從零開始 OCS Inventory:打造資訊資產管理 × 資安CVE漏洞通報(iThome鐵人賽系列書)
♛ 第一本專門為 OCS Inventory 量身打造的本土實戰指南 ♛ 打造專屬於你的資安弱點通報機制 本書內容改編自第15屆iThome鐵人賽IT管理組佳作系列文章《OCS Inventory:開源資產管理解決方案》。不同於艱澀難以理解的官網手冊,帶領您一步一步從系統安裝到實際的應用情境,用系統性並循序漸進的方式教學,是您最適合入門的新手書。 近年來,隨著金管會積極推動強化上市(櫃)公司資通安全管理的措施,證交所及櫃買中心已訂定資通安全管控指引供公司參考。此外,公司治理評鑑指標也將導入ISO 27001等資訊安全管理系統作為加分項目。值得注意的是,ISO 27001:2022新版的控制措施增加了「組態管理」和「威脅情報」。 因此,本書將從資訊資產的「組態管理」開始,教您如何針對各式各樣的資訊設備進行組態盤點,以及如何自動化大量部署或更新等應用,從而大幅提升管理人員的管理效率。再藉由「組態管理」所盤點到的軟體資訊,延伸到與「威脅情報」的整合,可以識別目前企業所安裝的軟體中存在的漏洞並發送告警訊息。 值得一提的是,數位發展部底下的國家資通安全研究院也推出了一套資通安全弱點通報系統,用以協助公家機關落實資通安全管理法中的資產盤點與風險評估。也就是說,按照本書的教學,您也可以打造出一套專屬於自己的資通安全弱點通報解決方案。 重點摘要 ✦ 從零開始入門 搭配實際操作畫面,漸進式學習無負擔 ✦ 設備組態管理 支援多樣作業系統,隨時取得最新組態 ✦ 軟體弱點掃描 整合威脅情資蒐集,自動掃描軟體弱點 ✦ 遠端部屬軟體 代理程式自動派送,強化企業維運效率 本書可以學到哪些知識 ● 盤點伺服器與使用者設備的硬體規格及安裝了哪些軟體 ● 取得最新的 CVE 漏洞資料庫與現行已安裝的軟體進行比對 ● 透過 Grafana 客製化自己的 CVE Reporting ● 透過 Zabbix 監控 CVE 的數量並即時告警 ● 封裝與透過 GPO 軟體派送大量部署代理程式 ● 將已部署的代理程式進行版本升級或降級 ● 使用代理程式遠端部署或移除相關應用程式 ● 使用代理程式遠端執行 PowerShell 與 Windows 執行檔 ● 使用代理程式遠端部署檔案或資料夾 ● 安裝外掛程式來取得 Office 授權金鑰確認是否有人私自使用盜版的金鑰 ● 使用 IP Discovery 來檢索所有的連網設備與生成企業網絡地圖 ● 使用 SNMP Scan 來增強 IP Discovery 獲得更多的識別資訊 目標讀者 .想要導入ISO 27001的企業 .企業的資安專責人員 .企業的系統管理人員 .想了解組態管理的組織或個人 .對威脅情報有興趣的組織或個人 專業推薦 在廣大的企業環境中,IT 資產盤點永遠是難以被滿足的需求之一,除了功能滿足之外,還有經費不足等等各種內部問題。好在 Ivan 願意把他在 OCS Inventory 上的寶貴應用經驗分享成書,讓我們多出強大武器應對各種 IT 環境的難題,包含看板設計與安裝派送教學,甚至連整合 CVE 達成 VANS 的資安整合應用都做到了,簡直是 IT 單位必備良藥!──── 鄭郁霖 Jason Cheng(節省工具箱有限公司 技術總監/中華民國軟體自由協會 常務理事)
Beyond XSS:探索網頁前端資安宇宙
☆★☆★☆原理說明 x 攻擊技巧 x 防禦手法 x 實際案例☆★☆★☆ ☆★☆★☆系統性學習網頁前端知識以及資安☆★☆★☆ ☆★☆★☆從資安角度重新學習網頁知識☆★☆★☆ 相信我,前端工程師所接觸到的前端,只是整個網頁前端的冰山一角。 曾經我以為自己很懂前端,做過了幾個專案,當了幾年的工程師,想說前端不就這樣嗎,直到我接觸了資安,才發現自己傻得可以。 從前端資安的角度切入,帶我看到了以前不會看到的東西,讓我更了解整個瀏覽器跟各種機制的運作,並且把這些知識再帶回前端,完整了自己的前端知識圖譜。 這是一本從網頁學習資安,也從資安學習網頁的書籍,無論是對網頁還是對資安有興趣,一定都能開拓視野並得到收穫。 &
二進位安全基礎:回歸電腦最原始的加密機制
★二進位安全概述 ★基底資料型態 ★運算式,流程控制 ★函數,變數 ★陣列和指標,結構 ★C++反組譯 ★其他程式設計知識 ★二進位漏洞挖掘 ★軟體逆向分析 本書為二進位安全技術知識普及與技術基礎教程,不僅能為初學二進位安全技術的讀者提供全面、實用的C語言反組譯知識,而且能有效培養讀者的漏洞挖掘和軟體逆向分析基礎能力。全書共12章,內容包括二進位安全概述、基底資料型態、運算式、流程控制、函數、變數、陣列和指標、結構、C++反組譯、其他程式設計知識、二進位漏洞挖掘(PWN)、軟體逆向分析。本書適合二進位安全初學者和網路安全從業人員,也適合作為應用型網路空間安全、資訊安全類專業的教材。 &
工控資安銳視角:石化場域 OT / ICS 學習筆記
工業控制系統安全解析深入OT技術與攻防實作本書專注於工業控制系統安全,內容涵蓋操作技術(Operational Technology, OT)的多個方面。OT是工業控制系統的核心,包括 ICS(工業控制系統)、PLC(可編程邏輯控制器)、DCS(分散式控制系統)、HMI(人機介面)與 SCADA(監控與資料收集系統)等眾多元素。本書從煉化廠的製程視角,探討工控系統的底層協定,並將場域模擬成靶機,利用 Python 程式進行靶機攻擊,進而反思藍軍的防禦概念。❑ 第一單元:工業控制這一單元將深入介紹工業控制系統的各個部分,從 OT 安全到具體的控制系統元件,如 ICS、DCS、SCADA 及 PLC。學習內容包括 PLC 階梯圖、AB 接點操作,並解釋各種專業術語的差異性以及如何使用 NodeMCU 進行模擬。此外,還將涉及到工控領域的通訊協定,包括 Modbus、OPC UA、S7Comm、IEC-104、DNP3 等協定的訊框分析。❑ 第二單元:煉製石化廠域本單元介紹煉製石化廠的操作過程,從蒸餾工場、裂解工場到油氣純化等 16 種不同的操作工場,以及油槽區的基礎知識。此部分同時探討工場的工業控制架構。❑ 第三單元:藍軍與紅軍在此單元學習 ICS 的網路入侵檢測技術及針對協定的攻擊方法,包括分析著名的網路攻擊案例。此外,還將介紹如何使用 Shodan 和鍾馗之眼 ZoomEye 等工具來偵測潛在的安全風險,並強調作為一名優秀藍軍的重要概念:知己知彼。❑ 第四單元:實作最後,本書透過從 Lab1 到 Lab10 的系列實驗,帶領讀者完成 STRIDE 模型的攻防學習,實際應用前面單元的理論知識。並且提供線上影片觀看,可以先預覽後,再對照本書進行實作。書本的文字說明結合影像,學習上會比較順手。透過這本書的學習,讀者能夠全面了解並掌握工業控制系統的安全操作與防護策略,為在高風險工業環境中的安全保護打下基礎。目標讀者a.石化資安專題的高中、大專學生b.從資訊安全到工控安全的跨領域學習者c.針對工控與資安領域的碩博士生d.有志進入油水電的資訊與程控人員e.對工控安全有興趣的人☑&本書為國立成功大學【石化資安實務專題】指定用書專業推薦&本書從普渡模型的解析、工控的通訊協定到著名的 ICS 攻擊事件,作者系統性地介紹了從底層協定到資安事件的整體知識。這本書不僅適合工控資安人員,也非常建議管理階層閱讀,以提升對工控系統安全的資安意識。因此,我推薦這本書給所有有志於進入關鍵基礎設施工作的專業人士,無論你是基層人員還是管理階層,都能從中學習工控安全基本知識,期盼這本書能協助更多人認識到工控資安的重要性,共同提升工控安全水平,實現企業永續。——許晋榮|台灣中油公司副總經理暨煉製事業部執行長工控安全是跨領域的人才,本書介紹了機電系應具備的 SCADA、DCS、PLC 等工控系統的運作基本原理,還結合了資訊安全的微軟 STRIDE 模型、KALI,ESP32 與 OpenPLC Runtime / Editor 等軟硬體整合的攻防框架,並用 Python 的 Scapy 工具進行實作,加上煉製工場的介紹,使讀者能夠在攻防模擬實驗中學習,同時體會煉化廠的規模。在十個工控模擬實驗中,讀者能夠親身體驗藍軍與紅軍的攻防對抗,極大地提升了學習的實戰性和趣味性。——李南逸 博士|國立成功大學計網中心教授兼網路與資安組組長工控系統(Industrial Control Systems, ICS)的安全議題涉及到許多層面,這些系統通常用於工業自動化和關鍵基礎設施中,如能源、製造、交通和水處理等。這些議題與民眾生活習習相關。因此,提升這些系統的安全性是至關重要的。此外,最令我印象深刻的是,書中設計了十個工控模擬實驗,帶領讀者完成 STRIDE 模型的攻防學習。這些實驗設計精巧,模擬了實際的攻擊場景,讓讀者能夠親身體驗駭客攻擊手段,進一步了解實際攻擊狀況。——蔡家緯 博士|國立台中科技大學 副教授兼網路工程組組長對於關鍵基礎設施來說,無論複雜度高低,都同樣重要,皆關乎民生的基礎設備。有別於 IT 領域的安全需求,在 OT 領域中,Safty 才是主要的議題。作者在書中介紹了工控領域常見的 SCADA、DCS、PLC 系統,並製作靶機以學習攻防技術。在十個工控模擬實驗中,透過軟硬體模擬成的 ICS 基本架構 Level 0 - 2,讓讀者能夠用駭客工具進行攻擊,深入理解攻防技巧。——劉奕賢 博士|國立成功大學電機工程學系助理教授 兼 資通安全研究與教學中心副主任未來,工控系統的安全威脅將越來越多樣化和複雜化。我相信透過《工控資安銳視角:石化場域OT/ICS學習筆記》,我們能夠全面了解並應對這些挑戰,這本書將會是一本重要的工具書。我推薦這本書給所有關注工控系統安全的專業人士和學術研究者。希望這本書能在工控系統安全領域產生深遠的影響,並促進國家關鍵基礎設施的安全提升。——郭文中 博士|國立雲林科技大學資工系教授在大林廠打拼 20 餘年,見過許多工場因人為因素所造成的工安事件,都是由一連串疏忽所導致不可逆的災害;工控是整個煉製的核心,隨著時間推移,有許多人力斷層造成了新舊世代青黃不接的問題。個人認為這本書除了能帶來工控安全上經驗的傳承,在作者有系統的梳理下,更是填補了工控系統安全知識的一大空白。——羅國暉|台灣中油煉製事業部大林煉油廠 副廠長暨資安長
Notion全方位管理術:任務管理收支記帳知識筆記ChatGPT Notion AI(iThome鐵人賽系列書)平裝
★☆★佳評如潮,熱銷再版!★☆★ 用 Notion 打造高效工作流! 脫離模板伸手族,為你自己真正學習一次 Notion! ★ 深入探索 Notion 的各種功能和應用場景 ★ 讓你學會用 Notion 製作甘特圖、數位花園、任務同步 Google 日曆 本書內容改編自第 14 屆 iThome 鐵人賽 IT 管理組的優選系列文章《從零開始學 Notion,打造你的 All-in-one 管理系統》。本書從零出發,詳細說明 Notion 的各種功能與邏輯。針對不同的場景與功能深入設計,讓讀者學習後能夠真正應用到自己的生活中,打造專屬於自己的系統。除此之外,本書示範了透過 API 串接各種不同的工具,並巧妙運用 ChatGPT、Notion AI 來讓工具變得更聰明方便。 本書首先將 Notion 的各種基礎元素拆解說明,為你打下操作基本功;隨後邁向進階應用,完整介紹各種最新的高級功能與其應用,包含最新的 Notion AI、Formula 2.0、Button、Automation 等;最後結合 Notion、Make、Zapier、Siri、ChatGPT 等工具,依照財務管理、團隊協作、個人成長等不同場景,實作出記帳系統、任務看板、文案助手、智能日記、數位花園等。 四大重點 ☑ 淺顯易懂 內容直觀好理解,小白也能迅速上手 ☑ 說明清晰 豐富圖文 + 邏輯拆解,讓你輕鬆舉一反三 ☑ 動手操作 20 個實作範例,靈活應對多元情境 ☑ 多元串接 串接各式工具,打造你的無限可能 目標讀者 ● 想學 Notion 卻不知從何開始的新手 ● 有許多筆記需要記錄、整理的學生 ● 想有效管理內容創作流程的創作者 ● 希望輕鬆管理團隊進度的項目經理 ● 想將各種工具串接到 Notion 的專家 ▍書中範例檔連結請見附錄,或至博碩官網「書籍附件內容」查看。 專業推薦 「本書從技術角度教我們活用 Notion,幫助打造一個更自動化的系統!」──── Esor │ 電腦玩物站長 「這本書是一本兼具『說明操作步驟』與『實戰應用』的好書。不論你是想快速摸透 Notion,還是想要知道 Notion 的更多應用方式,都可以在這本書中有所收穫。」──── 朱騏 │ 卡片盒筆記法專家、軟體技術寫手 「揭開 Notion 的神秘面紗!這本書將帶你深入探索區塊和頁面的強大功能,並巧妙運用 Notion AI,讓你的組織和管理工作變得輕而易舉。」──── 張永錫 │ 時間管理講師 「《Notion 全方位管理術》提供了對 Notion 從基礎功能到進階 API 的全面指南,是一本實用性極高的工具書。它不僅解釋了操作過程,還附有豐富的實例,讓讀者能夠理解並快速運用 Notion 於日常生活與工作中的各種項目。非常推薦給所有想要深入了解並有效運用 Notion 的讀者。」──── 槓桿生活 QQ │ YouTuber Notion Ambassador 「這本書不僅涵蓋了 Notion 的基礎功能,還深入介紹了串接 API、自動化等進階技巧,這對於優化我的工作流程非常有幫助。如果你想要系統性地學習如何建立自己的 Notion 知識系統,這本書能完全滿足你。」──── 蔡旻錫 │《Brief AI 電子報》Founder (依首字筆畫排序) &
人手一本的資安健診實作課:不是專家也能自己動手做!(Win10 / Win11適用)【暢銷回饋版】
資安防護必備好書——暢銷回饋中! 找出問題,提前防範! 在個人電腦上建立具備韌性的自我防禦網 資訊安全,是指對於企業或個人有價值數位資產的保護,達成機密性、可靠性、可用性的目標。資安健診則如同健康檢查;尤其是在 IT(資通訊)環境中,通常富含大量且有價值的數位資產。 以「Windows 桌機」為主要資安對象,輔以「伺服器及網路(含封包)分析」來做資安,是本書創新的嘗試!過往資訊人員導入許多資安系統,是為了保護資訊資產;但組織中最能夠產生資訊資產的不是伺服器而是使用者的電腦,而社交工程或變臉詐騙、APT 先進持續攻擊的對象也是以使用者為主。所以本書的初始設定,就是為了讓每個人都能自行或者是在單位資訊人員的協助下,進行資安健診。 本書分成「網路拓撲和封包分析」、「更新與防毒」、「伺服器與資料庫資安」3 個領域,讓讀者快速檢視自己在職場上所缺少的資安 Knowhow,並教你使用「Windows內建工具」及「網路下載小工具」來進行資安健診,強化資安體質。 本書特色 ❑ 善用 Win10 內建指令,資料收集自動化 以前處理辦公室的資通安全稽核,多採用截圖方式,電子化程度偏低。故本書撰寫之初,就確立透過Win10 提供的系統工具,自動產生資安健診所需資訊。 ❑ GCB 政府組態設定 政府組態設定是行政院技術服務中心為作業系統、伺服器、網通設備的資訊安全設定提供很完整的規範,而且時時在更新。但是一方面這些設定數量龐大,二方面設定後可能影響系統現有運作。所以我們必須結合眾多資訊人員的力量,來作好依循政府組態設定的工作。 ❑ 分析網路封包 書中會介紹 Wireshark 的網路封包分析,並且加上封包的地區標誌(例如來自中國或東歐的封包就需要特別注意)。另外也會介紹封包分析的進階練習網站。 ❑ 提供本書讀者雙向互動機制 資安攻擊行為,會進行長期的潛伏,只要及時阻斷就能避免對企業產生重大損失。本書提供和資訊人員互動的 Google 表單,可以將本書中所操作的資安健診資料提出詢問,透過互動來防範資安危機,資安情資也可以透過互動而彼此提醒。 透過本書你可以學會 —— 網路的架構|監聽與分析封包|分析網路設備的紀錄檔|檢視惡意程式或檔案|防範加密勒索攻擊 專業推薦 作者在本書中透過可實作的易懂圖文表原則,來豐富普羅大眾的資安防護知識。是市面上少數針對工作上離不開使用電腦資訊,以非資訊專業上班族為對象的資安實務操作書。身為資安老兵非常樂於推薦。—— 李建隆|台灣電力公司資訊處副處長 這本書的難能可貴之處,在於從平易近人的切入角度,讓非資訊人員也能理解與操作;尤其在資安法規及供應鏈資安的逐步要求下,對於缺乏資訊資安人員的中小企業來說,是隨時可上手的資安健檢的知識來源。—— 毛敬豪|資策會資安所前所長 本書圖文並茂,以目前國內最普遍使用的Windows環境作為範例,一步一步的帶著讀者,從安裝軟體到使用軟體,讓一般使用者都能按圖索驥,把資訊安全的相關軟體安裝在自己的電腦上。即使身旁沒有專業的資訊人員,也可以自行DIY做資訊安全健診,找出問題、提前防範。—— 魯明德|桃園市中小企業榮譽指導員協進會 2018會長 本書以一般員工為對象,明確且具體地介紹資安健檢的用意及目的,也提供詳細的操作步驟,讓讀者可以按部就班地看著本書就能學習操作,並配合完成資安健檢工作。此外,本書還提供了各種表單可直接應用在實務工作上,若有導入ISO27001的機關或公司即可直接引用,這將減少資訊人員許多燒腦的書面作業,堪稱是資安健檢的入門教科書也不為過。—— 粘良祁|彰化基督教醫院資安中心主任 目標讀者 ・Win10 / Win11平台的使用者 ・對資安有興趣的組織或個人 ・大專院校資管或資工科系師生 ・負責單位ISO27001的網管或資安人員 &
資訊安全概論與實務(第四版)(含ITS Network Security網路安全管理核心能力國際認證模擬試題)
*國內資訊安全經典/暢銷第四版「資訊安全」是一門綜合科學,在學習資訊安全領域上,涵蓋了管理面、策略面、技術面等方向,需要從基礎理論的建立延伸到解決實務應用問題,從數位邊界、管理制度到掌握駭客攻擊手法缺一不可。 主要寫給三種類型的讀者: 第一種是在大專、技職院校修習資訊安全課程的學生,可以當作教科書或參考書。 第二種是從事資訊與資安相關工作的專業人士,透過實務的介紹,對於資訊安全所涵蓋的政策面、管理面以及技術面的問題,能夠有更深入的瞭解。 第三種是想要考資訊安全專業證照的讀者,本書提供ITS Network Security網路安全管理核心能力國際認證模擬試題,可累積資訊安全知識、提升實力,取得國際專業證照。 本書學習架構: 第一篇 資安認知與風險識別 資安威脅來自於系統平台、應用程式的弱點,以及使用者對於資訊安全的認知不足,對於資料的保護、資安事件的處理、惡意程式的發展、社交工程與網路攻擊等事件的威脅,掌握資安風險的來源,以及識別可能帶來的影響與衝擊,都是面對資安的議題時,必須考量的關鍵項目。 第二篇 信任與安全架構 建立使用者的身份認證、授權使用的權限以及建立存取控制的機制,以對應資訊安全架構與設計的原則,從國際標準管理系統到建立安全等級與評估準則,透過密碼學來建立資通訊系統基礎的架構,在網路模型各個不同的階層建立對應的資安防護措施,以提供安全的運作架構。 第三篇 數位邊界與防禦部署 面對強化的駭客與網路攻擊威脅,強化數位邊界與防禦部署的能力,以確保在資安威脅的衝擊下仍能持續運作,熟悉資安設備的角色與能力,將有助於將正確的防禦機制部署在正確的位置,強化多層次的防禦機制,建立網路、系統、端點等防禦的能量,以資安威脅情資建立防禦機制。 第四篇 資安管理與未來挑戰 面對資安的威脅,透過營運管理機制以及資通安全相關的法規,可以建立有效的管理制度,並且參考國際資訊安全組織的發展趨勢,掌握最新的駭侵威脅,對於新型態的攻擊手法,必須涵蓋雲端應用服務、物聯網安全與管理等面向,才能夠面對未來的挑戰。
駭客廝殺不講武德: CTF強者攻防大戰直擊
世界頂尖駭客高手齊聚一堂,線上線下互相攻防, 從Catch The Flag生死大戰,讓你知道,你自以為幸福快樂又安全的網路,是多麼的不堪一擊! CTF(Catch The Flag)是電腦史上最著名的安全攻防大戰,由全世界最強的暗黑高手所組成的團隊,互相進行接化發攻防戰。這些厲害到沒有天理、喪盡天良的駭客,可以幾秒鐘就癱瘓成千上萬台防密嚴實的主機,你能想到的安全防護措施,在他們眼中都如同吃飯般容易攻陷,你想了解他們的攻防手段嗎?你想成為他們的一員嗎?本書由獲得多次世界大賽冠軍的Nu1L團隊撰寫,真槍實戰的把駭客每天都在用的技術完整傳授,從Web各種服務,伺服器的基礎、進階、擴充開始,一直到Windows、Linux的漏洞,再加上對各種程式語言的深度了解,如Java, C/C++/C#,CTF的成員就是強的可怕,史上第一本針對這些人的技術,知識,工具大解密,更可以幫助你加強了解網路安全的重要。 本書主要針對CTF入門者,融入了CTF比賽的各方面,讓讀者可以進行系統性的學習。本書包含13章內容,技術介紹分為線上賽和線下賽兩部分。線上賽包含10章,涵蓋Web、PWN、Reverse、APK、Misc、Crypto、區塊鏈、程式稽核。線下賽包含2章,分別為AWD和靶場滲透。第13章透過Nu1L戰隊成員的故事和聯合戰隊管理等內容來分享CTF戰隊組建和管理、營運的經驗。 &
開放授權實戰 - OAuth2最新應用場景開發
本書介紹了關於OAuth 2及其應用於開放平台,全書共分8章。 第1章介紹了OAuth 2的四種授權模式,為後續章節奠定基礎。 第2章簡述開放平台的架構和系統組成,給出開放平台功能的宏觀概念。 第3章從實戰角度詳細介紹OAuth 2在開放授權系統中的應用,包括流程、參數及四種授權模式的變種。 第4章討論了OpenID的整合,儘管它不屬於OAuth 2標準,但在開放平台業務中扮演重要角色。 第5章專注於基於授權碼的授權模式,探討生成回呼地址和code的方法。 第6章介紹授權過程中使用的加密和簽名算法,以及授權資訊的更新支持。 第7章比較了不同類型的授權資訊,幫助讀者根據實際情況選擇。 最後,第8章提供基於Spring Security實現OAuth 2四種標準授權模式的範例程式,供讀者參考。 本書特色 ★OAuth 2完整詳細說明 ☆開放平臺架構,API閘道系統 ★授權模式,獲取code,授權用戶端及密碼模式 ☆OpenID連接OAuth 2,雪花及Hash演算法、UnionID ★授權碼回呼位址實際範例、FaaS介紹 ☆簽名演算法 ★授權資料、access_token詳解、JWT實戰 ☆以Spring Security為基礎的OAuth 2實戰 &
Vue3 從零開始:基礎邁向實務
「網頁前端開發者的第一本書」 ★架構完整,包含Option與Composition的語法結構 ★部署方案,包含兩大雲端服務的部署方法 ★CSS整合,包含兩大CSS框架的整合說明 ★實務應用,最常用的網頁UI應用方式 前端開發是入門程式語言世界最簡單的方式,而Vue3在最近幾年異軍突起,讓想要學習前端開發的工程師有一個更容易的方式進入這個世界。 本書涵蓋JS的基本語法介紹、Vue3的兩大語法Option與Composition基本介紹、網頁路由概念、部署到Firebase與Netlify雲端服務上、Server API 的串接、雲端服務Firebase SDK與Back4App SDK的串接、CSS框架Bootstrap與Tailwindcss的整合、daisyUI的基本用法、實務應用、動畫與SSR的使用等。 本書主要是針對想要學習網頁前端的開發,而又不知道如何開始的開發者,有一個非常基礎且入門的開始,從不會到會,從零開始學習Vue的網頁開發。如果你對於程式語言非常有興趣,又或者是轉職的朋友們,卻不知道從何開始,那就從學習前端開發開始吧。希望本書可以扮演一個敲門磚的引入者,帶領你進入這個奇幻的開發世界。 &
CYBERSEC 2024 臺灣資安年鑑:AI資安2024 徹底剖析生成式AI資安攻防態勢
掌握近期企業重大資安事故以及資安防禦觀念,有助於企業了解即將面對的各種挑戰以及如何因應。
威脅建模|開發團隊的實務指南
「對於那些參與系統開發或關注如何降低系統風險的人,這是一本必看的書籍」 -Alyssa Miller, 駭客暨資訊安全傳教士 「對於專注交付安全性設計的讀者,本書將威脅建模方法與現代軟體的開發方式保持一致,是一本全方面比較威脅建模技術的書籍。」 -Brook S.E. Schoenfield, 《Securing Systems: Applied Security Architecture and Threat Models》作者,資訊安全架構師 在軟體開發生命週期中,威脅建模往往是最基本但卻容易被誤解的一環。無論您是資訊安全從業人員或開發團隊成員,本書將幫助您更好地理解如何應用威脅建模的核心概念,在實務上保護您的系統免受威脅。 威脅建模技巧旨在編寫代碼之前,以具有成本效益的方式發現和解決潛在問題。使用威脅建模技術並不需要高階資安知識,也不需要付出鉅額維護成本。本書作者Izar Tarandach和Matthew J. Coles在本書中介紹了可以在您的組織中處理和執行威脅模型分析的各種方法。 ‧探索用以保護資料和系統功能的威脅建模基本特性及機制 ‧了解保護機制、隱私性、和安全性之間的關係 ‧識別評估系統安全性的關鍵特徵 ‧深入認識用於威脅模型分析系統的流行和專業技術 ‧眺望威脅建模、敏捷開發(Agile development methodologies)和開發維運自動化(DevOps automation)的未來發展 ‧查找常見問題的答案,包括如何避免常見的威脅建模陷阱
乾脆一次搞清楚:最完整詳細網路協定全書(第二版)
本書有以下幾個特點。 第一,會從身邊經常見到的事情出發,用講故事的方式來說明各種協定,然後慢慢擴大到不熟悉的領域。舉例來說,每個人都會使用檢視IP 位址的指令,我們就從這個指令開始,說明一些相關概念。每個人都在大學宿舍組過簡單的網路來打電動,我們就從宿舍網路有關的最簡單的網路概念開始講,然後說到辦公室網路,再說到日常常用的與上網、購物、視訊下載等活動相關的網路通訊協定,最後才說到最陌生的資料中心。說到這裡的時候,很多概念已經在前面的「宿舍」和「辦公室」的實例中都出現過,因此更容易接受和了解。 第二,說明網路通訊協定時會更加接近使用場景,將各個層次的關係串連起來,而非孤立地說明某個概念。常見的電腦網路課程常常會按照網路分層,一層一層地講,卻很少講層與層之間的關係。舉例來說,我們在學習路由式通訊協定的時候,在真實場景中,這麼多的演算法和二層是什麼關係呢?和四層又是什麼關係呢?再舉例來說,我們在真實的網路通訊中造訪一個網站、進行一次支付,那麼在TCP 三次驗證的時候,IP 層在做什麼? MAC 層在做什麼?這些內容本書都會逐一說明。 第三,在說明完各個層次的協定之後,會說明如何在目前熱門領域(例如雲端運算、容器和微服務)中使用這些協定。透過學習本書,讀者一方面可以了解這些網路通訊協定的真實應用場景,另一方面也可以透過上手使用雲端運算、容器、微服務來進一步加深對於網路通訊協定的了解。 透過學習本書,讀者一方面可以了解這些網路通訊協定的真實應用場景,另一方面也可以透過上手使用雲端運算、容器、微服務來進一步加深對於網路通訊協定的了解。 &
WordPress網站架設實務:活用網站客製化、佈景主題與ChatGPT外掛開發的16堂課
以專業站長會用到的技能為主軸,由淺入深地藉由實作 瞭解WordPress的網站架設技術, 並善用AI的協助,創造出客製化的專業網站 藉由本書學會: ⌖ 各種作業環境的網站安裝技巧 ⌖ 全新的區塊編輯器與視覺化網頁編輯工具的使用 ⌖ 在網站中自由地使用HTML/CSS技巧 ⌖ WordPress的架構與核心作業流程,並進階熟悉好用的工具類外掛 ⌖ 使用簡短的PHP程式碼增加網站功能 ⌖ 利用ChatGPT、Copilot等AI工具,建立獨特的佈景主題和外掛設計 ◇Github範例連結◇ github.com/skynettw/book-mP22350 WordPress在CMS系統中的佔有率已超過60%,全世界超過40%的網站是使用WordPress架設的,學會WordPress的相關技術,就掌握了在網站世界中的一項重要技能。本書將讓您紮實學到所有WordPress的技術,搭配實作訓練,你將有能力依據不同的網站型態需求,修改或建立全新的佈景主題、修改WordPress內的程式碼、設計新的外掛、增加網站功能…等,創造符合自己需求,又不會和別人「撞臉」的專業網站。只要你有程式語言的基本概念,再加上AI工具的助力,本書就是教你打造客製化WordPress網站的最佳入門書,也是維護WordPress網站的實用工具書。全書區分四大重點: [1]WordPress架構剖析與網站設計基礎 學習各種安裝WordPress的方式,從在自己的電腦中安裝練習用的WordPress系統開始、在虛擬主機上一鍵安裝、甚至使用業界流行的Docker容器技術等,廣泛瞭解WordPress作業環境後,再探討資料庫、檔案、目錄結構等等,讓讀者清楚掌握系統架構,為維護及開發網站打下基礎。同時也說明如何在WordPress網站中利用HTML/CSS/Javascript/jQuery/AJAX等技巧,提升網站與使用者的互動性。 [2]WordPress佈景主題製作基礎 從介紹佈景主題的基礎知識及學習視覺化網頁編輯器開始,並學習簡要的PHP程式設計技巧,打下自訂佈景主題的能力。同時會教讀者如何從無到有,透過好用的工具建立全新的佈景主題,以及說明如何在Visual Studio Code中善用Copilot協助佈景主題的開發工作。 [3]佈景主題製作進階 有了建立佈景主題的經驗後,就要學習更深入的PHP程式技巧,並透過各個面向,熟悉建立佈景主題的各種實用方法,運用工具的協助,打造出適合自己的佈景主題。 [4]WordPress外掛設計基礎與實務 透過累積的程式設計經驗,學習用PHP程式碼為網站增加功能,設計出許多實用的外掛和小工具。此外,也以實例來學習利用自定義文章型態,建立具有更強大功能的外掛。最後提出維護WordPress網站的重要知識技能,並介紹AI在WordPress上的應用,以及製作具備AI功能的外掛。 本書特色 ✜ 使用WordPress 6.x最新版本。 ✜ 詳細介紹使用Visual Studio Code的開發環境。 ✜ 提供使用Docker安裝WordPress的方式。 ✜ 介紹GitHub的Copilot的使用。 ✜ 在GitHub上提供原始程式碼。 ✜ 說明使用OpenAI API(ChatGPT)的外掛,智慧聊天和智慧產生內容。 ✜ 提供使用OpenAI API(ChatGPT)外掛的製作方式。 &
K8S自學聖經:10大核心模板快速入門【圖解教學】
★★★《AWS自學聖經》作者Sam T.全新作★★★ ★★★圖解教學★★★ ✦什麼是K8S? K8S全名為Kubernetes,是一套容器化管理框架,常與Docker等技術一起運用。近年來隨著容器化技術的成熟,各大雲端商紛紛提供K8S平台,比如說AWS EKS、GCP GKE等,來應付高漲的容器部署需求,可見K8S已成為全球企業最愛技術之一! ✦你將能學習到 ▌Docker 10大常用指令,入門容器化領域 ▌K8S 10大核心模板,精通運算、網路、儲存等容器資源部署 ▌AWS EKS雲端部署,成為企業界最愛的「雲端+容器」人才 本書特色 本書以清晰易懂的圖解方式,帶領讀者由淺入深的開始學習。同時精選了Docker 10大常用指令及軟體業界中最為實用的K8S 10大核心模板,讓讀者用最短的時間學習到最有用的內容。 透過本書,讀者將能確實掌握Docker、Minikube、以及Kubernetes各種核心模板的撰寫與部署,並在AWS雲端上進行完整部署,最終將所學運用在實務工作上。 &
現代系統管理|可靠及永續的系統管理
學長幫幫我!系統複雜又混亂,該如何可靠且持續地維護系統? 本書是由資深運營工程師Jennifer Davis精心打造的實用指南 提供現代系統管理所需的實用技巧 無論新手還是老手,本書都有值得您深入理解的價值! 「Jennifer是科技界一道耀眼的光芒,她為傳統帶來了積極和開闊的視野。在這本書中,她澈底探索了專業系統管理的各個面向,從網路基礎知識到像容量和事件管理這樣的社會技術因素。無論您是剛開踏上這條路還是在這條路上已走了數十年,這裡都有值得學習的東西。」 — Amy Tobey Equinix資深首席工程師 系統基本上是複雜且混亂的。隨著技術、工具和服務的演進,該如何可靠且持續地維護系統呢?在這本實用指南中,作者Jennifer Davis詳細描述現代場景、環境、實踐和技術,為系統管理員和注重可操作性的開發人員指引明確的方向。 本書不僅關注於每一種可用工具和服務的細節,還分享了系統管理的技術、實踐和決策背景,讓您能夠理解各種選擇,並決定何者對您的系統最為適合。 本書內容: ‧系統推論:探索系統基本原理,理性思考您的選擇,並了解各個組件如何相互連接 ‧實踐方式:透過實踐提高系統的可靠性和持續性,減少技術演進對認知的影響 ‧組建系統:定義您的系統,最終以可重複且一致的方式自動化(並測試)系統基礎設施,從而降低維護成本(無論是金錢成本還是人力成本!) ‧監控系統:識別監控策略、評估當前的監控工具和框架,並管理監控資料 ‧系統擴展:透過容量規劃、具有彈性的值班方式和強化應變能力來提高可持續性
CI/CD安全防護大揭密:DevSecOps最佳實踐指南
本書涵蓋 DevSecOps 理論、策略與實踐 從觀念到實作,打造安全 CI/CD 管道流程 & 本書是台灣首本詳細探討 DevSecOps 的書籍,不僅解釋了 DevSecOps 的核心概念,也從人員、流程和技術的面向探討 DevSecOps 的實踐與挑戰。 & 書中詳細介紹了 DevSecOps 的所需知識與技能,為組織和個人提供了一條明確的成長和提升路徑。無論你是資訊安全的新手,還是經驗豐富的專家,本書都將是你不可或缺的指南。 & 【目標讀者】 • CISO/CTO/CIO • DevOps 人員 • DevSecOps 人員 • 開發、測試以及維運人員 • SRE 人員 • 資訊安全顧問 • 對 DevSecOps 感興趣人員 • 對敏捷軟體安全開發感興趣人員 • 想提升 CI/CD 安全性的人員 & 專業推薦 & 我極力推薦這本書給所有關心軟體開發安全的讀者。本書深入解析 DevSecOps 的各個層面,從基本概念、CI/CD 管道保護,到新興技術的安全開發。——勤業眾信 風險諮詢服務 資深執行副總經理 | Ike Chen 陳威棋 & 這本書無疑可以被稱作是 DevSecOps 領域的百科全書,為讀者提供了一個關於如何建立、執行並優化DevSecOps的全面指引。——AWS Security Hero/DevSecOps Taiwan 社長 | Ray Lin 林家瑋 & 本書含括面向完整,推薦給想要入門安全開發或深受安全開發議題困擾的讀者。又或者如果去年的你沒有讀到一本乾貨滿滿的資安書籍、或者今年你需要一本扎實的資安書籍醒腦,這本書都相當適合的喔!——恆逸教育訓練中心 資深講師 | Vincent Tang 唐任威 & &
誰說資安寫不了情書
☆如何用資訊安全的觀念寫出情書☆ 誰說資訊從業人員寫不了情書。 那古老的密碼,流動於數據之間,只為了與誰相遇而存在。 不是陽光灑落的光芒,是妳微笑時,讓我忘了黑暗築起的高牆 不是月下拂過的清涼,是妳指尖的方向,撐起了讓我仍願意在此的嚮往 資訊人寫出的情書,是很資訊人的情書,本書的主人公Allen,在八個章節裡與各路資訊從業人員碰撞、合作、鼓勵及相互扶持讓他的資訊人生很人生。 本書包含資訊系統運作時的觀念、專有名詞介紹、debug時的盲點及致敬奇摩聊天室的情懷,和幻想未來可能會出現超越ChatGPT的AI對話系統。 踏入資訊領域可能像是踏入不歸路,但這條路不一定是枯燥煩悶,也可以是對未來充滿期待對自己充滿信心。 駭客の嘆息 如果,我留下足跡,卻無人發現,算不算可惜。 如果,我遇見了我的足跡,卻渾然不知,何以證明,是我的曾經? 消散的過往,此刻的心情 阻擋不住,歡與悲的交集 所以 我留下足跡 那日後迷惘時 可以回想的曾經 &
從異世界歸來發現只剩自己不會Kubernetes:初心者進入雲端世界的實戰攻略!(iThome鐵人賽系列書)【平裝】
佳評如潮!熱銷再版(平裝版) ★☆★ 銷售排行榜冠軍 TOP 1 ★☆★ ▍覺得 Kubernetes 門檻太高?那你找對地方了! ▍九大核心主題,由淺入深逐一擊破! 本書內容改編自第 14 屆 iThome 鐵人賽 DevOps 組的優選系列文章《從異世界歸來發現只剩自己不會 Kubernetes》。此書是一本綜合性的指南,針對想要探索認識 Kubernetes 的技術人員而生。無論是初涉此領域的新手,還是已有深厚經驗的資深工程師,本書都能提供你所需的知識和技能。 本書致力於使讀者可以由淺入深,全面了解 Kubernetes 的各個面向。從基礎的概念開始,逐步深入至進階技術和策略,每一章都根據主題進行有組織的切分,以確保讀者不僅能建立堅固的基礎,還能進一步掌握要點。 在這本書中,作者展示自己在業界的實戰經驗,並精心策劃九大核心主題,引領讀者從 Kubernetes 的初步探索邁向深入的實戰應用。不僅涵蓋初學者的基礎知識,更延伸至實務部署策略,進階的權限管理,以及資源分配的技巧。每一頁都充滿了真實世界的寶貴經驗,等待著你來發掘和學習。 四大重點 ☑ 漸進式學習 艱澀觀念都能迎刃而解 ☑ 主題式攻略 專題深度剖析,策略全面掌握 ☑ 提供實作範例 大量實作範例,讓你寫得順看得懂 ☑ 過來人甘苦談 記錄從學廢到學會的心路歷程 目標讀者 ● 想要快速掌握 Kubernetes 概念和技巧的初學者。 ● 已經有 Docker 或是微服務基礎的後端工程師。 ● 想要在 Kubernetes 部署和管理應用程式的 DevOps 工程師。 ● 想要了解 Kubernetes 原理和架構的軟體工程師。 專業推薦 「這本書不僅提供了豐富的範例程式碼和操作指南,讓身為工程師的我們能實際操作來加深認知;更重要的是,它教會我如何從後端工程師的角度去思考和應用 Kubernetes。從容器的生命週期、資源管理到部署管理,每一章都與我們的日常開發工作息息相關。」──── 雷N │ 後端工程師 / iThome 鐵人賽戰友 &
那些文件沒有告訴你的AWS EKS:解析Kubernetes背後的奧秘(iThome鐵人賽系列書)【軟精裝】
EKS 從不會到入門,從入門到精通 第一本完整探討 EKS 本土書籍 透過問題分析與討論讓你培養問題解決的脈絡 本書內容改編自第 14 屆 iThome 鐵人賽 DevOps 組的優選系列文章《那些文件沒告訴你的 AWS EKS》。 本書從建立 EKS cluster 開始,由「為什麼」為引言反思AWS是如何引用原生 Kubernetes 功能並設計,並溯源 Kubernetes 的原理,進而學習底層 Linux 及網路相關知識。此外,每章節提供逐步除錯驗證,照著步驟實作也能學習到除錯概念。 全書提供 18 個「為什麼」,使用「五個為什麼(Five whys)方法論一層層從 AWS、Kubernetes、容器,最終至作業系統,沿著因果關係順著網上探討釐清整體脈絡。這些「為什麼」們包含了數個 EKS 上實務常見問題,讀者除了能熟悉 AWS 環境及 Kubernetes 限制,也同時釐清作業系統與網路脈絡,提升問題排除的能力,進而持續精進「打破砂鍋問到底」的研究精神。 【目標讀者】 • 想要掌握 Kubernetes 概念和原理的工程師 • 想從 Junior 晉升到 Senior 的 DevOps/SRE 工程師 • 沒有使用過 AWS 雲端環境入門者 • 喜歡親自動手驗證的工程師 &
26大企業紅藍隊攻防演練:從企業永續報告書精進資安網路攻防框架(iThome鐵人賽系列書)
以 26 個實際案例教你如何看懂資安攻防思維 有效辦識企業資安資源配置,建立資安敏感度! 本書內容改編自第 15 屆 iThome 鐵人賽 Security 組完賽作品《從永續報告書看資安》。內容以《哈佛商業評論》2022 台灣企業領袖 100 強的榜單中,精選 26 家企業所編製之永續報告書為藍本,分析其資安組織、資安作為,學習辨識其最有價值之資訊資產及其資訊資源配置。不僅以 CyberDefenceMatrix 矩陣方式分析各家企業做了什麼,從矩陣中還可以看出那些地方是未來加強的重點。 目前主管機關要求上市櫃企業應設立資安長,而資安長在管理企業資安時,常面臨不知道威脅來自哪裡,不知道要如何有系統的排查企業資安問題。所以本書引入洛克希德馬丁的 Cyber Kill Chain 攻擊七階段、Mitre AttCk 的攻擊十四階段、NIST CSF 防守五階段的框架,有系統但與個案脫鉤的介紹各階段的攻防思維重點,以便資安長可以按圖索驥,了解資安、戰勝威脅。 本書的 26 家企業,除了半導體產業、高科技產業之外,還包含了航運業、金控業、電信業、紡織業等多面向的行業別。不同產業所要保護的資訊資產,其實有很大的差異,這是在本書的形成過程中,深刻的體悟。有道是「資安即國安」:26 家企業中有不少是關鍵產業,其資安的良莠,對於台灣整體的經濟發展,具有舉足輕重的影響。 此外,書中精心設計了延伸閱讀,假設你是企業的資安人員,面對資安框架所提出的情境,你會如何下決策?這十分考驗在時間、金錢、人力有限的情況下,如何做出對企業最有利的決策。 目標讀者 ・企業資安長、資安人員 ・企業 ESG 永續報告書編製負責人員 ・大專院校資管或資工科系師生 ・對資安有興趣的組織或個人 本書特色 ❑ 從永續報告書了解企業在資安上的實務作為 ❑ 剖析各範例企業的資安組織及其優缺點 ❑ 應用資安框架模擬紅藍隊攻防演練 ❑ 每章對其個案提出延伸思考 專業推薦 本書透過介紹 26 家大型企業的實際案例,揭示了企業資安攻防的複雜性與挑戰性。每一個章節都透過詳細的分析和解說,展示了紅藍隊攻防在不同階段的應用與實施。同時亦深入介紹資安技術的層面,強調企業在數位經濟時代面臨的個人資料保護法挑戰。此外,本書還提供了一些延伸思考的章節,讓讀者能夠更深入地思考及探討資安問題。這些思考主題包括資訊安全的倫理問題、新興技術對資安的影響、資安教育及培訓等,將有助於讀者加深對資安防禦策略與實務的理解,並激發創新思維,提出更有效的解決方案。這是一本結合理論與實務,值得一讀再讀的資安實務寶典,必將在資安領域引領一波新的學習浪潮。—— 蕭幸金教授|國立臺北商業大學會計資訊系 本書匯集豐富的經驗和知識,以及各項常用的工具應用、操作,並提供了關於紅隊演練的全面指南。在眾多的資安解決方案中,以 CP 值及時效性來說,紅隊演練是最高級、也最高貴的。因為這等於是在企業資安設備軟、硬體到位後,資安藍隊人員也到位後,整備完成後的資安模擬考,呈現企業對於資安風險的控管能力,這樣的演練不僅是一種主動式的措施,更是一種預防性的策略。紅隊演練是確保組織能夠應對不斷變化的威脅的關鍵步驟之一。無論您是資訊安全專家、企業領導還是對資安感興趣的讀者,我們相信本書將對您有所幫助。—— 黃綱正、范瑋凌|凌煌科技有限公司創辦人 本作企圖透過公開透明的永續報告書,為各大企業及利害關係人分析前所未有的解決方案。不僅將多家企業的資訊安全實踐和風險進行了詳盡的彙編,還透過量化指標和質性的解讀,使讀者能夠深入了解每一篇報告背後的管理策略和高階長官的實際考量:企業的策略、價值和未來發展方向。本書的真正價值,不只是其深入廣泛的內容,更重要的是它將資訊安全提升到了戰略的層面。對於任何關心企業發展的人都是一本不能錯過的好書。真心推薦給大家!—— 劉家如(虎虎) 台灣在 2023年的惡意威脅數量急遽增長,每秒遭受近 1.5 萬次攻擊,高居亞太地區之冠。面對如此針對性攻擊的威脅,企業應調整資安維運策略,即時偵測並阻止駭客攻擊。本書中提到26 家企業的永續報告書中的資安實踐,結合知名資安框架 Cyber Kill Chain、Mitre ATTCK 和NIST CSF,以及紅藍隊的攻防思維。提供給讀者一本工具書,讓資訊人員作好資安的聯防機制,給企業的資安一個永續發展的未來。從企業風險建模的角度,我衷心推薦本書,希望台灣的永續報告書,在未來能夠百尺竿頭,更進一步,這就有賴本書的讀者,在各行各業的努力,也感謝作者的拋磗引玉。—— 陳威有|保險安定基金精算師 &
你的網站非常危險:Web安全攻防滲透駭客現場直播
*滲透測試之資訊收集,包括域名、子域名、旁站C段、通訊埠、社會工程學 *DVWA漏洞平臺、SQL注入平臺、XSS測試平臺 *滲透測試過程中「神器」:SQLMap、Burp Suite和Nmap *暴力破解漏洞、SQL注入漏洞、XSS漏洞、CSRF漏洞、SSRF漏洞、檔案上傳漏洞、命令執行漏洞、越權存取漏洞、XXE漏洞、反序列化漏洞、邏輯漏洞 *WAF的基本概念、分類、處理流程、繞過WAF及WebShell的變形方式 *雲端環境和Redis服務的滲透 *Metasploit和PowerShell技術實戰 全書共分9章: 第一章主要介紹進行滲透測試之前,最重要的資訊收集。 第二章說明漏洞環境的架設(使用Docker),示範了DVWA漏洞平臺、SQL注入平臺、XSS測試平臺。 第三章介紹常用的滲透測試工具SQLMap、Burp Suite和Nmap。 第四章說明Web滲透測試的核心技術包括暴力破解漏洞、SQL注入漏洞、XSS漏洞、CSRF漏洞、SSRF漏洞、檔案上傳漏洞、命令執行漏洞、越權存取漏洞、XXE漏洞、反序列化漏洞、邏輯漏洞。 第五章介紹WAF的基本概念、分類、處理流程和如何辨識。 第六章詳細介紹雲端環境和Redis服務的概念、滲透想法、實際應用以及實戰案例。 第七章講解程式稽核的學習路線、常見漏洞的稽核場景和技巧。 第八章說明Metasploit的發展歷史、主要特點、使用方法和攻擊步驟,並介紹具體的內網滲透測試實例,也介紹了PowerShell的基本概念、重要命令和指令稿知識。 第九章過幾個實際案例介紹了程式稽核和滲透測試過程中常見漏洞的利用過程,讓讀者累積經驗,關注細節,最終挖掘到漏洞。 &
超高效Google×ChatGPT雲端應用:打造競爭優勢的必勝工作術
收錄 Google 與 ChatGPT 等工具使用方法 體驗雲端與 AI 的魅力,培養跨領域整合的職場競爭力! Google 雲端平台先進而完備,提供的應用軟體包羅萬象,除了能線上製作簡報、試算表、文件等各類辦公文件外,搜尋、電子郵件、地圖、雲端硬碟、地球、日曆、相簿、翻譯、線上會議……等工具,更是好用到讓你離不開,絕對可以讓生活排程更順暢、工作流程更高效、競爭能力更強化。 本書特色 系統化整理:迅速掌握各項應用程式的核心功能 操作畫面豐富:搭配逐步解說,淺顯易懂好吸收 強化資訊知識:善用雲端科技,培養職場競爭力 ・說明雲端運算,介紹什麼是雲端服務 ・Chrome 瀏覽器的搜尋技巧,包含圖片/影片/學術搜尋 ・最多可支援 10 GB 附加檔案的 Gmail ・隨時隨地都能掌握行程的線上日曆 ・線上地圖(MAP)和申請我的商家 ・利用 Hangouts 即時通訊進行商務活動 ・Sites 協作平台:線上網頁設計及網站架設工具 ・提供上傳、分類、分享照片的網路相簿 ・可自由儲存在網路並且共用檔案的雲端硬碟 ・Google Meet:遠距教學/居家上課/線上會議的最佳選擇 ・Google Office 必備工具:文件/試算表/簡報 ・YouTube:影片上傳/編修/行銷 ・Google 搜尋引擎最佳化(SEO):關鍵字廣告、搜尋引擎運作原理、語音搜尋 ・人工智慧(AI):Google 的核心關鍵技術 ・Google Analytics 數據分析:輕鬆學會 GA 與 GA4 的入門輕課程 ・ChatGPT 與 Google 超強必殺技:ChatGPT 在行銷應用、超過 10 種外掛程式應用、SEO 行銷與 ChatGPT 目標讀者 ・想將雲端工具運用在生活或職場上的人 ・想掌握 Google 應用程式相關基礎知識的人 ・對雲端服務或是人工智慧(AI)有興趣的人 &
前端開發資安入門|你不能忽視的漏洞對策必備知識
因應漏洞所必備的知識 等事情發生了才說不知道就太遲了 建立Web應用程式資安壁壘必備知識集大成 本書旨在成為每位前端開發工程師於開發Web應用程式時的資安基本知識入門書。 書中章節針對「HTTP」、「來源」等基本Web資安主題,以及「跨站腳本攻擊(XSS)」與「跨站請求偽造(CSRF)」等衝著前端而來的資安攻擊機制,都準備了實作的篇章。讓各位讀者能以同一套範本程式碼作為學習的舞台,一步一步建構起學習的成就感。 當然,保護使用者免於遭受攻擊的方法也會分享給大家。除了每個攻擊手法的因應措施之外,「如何搭載驗證功能」、「如何安全地使用JavaScript函式庫」等書中環節,相信無論是對各位實際開發時、或是在研擬如何防範漏洞時都有所助益,也期待各位能在當中找到適合用來提升自己資安防護的提示。 為了讓第一次接觸資安的讀者可以循序漸進,書中針對基本的名詞逐一介紹,且跟讀者們所分享的主題也精挑細選過,只要您是前端設計工程師,相信本書的內容都會是您應該了解的基本功。 目標讀者 ‧稍具工作資歷的前端工程師 ‧想開始學習Web資安的Web工程師 ‧想要透過實際演練程式碼來學習Web應用程式資安防範措施的讀者
Web Tracking 的資安攻擊與防禦策略:淺析當代瀏覽器的隱私議題 (iThome鐵人賽系列書)【軟精裝】
隱匿卻無所不在的隱私威脅 從 Web Tracking 技術的攻擊、防禦、歷史發展, 探討當代瀏覽器最重要的隱私議題之一 本書內容改編自第14 屆 iThome 鐵人賽 Security 組冠軍系列文章《天羅地網:淺談 Web Tracking 的過去、現在、未來》。內容涵蓋 Web Tracking 相關技術的基礎、實際案例, 以及未來發展。Web Tracking 意指「在不同情境中重新識別使用者,而且技術上無須使用者的期待或同意」。常見的相關技術包含 Cookie 與 Browser Fingerprinting 等。藉由 Web Tracking,追蹤者可以暗中記錄使用者的行為,推斷其偏好及傾向,以預測或甚至操弄使用者的行為。Web Tracking 相關技術無疑是當今網路生態中最具有隱私侵犯性的技術。 ▇ 正常功能如何濫用於隱私侵害,以及如何防禦 Web Tracking 技術的一大特色在於,其所使用的瀏覽器功能大多不是一開始便設計於追蹤使用者,然而因為一些設計上的缺陷或預料之外的利用方式,使得這些功能可以被濫用於追蹤使用者。當今存在兩種不同的反制徑路:第一,是對於 Web Tracking 技術的防禦,探討如何避免被追蹤;第二,是討論如何在保護隱私的前提下達成那些 Web Tracking 希望做到的目標。這個反制的過程有來自資安社群、瀏覽器開發商、廣告產業界、學界的輸入,雖然都打著保護隱私的稱呼,卻因各式問題而有不少爭議與衝突意見。 ▇ 從基礎瞭解 Web Tracking 的技術發展 本書將從最基礎開始講起,討論過去與現在曾經出現的幾個經典 Web Tracking 技術以及其防禦。同時,也會探討幾個真實世界的案例。本書的最後一章則會討論隱私保護的次世代 Web Tracking 技術。讀者除了會學習到相關技術以外,也會對於一些看似正常、合理的功能可以如何被濫用有更多的了解,並認識到如何分析一個功能所具有的潛在資安與隱私威脅。 本書特色 從攻擊到防禦:同時探討追蹤技術的攻擊與防禦面向 PoC 程式解析:藉由範例程式碼與講解輔助概念理解 實際案例分析:由案例分析瞭解追蹤技術的實際應用 隱私保護技術:探究次世代追蹤技術將如何兼顧隱私 目標讀者 ・對網頁安全、瀏覽器安全與隱私、網路隱私等議題感興趣者 &
數位家庭網路與居家安全監視系統
範例操作逐步詳述,淺顯易懂 由淺入深循序漸進,學習程式設計技巧隨著網路發展的日漸成熟,各種網路協定和網路應用也不斷推陳出新,在設計各種網路系統時,「網路處理器」提供一套多元化的解決問題方案。本書將針對Intel的IXP425網路處理器之應用作一詳細敘述,其主要原因在於IXP425適用在SOHO/SME市場,而台灣也是這一方面市場的翹楚,相信部分大學的相關專業科系可以利用此書作為有關課程的教科書或參考書,或者工程師日後可利用此書作為研發產品的依據。本書邀集了十個學校的資深教授,分別針對「SOHO網路閘道器與VoIP應用」和「數位家庭網路與居家安全監視系統」兩大主題做深入探討,並從教學與研究的認知與心得開發實驗教材。本教學實驗手冊是全程規劃的實習,其內容涵蓋的領域相當廣泛。◆ 數位家庭網路與居家與居家安全監視系統簡介◆ 在IXDPG實驗平台下無線網路附屬儲存裝置之建置◆ 網路檔案伺服器之建置、無線網路附屬儲存裝置之建置◆ 影像擷取系統的實作與遠端監控伺服器之實作◆ 實作影像擷取系統與遠端監控伺服器◆ 遠端監控伺服器之實作、建構以UPnP 為基礎之家用網路◆ 建立Wireless UPnP Device Emulator、UPnP Mp3 Player◆ 建構網頁伺服器、建構UPnP Control Point◆ 具偵測入侵通功能之SSL代理伺服器
從駭客的角度學攻擊:惡意程式碼逆向全破解
●&& &建立惡意程式碼分析環境,包括FLARE VM和Kali Linux ●&& &PE檔案結構和PE分析 ●&& &Metasploit Framework生成shellcode和C語言載入 ●&& &逆向分析工具基礎,包括靜態分析工具IDA和動態分析工具x64dbg ●&& &XOR互斥加密shellcode,AES加密原理 ●&& &API函式混淆,包括API函式混淆的原理與實現,以及使用x64dbg工具分析API函式混淆 ●&& &處理程序注入原理與實現,使用Process Hacker和x64dbg工具分析 ●&& &DLL注入原理與實現,Yara檢測惡意程式的原理與實踐 ●&& &架設REMnux Linux環境,分析惡意程式碼的惡意域名資訊,剖析惡意程式碼的網路流量和檔案行為 網際網路的快速發展,網路攻擊日益頻繁,惡意程式碼常被用於控制目標伺服器,執行系統命令、監控作業系統等。惡意程式碼分析工程師需要分析惡意程式碼的樣本,提取shellcode二進位碼,歸納總結惡意程式碼的特徵碼。使用特徵碼辨識對應的惡意程式碼,從而檢測和查找對應的惡意程式。本書是一本基礎入門加實戰的書籍,既有基礎知識,又有豐富範例,包括詳細的操作步驟,實作性強。 本書對逆向分析惡意程式碼的基本概念和技術進行介紹,包括基本概念及程式範例。每個基礎知識都有程式範例,力求精簡。每個基礎知識和專案案例,先通讀一遍有個大概印象,然後將每個基礎知識的實例程式在分析環境中操作一遍,加深對基礎知識的印象。台灣剛拿到世界駭客大賽第三名,在實戰中勝過中國隊,想成為駭客的你,這就是你的起步書。 &
小型網路資訊安全|給網管人員的正經指南
這本書是一本簡明扼要的指南,無論你使用的是Linux、Windows還是macOS,都可以藉此提升網路安全性。 跟著書中專案逐步演練,你會學到強化安全性的核心技術,像是如何繪製網路架構圖、追蹤裝置狀態、同時辨識出可能意味著攻擊事件的不尋常動作。你會探索各種可以消除弱點的做法,同時防範對於行動裝置、桌上型電腦、甚至是物聯網端點的不請自來存取動作。你還會學到如何實作自訂備份策略,以及如何偵測、防範和抑制惡意軟體或勒索軟體的攻擊。 至於技術面,你還會學到: ‧使用和設定像是pfSense和iptables之類的防火牆,藉以過濾網路流量 ‧建立網路分段計畫,以便按照風險程度分隔裝置,並管理使用者存取,以及設置無線認證 ‧在網路中部署OpenVPN或Wireguard,以便加密和保護網路通訊 ‧使用Squid代理伺服器來掩護個人或商務資料,同時控制網頁流量 ‧實作流量存取點(traffic access point,TAP)以便捕捉和分析網路流量,並建置Security Onion監控設備,用來警示可疑動作 無論是菜鳥或是老兵,本書都能提供必要的工具和知識,讓你為網路加上安全鎖、並能夠防禦攻擊、以及從攻擊事件中復原。
Terraform建置與執行 第三版
編寫基礎架構即程式碼 「本書將教會你關於Terraform所需知的一切事物,大幅提升你的基礎架構配置效率,而且在各種平台間都游刃有餘。」 -Mitchell Hashimoto,Terraform發明人兼HashiCorp共同創辦人 「如果你是DevOps的從業人員,並想要開始導入基礎架構即程式碼,本書是絕佳的參考素材。」 -Akash Mahajan,Appsecco共同創辦人兼主管 在DevOps領域中,Terraform已經是各種雲端及虛擬化平台中定義、啟動及管理基礎架構即程式碼(IaC)的要角,包括AWS、Google Cloud、Azure等等。這本動手實作的指南已是第三版,從初版以來便不斷擴編和徹底改寫,本書是您上手運作Terraform的最便捷之道。 Gruntwork的共同創辦人Yevgeniy (Jim) Brikman向讀者們提出了大量的範例程式碼,展示出Terraform身為簡易宣告式程式語言的一面,只需寥寥幾個命令便能部署和管理基礎架構。不論你是系統管理老手、DevOps工程師、還是新進的開發人員,都可以從迅速地熟悉Terraform的基礎知識開始,一路進展到能支援龐大流量及大型開發團隊的的全堆疊架構(full stack)。 ‧將Terraform與Chef、Puppet、Ansible、CloudFormation及Pulumi進行比較 ‧部署伺服器、負載平衡器及資料庫 ‧以Terraform模組建立可重複使用的基礎架構 ‧以靜態分析、單元測試及整合測試等手法測試你的Terraform模組 ‧為應用程式及基礎架構程式碼設置CI/CD管線 ‧運用Terraform的進階語法,包括迴圈、條件判斷式、以及零停機時間部署 ‧快速掌握從0.13版到1.0版以後的Terraform ‧操作多重雲端服務及providers(也包括Kubernetes!)
AWS自學聖經:5大必學雲端主題?超圖解入門(全彩印刷) (第二版)
AWS自學聖經:5大必學雲端主題・超圖解入門(全彩印刷) ☆【全彩圖解】x【高效圖片教學】☆ 本書獲得 2021 iThome 鐵人賽 IT管理組佳作 ★好評再版★ 本書透過高效的圖片教學,取代千百文字,讓讀者能快速掌握AWS。AWS 是一個雲端服務提供商,提供開發者快速擁有雲端主機、資料庫、檔案、儲存空間等計算機資源。相較之下,傳統公司則需自行維護機房、自行購置硬體設備、雇用一群 IT 人員,且難以根據需求彈性增減設備,這樣的難處也讓AWS 這樣的雲端供應商興起,成為現行企業部署軟體的第一選擇。 ●本書以5 大主題: -VPC 網路架構 -EC2 運算資源 -S3 檔案儲存 -RDS 資料庫 -IAM 權限管理 圖解內容x快速入門:15 篇圖解觀念打底 實務導向x升職必備:27 篇實作示範深入 來幫讀者一次搞懂 AWS 雲端技術。 &
Google代碼管理工具(GTM)工作現場實戰指引
GTM入門者的教科書 也適合從舊版遷移至新版GA4的人 本書是以「讓所有人都能輕鬆學習實用的Google代碼管理工具」為概念撰寫。 與市面上既有書籍的最大差異在於,本書將介紹示範環境的建構方法,以解決前述的學習環境問題。藉此,便可讓沒有網站的初學者擁有能夠反覆嘗試、不怕犯錯的學習環境。此外本書還有一個特色,就是重視「實用性」。本書不像一般字典或教學課程那樣逐一介紹Google代碼管理工具的每一個功能,而是精心挑選實務上常用的例子來加以說明。所以不會提及一般很少用到的功能。我們希望各位先學會基本雛形,慢慢地培養出Google代碼管理工具的核心知識與技術。如此一來,各位就能夠自行設定、查詢各式各樣的應用方法。 同時理解行銷與技術,並透過橋接及融合兩者來創造綜效的專業人士稱為「行銷技術人員」。這是個尚未被廣泛認識的專業領域,但預計今後其需求與必要性將日益增長。而對於想成為行銷技術人員的人來說,Google代碼管理工具就是跨出第一步的最合適工具。
Google 幫你大小事 隨手翻
Google的搜尋引擎是大多數人所使用的搜尋工具,除了搜尋引擎外,Google也提供了多種免費且功能強大的應用軟體,因為是免費的,所以可能讓您疏忽了它。本書將Google幾個重要的免費軟體做一詳盡的介紹,透過它們,您可輕易的管理電腦上所有的文件、圖片、影片等資料。發表部落格文章,加入廣告元素賺取廣告費。使用網路相簿分享您的作品並下載您所要的作品。使用「筆記本」從任何電腦存取單一的線上位置,來瀏覽、擷取和管理網上的資訊。如果您喜歡某類型藝術節目,亦可將其公開日曆加至您的日曆上。在資訊科技發展如此快速的年代裡,您該如何提高效率,以極短的時間去了解、活用所要使用的軟體呢?本書以淺顯、循序並配合視窗畫面的直接解說,希望能使您快速的了解這些應用軟體,進而應用於實際作業中。★ Google 強大的搜尋功能★ Google 電子信箱免費空間★ Blogger部落格★ Picasa管理電腦上所有相片及相簿★ 網路相簿分享及下載所要的相片★ 搜尋引擎般的桌面可搜尋電腦中所有的資料★ 筆記本:瀏覽、擷取和管理網上的資訊★ 建立個人的Google日曆
EN 帶你入門 5G 核心網路(iThome鐵人賽系列書)【軟精裝】
最適合初學者的5G技術書籍 由淺入深學習核心網路技術 本書內容改編自第14屆 iThome 鐵人賽 DevOps 組系列文章《5G 核心網路與雲原生開發之亂彈阿翔》。 中文社群第一本 5G 核心網路書籍 本書是中文社群第一本介紹核心網路的書籍,內容涉及核心網路概念、網路程式設計、Linux 網路子系統與雲原生生態圈,是一本很棒的網路程式設計敲門磚。 學習網路程式設計、Linux 網路子系統 核心網路經過幾個世代的演變後,它已經從傳統的封閉式硬體與軟體生態邁向開放架構、開放介面的設計。因此,開發者們才有機會以常見的程式語言配合 SDN、NFV 技術開發核心網路,甚至是使用 Linux 網路子系統的幾項核心技術加速資料層的傳輸。 透過核心網路學習微服務架構的設計思想 核心網路是極度複雜的網路程式,現有的 3GPP 規格書提出的 5G 核心網路架構也與微服務架構的概念十分相似,這讓我們在開發上能夠借鑒微服務架構的核心精神,將核心網路打造成雲原生應用程式。 化繁為簡!筆者帶你學習如何閱讀規格書 本書將會簡單介紹幾個核心網路中常見的工作流程,以及每個流程中常見的參數,讓讀者可以快速的了解核心網路的運作原理、降低日後閱讀規格書的學習門檻。 從開放原始碼專案學習大型軟體開發技巧 本書使用陽明交通大學資工系團隊開發的開放原始碼專案 – free5GC 作為核心網路範例的教材,透過導讀其原始程式碼將核心網路的抽象概念具現化。 相關開發工具的詳細介紹 為了讓讀者能快速的上手,筆者會針對 free5GC 目前使用到的技術或是雲原生開發生態圈的技術進行介紹,主要包含了:Go 語言(注重在並行程式與網路程式設計的部分)、容器化技術(包含 Docker 與 Kubernetes)、CICD 工具、Linux系統的基本知識。 專業推薦 作者在書中所分享的知識和經驗,是他在學習和實踐中的珍貴心得。對於想入門5G核心網路技術的讀者們,這本書將是你的最佳選擇。--禾薪科技主管|Tim 這本書從核心網路的演進和基本的核心網路的網路元件介紹,鉅細靡遺的勾劃出5G核心網路的架構,並且將其對開源軟體的熱情和豐富的開發經驗,對三個重要的5G核心網路的網路元件實作做了詳細的描述,使讀者不只是了解原理,還可以知道實際的程式如何撰寫。--國立陽明交通大學 資訊學院 副教授|陳健 強烈推薦這本書給所有尋求深入了解 5G 核心網路的讀者。希望台灣有越來越多的技術人才能夠投入到 5G 產業,為 5G 國家隊貢獻一份心力。--國立陽明交通大學 資訊學院 講座教授兼院長|陳志成 &
Docker實戰6堂課:56個實驗動手做,掌握Linux容器核心技術(iThome鐵人賽系列書)【平裝】
▃ ▅ ▆ ▇ 佳評如潮!火速再版(平裝版) ▇ ▆ ▅ ▃ ★☆★ 榮登銷售排行榜冠軍 TOP 1 ★☆★ ▍掌握容器原理,除錯更快速! ▍跟著實驗操作,帶你告別一知半解,深入掌握 Container! 本書內容改編自第 14 屆 iThome 鐵人賽 DevOps 組的冠軍系列文章《那些關於 Docker 你知道與不知道的事》。本書從啟動 Docker Container 開始,探索 Docker 的底層設計,進而學習 Linux 容器技術及其相關的 Linux 知識,包括 Namespace、Process 與網路等,同時也提供各種動手做實驗,讓你親手驗證讀到的理論與技術。 書中將探討五大主題: 1 ▶ Docker Container 2 ▶ Docker Image 3 ▶ Linux Namespace 4 ▶ Linux Process 及其與 Docker Container 的關係 5 ▶ Container 與 Linux 的網路世界 全書提供 56 個動手做實驗,讓讀者能親自驗證學習到的理論,從「會用」進階到「知道」,讓 Docker 容器不再神秘,讓讀者不再心虛。讀者除了能熟悉 Docker,也能同時學習 Linux 相關知識,鞏固作業系統與網路的基本功,提升問題排查的能力,累積往下探索的基礎,讓未來的你也能自己動手挖掘底層技術。 四大重點 ☑ 打穩基礎 層層介紹 Docker 元素,清楚掌握底層原理 ☑ 由淺入深 從環境建置到容器化,快速部署非難事 ☑ 動手做範例 每章範例動手玩,加深理論與實力 ☑ 大量圖文解說 白話文+圖解說明,讓你不再似懂非懂 目標讀者 ● 想學習 Docker 或容器化技術 ● 會 Docker 的基本操作,但對於原理好像似懂非懂,想要深入學習 ● 想學習更多 Linux,卻不知道該從哪裡開始 ● 喜歡親自動手驗證的工程師 ● 想從 Junior 晉升到 Senior 的工程師 下載範例程式檔案 本書提供範例程式檔案,以及安裝 Docker 教學說明: github.com/azole/docker-ironman-2022 專業推薦 「無論你是初學者,還是已有一定基礎的工程師,這本書都會是你最好的指南和夥伴。讓我們一起跟隨這位經驗豐富的導師,從「會用」進階到「知道」,探索技術的深邃海洋。」──── Shirney │ AppWorks School 校長 「容器生態圈蓬勃發展,我們更需要小賴這本書,帶我們透過自己的雙手掌握那不變的容器技術核心。」──── 葉秉哲(William Yeh) │ 敏捷魔藥師 「小賴以深入淺出的方式,帶領讀者進一步探討這些技術。她用生動的文字和清晰的例子,讓你不僅能操作 Docker,而是能夠洞悉其本質。這不僅能讓你在開發過程中更加得心應手,更讓讀者之後對 container 相關技術 debug 的過程變得更加順暢。」──── 顏永富(泳褲) │ Laravel 台灣 / DevOps Taiwan 社群老志工 / 全端工程師 &
從新手到高手:.NET框架程式開發實作
還在擔心微軟產品的跨平台相容性嗎?或者你認為Linux才是真正的程式開發嗎?時代真的變了,.NET架構應該是全世界最多人使用的框架,只要安裝了Visual Studio,就可以開發Windows、MacOS、Linux、Web、雲端、Docker/K8S、主控台等應用,只要你會使用C#!但本書不強調C#的語法,本書的重點在於.NET框架中的開發及設定,並且全書都圍繞在Visual Studio上,也包含了目前最流行的.vscode的應用。在了解基本使用之外,本書直攻問題的核心,包括執行緒、鎖定等機制,並且也精解了JIT等編輯器的原理及方法。最後就是大家關心的平台部署了。本書使用了目前業界最新的部署標準Docker/K8s,更完整說明了compose、swarm等進階Docker技術。還等什麼,Linux的世界也可以用.NET進入,學習一個.NET就可以完成跨平臺開發,這本書就是你贏在終點的起跑點。 【本書看點】 ✪ .NET環境安裝、Visual Studio最新版安裝 ✪ .NET執行原理、CLI介紹 ✪ ASP.NET的多執行模式介紹 ✪ 相依性插入、設定和選項、工作排程 ✪ IHostedService和BackgroundService的背景工作介紹 ✪ 中介軟體完整攻略,快取的應用,當地語系,系統健康檢查 ✪ 檔案系統的開發及詳解,各種日誌的詳細說明 ✪ 多執行緒及工作平行,執行緒同步及鎖定 ✪ 記憶體管理、診斷偵錯 ✪ 編輯技術及部署 ✪ Docker、K8S的部署 【適合讀者】 ☛ 初級和中級開發人員。 ☛ 對.NET技術有興趣的讀者。 ☛ 準備投入.NET開發,或進一步提升自己的讀者 &
AWS 雲端運算基礎與實作
從零開始帶你了解雲端運算的組成! 本書主要是針對雲端運算的從業人員所編寫的入門教材。內容以 AWS Academy 所提供的 AWS Academy Cloud Foundations 教材為主,並提供額外的練習實驗;主要的程式語言會以 Python 來示範,使用者可以在自己的帳號下完成,或是利用 AWS Learner Lab 學習帳號下完成。本書將內容規劃成5個部分,從零開始帶你了解雲端運算的組成,透過每個單元的實作讓你一步一步完成這份專案。 ● AWS 學習地圖:說明 AWS 專業證照的學習路徑。 ● 雲端運算概念:包含雲端運算簡介、成本、AWS 基礎設施與雲端安全責任共擔模型。 ● AWS 核心服務:介紹雲端網路配置、運算服務、儲存種類與資料庫等。 ● 雲端運算架構與監控:雲端運算架構設計原則,如何進行自動擴縮與監控。 ● AWS 認證與勳章:如何透過 AWS Academy 取得半價優惠券,準備考試練習與如何結合社群網路讓公司看到學習成效。 本書適合的「讀者族群」 ☑ 大專院校內雲端運算相關課程的學生 ☑ 擔任公司內部部署 IT 或雲端,但對 AWS 雲端不熟悉的人 ☑ 想在 AWS 雲端中探索職業生涯的人 ☑ 想考 AWS 雲從業人員認證(AWS Certified Cloud Practitioner)的人 ◇筆者 Github 專案網址◇ |github.com/yehchitsai/AWS_ACF| &
精通API架構|設計、營運和發展基於API的系統
「雖然容器和微服務受到這麼多關注,但人們往往忽略服務通訊的基本原理。本書糾正了這一點,深入探討如何構建和發展你的API。」 —Sam Newman 《Building Microservices》作者 「寫得非常好,提供了很多技巧、例子和實用建議。」 —Stefania Chaplin GitLab & DevStefOps 大多數有使用Web的組織都會建立和營運API作為客戶開始與公司服務互動的大門。設計、構建和管理這些關鍵程序影響著組織中的每一個人,從工程師和產品負責人到高階主管都在其中。但對於開發人員和解決方案架構師來說,真正的挑戰在於從頭開始創建一個API平台。 透過這本實務書籍,你將學會建置和測試使用API閘道在微服務層次上結合產品的REST API策略。作者群們為您解釋如何透過基礎設施的簡單增補,幫助工程師和組織向雲端遷移,並讓我們有機會使用像服務網格這樣的技術來連接內部服務。 ‧學習API基礎知識和構建API平台的架構模式 ‧使用實際的範例來了解如何設計、建置和測試基於API的系統 ‧部署、操作和配置API平台的關鍵元件 ‧基於案例研究適當地使用API閘道和服務網格 ‧理解API架構中的核心安全性和常見安全弱點 ‧利用威脅建模和OAuth2和TLS等技術確保資料和API的安全 ‧學習如何使現有系統朝向基於API和雲端的架構演化
使用Redmine管理企業MIS的那些鳥事:提升資安、專案與IT管理的30個錦囊妙計(iThome鐵人賽系列書)【軟精裝】
全台第一本繁體 Redmine 專書 從管理角度去思考 Redmine 的應用 市面上最完整的 Redmine 學習指引書 本書內容改編自第14屆 iThome 鐵人賽 IT 管理組冠軍系列文章《管理 MIS 的鳥事-使用 Redmine》。 本書在介紹 MIS 業務的管理,透過 Redmine 建構中小企業的 MIS 內部業務管理工具。平台上表單管理建構背後所代表的管理意涵,以及與 MIS 部門業務管理、ISMS(資訊安全管理系統)、ISO 27001:2022控制項要求的執行管理才是本系列文章想要跟大家分享與交流。 作者試著用不同的工具試圖建立一個幫助中小企業 MIS 的工具管理機制,概念中這個機制可以把 MIS 日常及計畫執行的所有紀錄透過管理工具可以有一個有秩序的管理,並用最簡單低成本的方法建立一個符合 MIS 業務的管理平台。工具很多,商業軟體和自由軟體都有,MIS 也可以自行寫程式開發,但作者希望建立的是一個不需要太多技術也能夠維護的管理平台。最後選擇用 Redmine 並實際在某一家企業的 MIS 建構出一個 MIS 內部作業的管理平台。 選擇 Redmine 其中有一個很重要的理由,作者對 MIS 部門希望以專案管理的概念去管理這個部門所有被賦予的任務和業務,Redmine 的設計符合這樣的特性。 【目標讀者】 a.中小企業的 MIS 主管與 IT 從業人員 b.企業 ISMS 資安管理人員 c.專案管理人員 &
Notion 應用再進化:Notion AI 輔助 + ChatGPT 實戰指南
★☆★☆★ Notion X ChatGPT實戰應用 ★☆★☆★ ★☆★☆★ 國內第一本Notion AI 教學指南 ★☆★☆★ ★☆★☆★ 圖解詳細步驟,讓您一次就上手 ★☆★☆★ & Notion是一款功能強大的工作平台,提供給您無限的組織彈性,並能與其他工具完美結合。 & 本書深入淺出地介紹如何使用Notion,從免費升級帳號與申請Notion AI,到打造高效工作環境、應用多元區塊、建立完善的Teamspace,以及把Notion變成訂單管理系統等,讓您輕鬆打造無縫工作體驗。更特別的是,還會介紹如何應用Notion AI和OpenAI ChatGPT,自動生成廣告文案和拍攝腳本,大幅提高您的廣告效益。立即跟著本書,掌握Notion X AI的威力,提升您的工作效率! & 【精彩收錄】 ▶ YouTube影片製作管理系統 ▶ YouTube拍攝腳本 ▶ 關鍵字廣告文案 ▶ 訂單管理系統 ▶ 進銷存管理系統 ▶ 廣告行銷日程管理儀表板 &
實戰SEO 第四版|60天讓網站流量增加20倍
SEO是Search Engine Optimization的縮寫,中文譯為「搜尋引擎最佳化」。簡單地說,SEO是指從自然搜尋結果獲得網站流量的技術和過程。好的SEO,可以讓潛在客戶更有機會進入您的網站,帶來更多的商機。 本書完整而詳盡地介紹了正規、有效的SEO實戰技術。精采內容包括: .為何要做SEO? .搜尋引擎工作原理 .關鍵字研究 .網站架構最佳化 .外部連結建設 .SEO效果檢測及策略修正 .SEO作弊及懲罰 .排名因素列表 .常用的SEO工具 .SEO專案管理中需要注意的問題 本書不僅對需要做SEO的人員有幫助,如個人站長、公司SEO或網路行銷人員、SEO服務公司人員等,對所有從事與網站相關工作的人都有參考價值,如網站設計人員、程式師、大專院校網路行銷和電子商務課程、網路公司技術和行銷團隊、傳統商業公司電子商務團隊等。
透視資安!資本市場必須了解的資安治理:從股東會年報探討公發公司資安現況(iThome鐵人賽系列書)【軟精裝】
✦ 從股東會年報了解何謂「資安治理」 ✦ 精選25個實際案例,教你看懂公發公司的資安執行狀況! 本書內容改編自2022年 iThome 鐵人賽Security組優選獎《從公開發行公司股東會年報分析公發公司資安揭露情形》系列文章。內容以臺灣重要公開發行公司揭示的公開股東會年報為案例,藉以探討公發公司資通安全管理的現況。 目前臺灣主管公開發行公司的主管機關,政策上都會強力要求公開發行公司要做好公司治理。「公司治理」的概念主要是落實經營者所須負的責任,以保障關係人及維護股東權益為目標。同樣的,「資安治理」亦為公司治理的延伸,藉由強化管理公司的資通安全,讓公司免受外部駭客攻擊騷擾,進而保障公司及股東權益,最後達成公司治理的目標,故其重要性不可言喻。隨著有關單位對於「資安即國安」觀念的提升,以及外部威脅日益強大,產業若不能提供給投資大眾足夠的資安信任感,以及提升自身的資安防護,那未來就有可能面臨更嚴峻的挑戰。 本書以25個公開發行公司所揭露的股東會年報作為分析,從中探討目前公發公司資安的管理現況與優劣。在探討每個案例前,會先提供要點式說明,同時配合法令,將各案例之股東會年報有關資通安全管理部分列出,最後做出分析及建議。其中,本書所列舉的產業橫跨電子、資訊、金融證券、貿易、生技、營造、航運、鋼鐵、水泥、通訊、文創等等;藉由不同產業的面向,幫助讀者了解產業資通安全管理的揭露現況,同時也強化資安治理之觀念。 ▋透過本書你將學會 ☑ 了解何謂資通安全管理,以及資安治理的重要性。 ☑ 理解股東會年報在資通安全中所要表達的重點。 ☑ 了解法令所要求的重點,並將本書作為撰寫股東會年報的參考依據。 ☑ 提供公發公司未來在資安治理改進的方向。 ☑ 協助董事會強化資安治理。 ▋目標讀者 ・投資大眾、公發公司以及有興趣了解資安治理的讀者。 本書特色 實際案例分析:內容皆為各大公發公司公開資訊 重點歸納說明:迅速掌握案例的資安揭露情形 提供解決建議:藉由分析說明資安治理建議 如何有效表達:配合法令規定強化資安治理的內容 專業推薦 如果你已是企業資安從業人員,我強烈建議可以好好研讀本書精選案例,相信能從企業實際落實資安治理的方法和預算拿掐的比例中,找到屬於你企業的資安治理方針。如果你有意往資安領域發展,那就更不能錯過本書,你一定能從筆者妙筆生花的字裡行間,學習到運用資安思維和觀點,並對你未來想從事的工作,帶來相當大的幫助。—— 徐千洋|台灣駭客年會(HITCON)創辦人、iThome 鐵人賽評審 作者在本書彙集了25個案例,以淺顯易懂的文字敘述,分析每個案例所遇到的資安攻擊情形並連結內部管理,最後再以自身的專業歸納結論,讓讀者能循序漸進了解各公司的資訊安全現況及管理運作。—— 林瑞恩|台灣上櫃公司財會部經理 &
【資安密碼系列】秘密不再是秘密:輕鬆認識密碼學-打造你的數位安全防線
思考在危機四伏的網路環境中守住個人的祕密、安全 傳遞資訊的必要性,而這也正是「密碼學」的意義 ! 資安科技生活能保有永恆以及唯一的「祕密」, 會是一切看似免費、公開,容易流於虛實難辨、 價值混淆的數位時代,最重要的課題 ! 電腦的出現,讓資訊科技裡的密碼研究與應用成為一門重要學科,密碼不再止於推理與狹隘的數字遊戲,而是與現代的科技生活息息相關。 網路的力量是雙面刃,它帶來了便利與可能性,但我們必須在使用中警惕。我們必須認識到網路的代價,並在享受便利時保護個人隱私。 作者利用故事的模式,鼓勵讀者一起來認識「密碼學」的起源與發展。 專業推薦 在本書中,作者以深入淺出的方式,引導讀者進入密碼的世界,讓讀者了解,密碼技術如何幫人們解決日常生活中所面臨的各種問題。對非相關專業人士而言,本書以故事模式導引讀者,輕鬆有趣、難易適中,讀者可獲取日常生活各種活動中,保護我們資訊與隱私的密碼技術及原理,十分值得推薦! 雷欽隆 國立臺灣大學電機系教授 這是一本非常適合廣大讀者閱讀的科學普通讀物。我們的生活已經離不開資訊科技與電腦網路了,了解一些資訊安全、電腦犯罪、數位鑑識的基本概念,有助於保障自己的權利。我極力推薦大家一起來閱讀這本好書。除了愉快的閱讀體驗與知識上的收穫之外,各位讀者可能也會跟我一樣,被作者投入的心血深深感動! 張仁俊 國立臺北大學教務長 資訊工程系特聘教授 &
駭客入侵免驚,不是高手也會的WordPress資安防禦大全
☛ 個人資料成為數位時代的新石油,在駭客環伺之下, 你的網站是否做好準備了呢!? 隨著數位時代的來臨,網路安全議題儼然已成為當代人們不得不關注的問題。本書為專注於WordPress網站安全的實用指南,提供全面且易於操作的解決方案。從基礎到進階層面,涵蓋各種保護WordPress網站所需的知識和技巧。讓您無需成為資安專家,也能保護自己的網站! 本書內容由基本安全措施介紹起,如設置強大的密碼、控制訪問權限,以及進行網站安全檢測等,到探討高級安全配置,例如防火牆設置、即時安全監測等,進一步強化網站安全。藉由深入淺出的方式,讓讀者在短時間內掌握WordPress網站安全的重要概念,並能藉此對網站安全問題有更深刻的理解,且能應用所學確保自己網站的安全。 【精彩內容】 Web安全基礎 •安全基礎知識 •雙重驗證功能 •暴力攻擊防護 •密碼破解防護 安全體系配置 •伺服器安全 •本機電腦安全 •檔案保護配置 •資料庫防護 •備份解決方案 安全防護工具 •防火牆設置 •安全防護外掛程式 •系統漏洞掃描 •安全監控工具 •安全性記錄檔監視 *本書作者提供LINE群組,讓您的疑問可以直接與作者正面交流,並在第一時間獲得專業解答。 &
用WordPress打造賺錢副業:跟著帶路姬不用寫程式就能輕鬆架站,成為自媒體經營者
2.8萬人真心推薦! 台灣WordPress第一把交椅.網站帶路姬的實務教學書! 新手們不用怕!手把手教你完成流量網站! 步驟一:[網站企劃] 提供架站前的規劃,從網站定位、架站時間、配備預算切入,不花冤枉錢! 步驟二:[架站流程] 只要5天下班時間,跟著書中步驟、搭配網路影片,擁有自己的網站很簡單。 步驟三:[維護管理] 詳細解說網站備份、提高網站安全速度、提升SEO,以及設計基礎。 步驟四:[創造收入] 透過網站廣告與各種方式引入錢流,創造被動收入。 全球有超過43%的網站是以WordPress架設,這是因為: ✔非程式人員也可以使用。 ✔佈景主題選擇多,人人都是設計師。 ✔功能外掛選擇多,擴充網站彈性大。 ✔輕鬆經營 SEO,有效提升Google排名。 ✔外包轉手很容易。 不想被第三方部落格綁架,自己的網站,自己管理! 還能串連Facebook、YouTube、Instagram, 就讓WordPress打造你的第一張名片! 〔想要兼差有個人網站,非難事!〕 作者導入知名課程「WordPress免費架站入門課程.五天自學衝刺班」,以詳細文字解說,搭配實際操作影片閱讀,只要跟著書中步驟,循序漸近、從無到有,建立起個人的專屬網站。 [專業的架站技巧整理〕 淺顯易懂說明WordPress的架構與核心概念;並精闢點出主機、網域的使用建議;實況分析佈景主題、外掛設定;分享自身經驗如何提高SEO、並創造收入。 熱情推薦 ●小坪數‧輕盈小日子 架設一個部落格並開始經營自媒體,是我近年來做過最美好的決定之一。 初次架站就與帶路姬Erin老師的教學內容相遇,是我的幸運。老師精選出架站必要步驟,降低了學習難度,並搭配實際操作畫面和詳細講解,讓初學者能無負擔地順著流程學習。 幾天時間內,我也順利架設出常被網友誇讚漂亮的網站,現在我依然享受著部落格帶給我的驚喜和成長,由衷推薦大家加入這個有趣的旅程! ●牧羊妮的Notion人生管理術 終於!有一本幫你從零開始打造個人網站的寶典! 還記得當初在創建品牌官網時,苦於不懂寫程式,也沒有預算外包團隊架設,正不知如何是好,就是帶路姬幫我打破這個困境!淺顯易懂的教學方式,精挑細選最實用的思維和方法,只要一步步跟著做,擁有自己的網站真的不是夢!許多人問我網站這麼漂亮,是怎麼做出來的?答案就是:跟帶路姬學準沒錯。 ●林人青ReOpen中年女子日常 以圖文作為主要自媒體經營,WordPress自架站最適合,雖然建構相對簡便,過程還是有不少門檻和細節,很容易卡關,好在遇到網站帶路姬Erin無私又詳細的教學,貼近素人角度口語化說明、理解無障礙,跟著步驟操作短短一週就能將網站從無到有完成上線,真的很有成就感!現在將教學內容更有系統地集結成書,絕對是WordPress架站、經營的秘笈寶典,值得收藏! ●林長揚:簡報技巧|教學技巧|懶人包製作|閱讀筆記 我當初要架設個人網站時,在網路上搜尋了非常多資料,但依然架不出來。為什麼?因為大多數資料有著太多的專有名詞,雖然每個字拆開我都看得懂,但組合起來就像天書一樣。 所以當我看到網站帶路姬的教學時,就好像在沙漠裡看到綠洲一樣。藉著帶路姬平易近人又仔細的步驟,我的個人網站順利完成,也讓更多人能接觸到我。 因此如果你也想要有自己的自媒體網站,我相信網站帶路姬的這本新書一定能幫上你的忙,快入手閱讀,展開你的架站之旅吧! ●微笑娃生活旅行 身為創作者的微笑娃透過自學架部落格網站,在學習的路上因為有帶路姬的無私分享、簡單且有步驟的教學,讓初學的我才能夠更快上手,想自學自媒體第一站千萬不要錯過。 ●鱷魚愛月亮 疫情改變了世界,你呢?改變了什麼?因為親人的離開那種遺憾,久久無法釋懷,於是起心動念,興起那就把心情記錄下來吧!當作人生的筆記本。 一開始,我試了最多人推薦的痞客邦,隨之而來的是廣告舖天蓋地,不想出現廣告還要付錢,沒辦法寄人籬下只能配合,後來換到Blogger,介面簡單,寫著寫著,想要做一個分類的樹狀圖,或是加個特效,才發現事情沒有那麼簡單,沒有理科背景的我根本在看無字天書。 自己架一個網站最一勞永逸,當時心想有這麼簡單嗎?這時我找到了網站帶路姬的網站,標榜用五天下班時間學會架站,邊懷疑邊想,可能嗎?我這理科白癡,那就試試看吧!老師的教學超詳細,一看就欲罷不能,試著跟著帶路姬一步一步的買主機,買佈景主題,一點一滴的架好自己的網站,當文章一篇篇的貼上去,好像有那個樣子了呢!超級開心。 架好自己的網站後,才後悔,應該早早這麼作了,前面浪費了太多時間,找對老師可以事半功倍! 網站帶路姬的教學相當有條理,讓不懂程式的人也能無痛上手,期待老師的新書,能夠陪伴不懂程式的架站新手,順利踏上架站之路。 &
CYBERSEC 2023 臺灣資安年鑑:全面守禦:實現寸土不讓的資安防護
掌握近期企業重大資安事故以及資安防禦觀念,有助於企業了解即將面對的各種挑戰以及如何因應。
密碼管理系統理論與實作:使用 Python 的 Crypto、Tkinter 與 Django 套件
✦ 實作特權帳密管理系統,解決特權帳密控管問題 ✦ 特權帳號與密碼是企業IT部門各項系統的命脈,同時也是資訊安全在管理上的弱點。近年來的入侵攻擊事件,就是利用公司的系統漏洞沒有即時修補,再加上內控不嚴謹所造成的系統帳密被盜用,不僅影響到公司的商譽,還有可能造成難以估計的財損。為了解決特權帳密控管問題,本書將透過現行 Python 所提供的套件(Crypto, Django, Tkinter),研發特權帳密的控管機制並將其實作。 全書分成4章,分別帶領讀者進入密碼學的領域進行編程,除了有密碼學理論進行對照,還用時下最廣泛使用的程式語言 Python,進行密碼系統的開發。 |密碼學的數論基礎與 ISO27001| 總覺得密碼學是難以探究的學門嗎?其實只要有高中的數學程度與耐心,在實作後與理論相呼應,學苟知本會更扎實;此外,依據 ISO27001 的附錄A.10 密碼學的控制措施,可以了解特權帳密管理的必要性。 |使用 PyCryptodome 在 Python 中實現加密演算法程式| PyCryptomdome 提供了所有加解密的函式庫,即使對理論不清楚,也可以進行實作。Python 易學易懂,有許多函式庫與社群支持,相關技術可以藉由網路搜尋,相輔相成加速開發。 |Tkinter 搭配 Crypto 實作加解密的應用介面| Tkinter 是視窗程式的開發套件,可實作使用者端的 UI,是 Python 用來開發應用程式的熱門函式庫。本書在每個範例程式碼都有說明與解釋,確定資料流後,完成實作上的輸入與輸出。 |用 Django 來 Web化密碼管理系統| Django 是網頁應用程式的框架,MVC(Model-View-Controller)的架構。本書實作的密碼管理系統,結合了 SQLite 資料庫,將密碼管理系統架在網路上,實現 Web化。 本書特色 🔑從基礎數論到密碼學 密碼學的基礎就是數論,每個理論都有數學作為對照,協助讀者了解基本原理。 🔑特權帳密管理系統實作 Crypto 套件提供豐富的加解密演算法,確定加解密流程後,用 Tkinter 設計 UI介面,並透過 Django套件將應用程式 Web化。 🔑ISO27001管理機制 依照 ISO27001(資訊安全管理國際標準)的「存取控制」、「密碼」、「作業的安全」等相關條文進行實作,以符合管理需求。 & 目標讀者 ☑ 製作密碼學專題的高中、大專學生 ☑ 針對密碼學研究領域的碩博士生 ☑ 業界資訊安全研發人員 ☑ 對密碼學理論與實作有興趣的人 & |本書「實作範例檔」,請至博碩官網下載| &
親密的駭人:堅固網路安全建設從內網開始
◆ 道高一尺、魔高一丈 ◆ ◆ 要能防止我們的生活被侵害,數位安全的重要性不言而喻 ◆ & 當今社會,我們已經習慣將工作生活建立在數位科技之上,如:雲端服務、作業系統、社群平台等等,可以說人類的社會活動是高度依賴數位世界的。 & 但在黑暗的對立面,一直有一群高手不斷在模擬惡意的攻擊──也就是「滲透測試」。滲透測試就像是自我防疫的免疫機制,在安全保障系統中承擔非常重要的作用。 & 內部的安全沒有顧好,何來整體網路的平安幸福呢?能夠熟練掌握內網滲透的各類知識原理、熟練運用各種指令稿工具,並能夠同時自己撰寫對應工具,才是目前針對內網安全的真本事。 & 本書傾注了諸多實戰人員的經驗和專業的理論知識,並透過系統化的方式將內網滲透領域細分整理出來;既可以做為技術同好內網滲透入門的一本指南,又可以作為企業建設知識圖譜,甚至可以當作網路運行維護工程師的必備手冊。如果您有心從事網路安全,相信本書會是你最棒的一個起手式。 【本書看點】 ✪ 內網滲透基礎知識 ✪ 內網資訊收集 ✪ 內網轉發與代理的架設 ✪ 內網許可權提升 ✪ 內網橫向移動 ✪ 內網許可權持久化 ✪ Kerberos專題 ✪ NTLM中繼專題 ✪ Exchange攻擊專題 ✪ 免殺技術初探 & 【適合讀者】 ☛ 內網安全初學者、研究者 ☛ 網路安全、維護運行工程師 &
從硬體到 APP 層級: IT 系統全平台完整監控
☆ ★☆ IT系統監控分層解析完全攻略 ☆ ★☆ 現代社會已完全依賴 IT 架構的運作,從商業機構、研究機構一直到政府機關等;將整個架構分層一直是處理這類問題的基本原則,如果能監控每一層元件的運作狀況,在出問題時才能快速解決讓服務恢復正常。 各類基礎設施發生異常時即時探測異常、迅速定位問題原因、快速解決異常,以及總結經驗、避免再次發生類似問題,取決於監控系統的支援程度。 本書最大的特色,就是將「系統分層說明」。從底層基礎的硬體監控開始向上建築。監視了最基本的網路、CPU、記憶體、儲存設備,目前雲端運算的基礎運算單元為虛擬機,本書也有說明虛擬機平台(以 VMware ESXi 為主)的監控。再上一層為 OS 的監控,包括 UNIX 類及 Windows 類。在 IAAS 之上的就是 PAAS 了,包括了資料庫(SQL 及 NOSQL)的監控。 本書另外一大特色就是介紹了「中介軟體的監控」,目前市面上極少有書涉及。近來服務都運行在容器中,因此自然少不了容器及 K8S 的監控。最後一層就是應用程式本身的監控了。 本書也有提及多種指標來觀察,此外在系統執行每一層所產生的記錄檔,也可以對其進行監控及分析。近年來 AI 盛行,利用 AI 進行系統監控成為主流,本書也有詳細說明。 本書特色 ★ IT 系統監控分層解析完全攻略 ● 監控系統規劃及原理 ● 硬體裝置監控 ● 虛擬機器監控 ● 作業系統監控 ● 資料庫監控 ● 中介軟體監控 ● Docker 容器監控 ● Kubernetes 監控 ● 應用監控 ● 記錄檔監控 ● 智慧監控 ★ 金融系統監控大師親著 本書作者從事金融業 IT 系統監控多年,大家都知道金融業的安全等級是所有行業最高的,其應用本身對各種大型監控軟體的熟練,以及對監控知識的全面了解,撰寫了這本書。 ★ 系統運行維護必備 運維工程師透過對本書的系統學習,可以對監控系統的基本原理、設計思想、實現方式等內容有全面理解及深入掌握。 &
