级后门 135
6.2.6 内核级后门 138
6.2.7 硬件和固件后门 142
6.2.8 计划任务 143
6.2.9 新用户 143
6.3 C2与隐蔽通道 143
6.3.1 DNS隧道技术的工作原理 144
6.3.2 HTTP/HTTPS 隧道技术 146
6.3.3 非常规协议 146
6.3.4 其他命令与控制技术和工具 146
6.4 如何实施横向移动 148
6.5 合法工具与就地取材式攻击 151
6.5.1 PowerShell在后渗透任务中的
应用 151
6.5.2 PowerSploit和Empire框架 152
6.5.3 BloodHound 154
6.5.4 使用 Windows 管理规范执行后
渗透任务 155
6.5.5 Sysinternals与PsExec 155
6.5.6 使用 Windows 远程管理执行后
渗透任务 156
6.5.7 系统自带可执行文件、库文件和
实用脚本 156
6.6 后渗透权限提升 158
6.6.1 清除入侵痕迹的方法 159
6.6.2 隐写术 159
6.7 技能测试 162
第7章 AD与Linux环境 165
7.1 AD基础 165
7.1.1 集中式数据存储与高可用性 166
7.1.2 安全性 166
7.1.3 AD架构 168
7.1.4 AD信任关系 170
7.1.5 关键的AD协议与服务 172
7.2 Microsoft Entra ID和Azure 178
7.3 AD攻击技术 183
7.3.1 实验环境搭建 183
7.3.2 AD信息收集与枚举 185
7.3.3 密码喷洒和ASREPRoast
攻击 192
7.3.4 Windows AD评估中有用的LDAP查询 195
7.3.5 BloodHound功能强大 198
7.3.6 在AD环境中使用Responder
收集凭证 199
7.3.7 使用Secretsdump提取凭证 205
7.3.8 使用Lsassy从LSASS中提取
凭证 207
7.3.9 使用DonPAPI 攻击 Windows
DPAPI 208
7.3.10 使用 Certipy 和 BloodHound 进行ADCS的信息收集与枚举 209
7.3.11 使用Certipy进行漏洞利用 211
7.3.12 滥用自主访问控制列表和访问
控制条目 213
7.3.13 Golden SAML攻击 213
7.3.14 Microsoft Entra Connect(Azure AD Connect)Sync账户接管 215
7.3.15 Microsoft Entra 特权身份管理
滥用 216
7.4 高级Linux环境攻击技术 217
7.4.1 缓冲区溢出原理简述 217
7.4.2 缓冲区溢出的利用方法 217
7.4.3 易受攻击代码示例 219
7.4.4 使用面向返回编程绕过不可执行栈保护 222
7.4.5 使用ROP绕过NX保护 223
7.5 技能测试 225
第8章 AI时代下红队评估的发展
前景 228
8.1 理解AI在红队评估中的现状 229
8.2 构建AI驱动的渗透测试工具 230
8.3 研究微调过的未经审查的AI模型 242
8.4 理解红队评估中的检索增强生成
技术 244
8.4.1 向量嵌入 245
8.4.2 向量数据库存储 247
8.4.3 用户查询处理 249
8.4.4 语义搜索与文档检索 249
8.4.5 LLM或SLM的上下文准备 252
8.4.6 响应生成、后处理与优化 253
8.5 AI与自主系统的红队评估 256
8.6 跟进快速发展的技术 263
8.7 技能测试 264
第9章 漏洞挖掘与高效信息收集
导论 267
9.1 理解漏洞挖掘计划 267
9.1.1 漏洞挖掘计划的类型 268
9.1.2 攻击面管理与漏洞挖掘计划
对比 270
9.1.3 漏洞披露计划与漏洞挖掘计划的
对比 271
9.1.4 入门指南:如何成为漏洞挖掘
计划中的道德黑客 271
9.1.5理解参与范围与规则约定 272
9.2探索有效的信息收集 274
9.2.1主动式与被动式信息收集 274
9.2.2理解开源情报 275
9.2.3 利用DNS进行信息收集 276
9.2.4 识别技术和管理联系人 279
9.2.5识别云资产与自托管资产 281
9.2.6社交媒体数据抓取 284
9.2.7密码学缺陷 285
9.2.8 利用证书透明度获取内部和外部
主机的敏感信息 290
9.2.9利用密码转储文件 292
9.2.10文件元数据信息收集 294
9.2.11搜索引擎战略分析与枚举 296
9.2.12网站归档/缓存 297
9.2.13 公共源代码仓库、密钥和其他
敏感信息 298
9.2.14 信息收集工具Recon-ng的
使用 298
9.2.15Shodan 304
9.2.16 Amass、Maltego及其他开源情
报工具 305
9.2.17 使用生成式人工智能和Gorilla
大语言模型来与Amass等工具
交互 306
9.2.18 使用Open Interpreter与信息收集工具交互 307
9.3开展主动式信息收集 311
9.3.1 使用Python创建自己的扫
描器 313
9.3.2探索不同类型的枚举 314
9.3.3 在漏洞挖掘中使用
BloodHound 326
9.3.4数据包检查与窃听 327
9.4理解漏洞扫描的艺术 327
9.4.1理解漏洞扫描的类型 328
9.4.2 运行漏洞扫描时需要考虑的
挑战 329
9.5 对Web应用程序和API进行信息
收集 331
9.5.1 目录和文件暴力破解 331
9.5.2API信息收集 334
9.6 漏洞发现的沟通与编写高效的漏洞
挖掘报告 336
9.7技能测试 338
第10章 渗透现代Web应用程序和
API 342
10.1 Web应用攻击、OWASP Web应用
十大安全风险和OWASP大语言模
型应用十大安全风险概述 343
10.1.1 HTTP 343
10.1.2 理解Web会话 349
10.1.3 Web应用程序的OWASP十大
安全风险 351
10.1.4 大语言模型应用的OWASP十大
安全风险 352
10.2 搭建自己的Web应用程序实验
环境 353
10.3 理解业务逻辑缺陷 354
10.4 理解基于注入的漏洞 355
10.4.1 数据库攻击与SQL注入漏洞
利用 355
10.4.2 命令注入漏洞 367
10.4.3 轻量级目录访问协议注入
漏洞 369
10.5 利用认证机制漏洞 370
10.5.1 凭证暴力破解 370
10.5.2 理解会话劫持 371
10.5.3 理解重定向攻击 375
10.5.4 利用默认凭证 375
10.5.5 Kerberos漏洞利用 376
10.6 利用授权漏洞 377
10.6.1 理解参数污染 377
10.6.2 利用不安全的直接对象引用
漏洞 378
10.7 理解跨站脚本漏洞 379
10.7.1 反射型XSS攻击 380
10.7.2 存储型XSS攻击 381
10.7.3 XSS绕过技术 385
10.7.4 XSS防护措施 386
10.8 理解跨站请求伪造与服务器端请求
伪造攻击 387
10.8.1 服务器端请求伪造攻击 389
10.8.2 使用WebSploit Labs利用服务器
端请求伪造漏洞 390
10.9 理解单击劫持 393
10.10 利用安全配置错误 393
10.10.1 利用目录遍历漏洞 393
10.10.2 理解Cookie操纵攻击 394
10.11 利用文件包含漏洞 395
10.11.1 本地文件包含漏洞 395
10.11.2 远程文件包含漏洞 396
10.12 利用不安全的编码实践 396
10.12.1 源代码中的注释 396
10.12.2 缺乏错误处理和过度冗长的
错误处理 396
10.12.3 硬编码凭证 397
10.12.4 条件竞争 397
10.12.5 未受保护的API 397
10.12.6 隐藏元素 400
10.12.7 缺乏代码签名 400
10.13 使用更多的Web应用程序黑客
工具 400
10.14 技能测试 404
第11章 自动化漏洞挖掘与AI技术
赋能 407
11.1 传统漏洞挖掘方法 407
11.2 AI驱动的漏洞挖掘自动化 409
11.2.1 漏洞挖掘平台的AI能力 417
11.2.2 企业外部风险暴露全景评估 418
11.2.3 使用AI进行漏洞优先级排序 418
11.2.4 利用AI生成扫描器模板 420
11.3 漏洞挖掘中的AI模型训练、微调和RAG 424
11.3.1 部署AI模型 424
11.3.2 AI模型的微调 424
11.3.3 将RAG和AI智能体用于漏洞
挖掘 426
11.3.4 工具调用 427
11.4 使用AI进行漏洞挖掘将面临的
挑战 429
11.4.1 内容审查限制的模型和安全护栏
机制 429
11.4.2 幻觉或虚构 429
11.5 技能测试 430
附录 选择题答案 433
|
| 內容試閱:
|
前 言
红队评估和安全测试的技术与理论正在与人工智能(AI)等新兴技术深度融合。网络安全领域已经不再局限于识别缓冲区溢出或SQL注入漏洞。当前,安全专业人员正致力于探索一个全新的领域:具有推理、适应和学习能力的智能系统。
传统安全工具和技术发生了重大变革。人工智能防御系统能够以毫秒级的速度实现威胁检测与响应,机器学习和生成式人工智能模型可以快速分析大量行为模式,完成原本需要分析师耗时数月才能完成的工作。这场技术革命在推动进步的同时,也带来了新的漏洞和攻击面。
本书重点介绍攻击性安全测试领域正在发生的重大变化,为读者提供必要的专业知识。随着各种组织广泛使用人工智能驱动的防护系统,传统的红队评估、渗透测试和漏洞挖掘活动需要进行相应调整。在这一新时代,红队成员必须掌握适应当前技术环境的专业技能,而漏洞赏金猎人也需要优化工具和方法,以应对具备预测和实时响应能力的智能防御系统。
作为一本为红队评估专家、漏洞挖掘研究者以及关注攻击性安全领域前沿的读者编写的指南,本书将带领读者探索安全领域的变革路径。全书聚焦人工智能与安全测试的交叉创新,系统性地介绍了从AI辅助信息收集到漏洞利用开发等前沿技术。通过结合传统安全方法论和新兴技术,本书为读者构建了一幅完整的现代安全测试知识图谱,帮助读者在这一新兴领域开展探索之旅。
欢迎探索道德黑客的未来!
本书目标
本书构建了完整的框架体系,指导读者从传统安全测试方法向现代化、人工智能增强的安全测试方法转型,帮助读者适应日益复杂的网络威胁环境。书中提供的实践知识可以直接应用于红队评估和漏洞挖掘计划,内容涵盖现有技术与前沿发展,具有较强的实用性。
本书将指导你进行高级红队评估,帮助你应对人工智能防御系统,合理运用人工智能与自动化技术开展漏洞挖掘实践,同时注重保持人类智慧的核心价值。此外,本书将讲解现代红队基础设施的构建与维护方法,并讨论如何使用结合传统与新型技术的定制工具和框架。
本书的每一章先介绍核心概念,然后通过详细步骤和实际案例进行深入讲解。
目标读者群
本书适合三类读者阅读:网络安全入门者、计划从事红队评估的网络安全从业人员,以及希望提升专业知识的漏洞挖掘研究人员。
此外,本书还适用于希望在红队评估中使用人工智能技术的安全专家,以及正在组建或提升红队评估能力的机构团队。
学习本书需要具备的基础知识包括:网络、操作系统、网络技术的基础知识,以及网络安全的基本概念和专业术语。
内容结构
第1章:渗透测试、红队评估和漏洞挖掘的演进
本章梳理安全测试领域的发展历程,从最初的基础形态到如今融入人工智能的先进实践。通过分析从漏洞评估到红队评估的演进过程,深入探讨推动安全测试方法、工具和框架发展的重要里程碑。
本章阐述三个关键变革对网络安全行业产生的深远影响:渗透测试框架的不断完善;将物理安全与社会工程学相结合的专业红队评估的发展;推动安全测试更加开放和普及的漏洞挖掘平台的兴起。
第2章:红队评估导论
本章介绍红队评估与传统渗透测试在基本原则和方法论上的区别。通过学习本章内容,读者可以了解红队作为专业对抗模拟团队的运作机制,并掌握任务规划、威胁主体分析、目标设定和行动规范等核心内容。此外,本章还将介绍相关基础框架,并分析这些框架在现代红队行动中的实际应用。
第3章:红队基础设施
本章详细阐述如何构建和维护红队基础设施,主要内容包括设计隐蔽的命令与控制(C2)框架、建立安全通信渠道,并深入分析域名分类、流量重定向以及运营安全等核心技术要素。
第4章:现代红队方法论与工具
本章深入探讨塑造现代红队评估的先进技术体系和工具集。通过分析现代工具对传统攻击框架的优化,系统阐述了在初始访问、横向移动和持久性等环节的高级渗透技术。本章将系统地解析红队评估各个作战阶段的细节。
第5章:社会工程学和物理安全评估
本章重点探讨红队评估中的人为因素,主要从高级社会工程学技术和物理安全评估两个维度展开分析。随着人工智能驱动的行为分析和安全意识培训的普及,社会工程学也在不断革新。本章详细阐述突破现代防御体系的高级身份伪装、钓鱼活动和心理操纵技术。同时,本章讨论如何在确保安全和遵守道德准则的前提下开展社会工程学演练,以获取有价值的评估数据。
对于物理安全部分,本章将系统阐述物理渗透测试的完整方法体系,包括设施访问评估、物理安全防护绕过,以及网络攻击与物理入侵手段的结合使用。读者将学习当代物理安全工具的使用方法、RFID复制技术的操作步骤,以及网络攻击与物理渗透协同作战的方法。
第6章:高级后渗透技术
本章阐述一系列精密的后渗透方法,帮助红队在规避检测的同时维持对目标系统的持续访问能力。主要内容包括内存操作、进程注入和无文件技术等高级技术,同时分析如何规避现代终端检测与响应(EDR)系统及基于人工智能的安全防护工具。读者将学习在高度监控环境下开发和部署能够隐蔽运行的自定义植入程序的方法。本章还将讨论后渗透阶段的操作安全要点,并提供完整的痕迹清理策略,以确保渗透程序长期隐蔽存在。
第7章:AD与Linux环境
本章深入讲解针对现代AD(Active Directory,活动目录)环境和Linux基础设施的高级攻击方法。在活动目录部分,主要介绍域权限提升、凭证滥用以及信任关系利用等复杂攻击技术,并重点分析如何绕过现代安全防护机制。
BloodHound是一款开源工具,用于映射活动目录环境中的关系链和权限结构。该工具运用图论原理,将潜在的攻击路径可视化呈现,这些路径可能被攻击者利用来实现权限提升或网络横向移动。通过对这些关系的分析,BloodHound能够帮助安全专业人员预判攻击者的入侵路径,并发现环境中需要修复的配置错误和安全隐患。作为BloodHound的数据采集模块,SharpHound负责通过查询域控制器和域内系统获取活动目录环境信息。这些采集到的数据会被传送到BloodHound进行深入分析。本章将详细介绍这些工具的使用方法并提供具体实例。
Linux部分则主要介绍现代Linux环境下的高级漏洞利用技术,具体包括容器逃逸、内核漏洞利用以及加固系统中的权限提升等。本章系统性地说明利用Linux系统中的常见配置缺陷和安全漏洞来实施攻击的具体方法和技术路线。
第8章:AI时代下红队评估的发展前景
本章探讨人工智能与新兴技术在红队评估中的应用。通过学习本章内容,读者可以了解人工智能在自动化信息收集、大规模漏洞利用及基于人工智能的社会工程学攻击等方面的实践方式。
第9章:漏洞挖掘与高效信息收集导论
本章系统地介绍在当前竞争激烈的环境下,专业漏洞挖掘的基本概念。通过分析漏洞挖掘项目的发展历程与平台运作机制,对如何打造成功的漏洞赏金猎人职业生涯提供实用指导。
第10章:渗透现代Web应用程序和API
本章介绍一系列用于测试现代Web应用程序和API的技术方法。我们将详细探讨针对现代应用架构的高级攻击手段,重点分析微服务、无服务器函数和GraphQL API等架构
模式。
本章从传统漏洞研究开始,深入分析现代框架、云配置和认证机制等领域出现的新攻击路径。
第11章:自动化漏洞挖掘与AI技术赋能
本章阐述人工智能与自动化技术在漏洞挖掘领域的应用变革,主要内容包括智能扫描系统的构建方法、基于人工智能的漏洞检测工具开发以及可扩展的自动化流水线设计。读者将学习如何整合传统安全工具与人工智能技术,提升安全评估能力。
本书还详细介绍检索增强生成(RAG)技术,并探讨LangChain、LlamaIndex等人工智能框架的具体应用。
|
|
購物車/收銀台(0) | 在線留言板
| 付款方式
| 聯絡我們
| 運費計算
| 幫助中心 |
加入書簽
HOME
新書上架
