![夏季暢銷[第三波BN]](https://static.kingstone.com.tw/resp/600x120_summertop_20250911.webp)
駭客文化深度解密
內容簡介:成就科技世界的人事物趣味導覽 「很少有科技類書籍會被形容為『令人愛不釋手』的,但Kim Crawley的《駭客文化深度解密》絕對值得這個讚譽,當之無愧!對於阿宅和『資深』創客來說,書上各個角落都能發現令人會心一笑的情懷,還有許多新潮或常被忽略的細節。我們的科技歷史中擁有如此豐富與多樣的人物、角色與小東西,在Crawley敏銳的洞察力之下,它們全都躍然紙上、栩栩如生。衷心期盼第二輯問世。」 -Marc Loy,《Java學習手冊》作者 駭客文化或許深奧,但這本妙趣橫生的解密之書可以帶你一腳踏入這個世界,然後難以自拔。資深網路安全研究人員暨作家Kim Crawley撰寫的這本有趣的指南,為你介紹駭客編年史上的關鍵人物與公司、基本概念,以及代表性電影、遊戲與雜誌。從氣隙實體隔離網路,到竊聽僵屍惡意軟體,掌握這些術語,是深入理解駭客文化與歷史的關鍵。 若你的駭客之旅正要啟程,可在這本書裡得到許多豐富的學習指引與文化典故。經驗老道的駭客則能在這裡發現那些與大家熟悉的文化元素相關的深度歷史,還有諷刺、幽默又令人驚奇的事實。 *理解駭客文化與網路安全的關係 *瞭解駭客信仰背後的想法,像是「知識應該免費」 *探索駭客文化的核心主題與出版品,包括《2600 Magazine》 *欣賞網路安全的發展歷史 *學習駭客文化史的關鍵要素 *釐清駭客與網路罪犯的本質差異
圖解密碼學與資訊安全(3版)
●認識密碼學運作的基礎原理●掌握密碼學在資訊安全的角色●學習完整資訊安全防護的認知與技巧●圖文搭配,化繁為簡,提高學習效果密碼學是一門將訊息進行加密處理與傳遞,以及將加密訊息進行解密的科學。本書並不強調在密碼演算法的推導與闡述,而是由密碼的運作原理與流程,搭配介紹網路環境資訊安全的風險與成因,逐步導引讀者學習密碼學應用在資訊安全領域,進而達成安全防護的關鍵。本書分為資訊安全與密碼學概論、網路基本概念、密碼學基礎、公開金鑰基礎建設、憑證授權中心實務、智慧卡&自然人憑證,共六個章節。內容的撰寫以一頁文字、一頁圖表搭配解說為原則,將複雜艱澀的密碼學運作流程與環境簡潔明白地呈現。本書可作為導入密碼運作的系統規劃設計參考,也可作為相關課程與教育訓練的教材。無論是從事資訊相關行業的人員、身處資訊應用環境的使用者、學生,或是任何對於資安有疑惑的大眾,都能透過本書輕鬆學習到符合實務所需的密碼學與資安知識。
超圖解網路安全入門:從基本觀念、網路攻擊手法到資安防護,一本全掌握!
★資安專家親自講解,內容深入淺出,一本完整掌握與生活息息相關的「網路安全」! ★從5大面向解說60個與網路安全相關的知識,超好懂的網路資安入門書! ★沒有艱澀的專業術語與技術,完整圖解說明、輕鬆易讀,零概念也不用擔心! 詳盡解說×豐富圖解×實用對策跟著資安專家輕鬆讀懂基礎知識、原理和應用,從實踐數位安全到個資安全維護,完整建構資訊素養!試著想像一下你一天的生活。早上出門搭上由微電腦精準控制的大眾捷運,接著使用智慧型手機播放串流音樂並快速瀏覽網路新聞。到了辦公室打開視訊會議軟體與客戶進行遠距會議,中午休息時間,則透過手機App即時看盤下單買賣股票。晚上回到家後登入影音串流平台,一邊吃飯一邊觀賞喜歡的影集,洗完澡後,打開購物網站開始選購各式日用品……在資訊化的現代社會中,從工作到生活,現代人幾乎每天都離不開網路,雖然網路帶給了我們生活上的便利性,卻也使每個人暴露在遭受網路攻擊的危險中,個資外洩、遭綁架資料勒索贖金、透過網路被盜走銀行存款……這些涉及網路安全的犯罪是你我身邊都可能發生的事。千萬不要以為「維護網路安全是專家的工作」,即使是為了消遣或工作而使用手機或電腦的一般人,也應該了解網路安全的知識,才能保護自己、家人,以及公司的資產。什麼是DDoS攻擊和注入攻擊?為什麼應該定期更新作業系統?該怎樣防範惡意軟體感染?本書結合了淺顯易懂的文字說明和完整豐富的插圖,讓不具資安知識的零基礎讀者也能輕鬆閱讀,並理解網路安全的基本觀念、網路攻擊手法與資安防護措施。不妨現在就翻開本書,培養自己的資安意識,在保護個資的同時也避免受到網路犯罪的侵害!
裂縫碎光:資安數位生存戰
本書將資安推理化為一場關於證據與迷霧、虛擬與現實、信任與操控的敘事探索。在精采的劇情編排中,讀者不僅能夠身歷其境地跟隨角色一同追查真相,同時也學習並理解當今最新的資安防禦知識與技術——從數位鑑識、監控工具、容器安全、蜜罐部署、暗網追查、區塊鏈證據保全,以及AI偽造等實務。 ✪內容簡介✪我們的故事,看到的不只是工具與程式碼,更是「真相的碎片」如何被收集、比對、驗證。與此同時,當你所看見的照片、聲音、訊息都可能經過AI模擬或生成,那麼真實到底在哪裡?當一行行日誌成為破案關鍵,這些看似冷冰冰的數據,其實攤開了一場場充滿人性與風險的無聲戰爭。本書將資安推理化為一場關於證據與迷霧、虛擬與現實、信任與操控的敘事探索。在精采的劇情編排中,讀者不僅能夠身歷其境地跟隨角色一同追查真相,同時也學習並理解當今最新的資安防禦知識與技術——從數位鑑識、監控工具、容器安全、蜜罐部署、暗網追查、區塊鏈證據保全,以及AI偽造等實務。每一位對資安數位生存戰有興趣或渴望一場知性與想像力並重的閱讀冒險的讀者,一定要讀一讀這本推理小說。《裂縫碎光》會讓你看見不同的資安世界,從裂縫中尋回真正的光。
白話Web應用程式安全:洞悉駭客手法與防禦攻略
內容簡介:應用程式安全是Web開發人員最關心的議題,無論是以前端框架開發使用者界面,還是建置後端伺服器,都需要洞悉威脅,並清楚掌握如何防止駭客佔上風。 本書內容涵蓋瀏覽器端和伺服器端的應用程式安全所需知識,是開發人員必讀寶典,書中提供經過驗證的技術,可適用於任何技術堆疊,並以作者親身經歷加以說明,讀者可學到必要實作的安全原則,甚至還能一窺駭客用來攻破系統的巧妙工具和技術。 本書包含: .安全第一的開發流程 .網頁應用程式中的加密技術 .供應鏈和API攻擊 .遭受駭客入侵時的因應之道 適合具備基本 Web 應用程式設計與相關技術知識的讀者。 ⭐⭐來自專家的推薦⭐⭐ 深入探討Web漏洞的『成因』,從駭客視角理解弱點如何被利用,進而有效保護自己的系統。 —— Sudesh Kannan,首席網路安全與隱私創新工程師 每位Web開發人員都應該瞭解的Web App安全知識。 —— Michael Piscatello於南新罕布夏大學 生動介紹安全威脅及解決方案,讓讀者瞭解背後的『原理』和『成因』。 —— Jaehyun Yeom於Bear Robotics 強烈推薦本書!裡頭還包括最新和最出色的程式範例。 —— Najeeb Arif於Thoughtworks
Windows APT Warfare:惡意程式前線戰術指南(第三版)
全台第一本反守為攻的資安教戰守則!應讀者熱烈反應,第三版火熱上市!新增章節教你探索系統核心!囊括了近年第一線各國之國家級網軍曾使用過的奇技淫巧,從扎實的基礎逐步剖析攻擊原理與復現惡意利用。★內容由淺入深,務使讀者打下最穩固的基礎,讓所學更能應用在實戰上★編譯器原理、作業系統與逆向工程實務,一次網羅學習逆向工程的三大主題★全台第一本,從攻擊方角度剖析網軍在野行動所使用過的軍火細節,化被動為主動更能見招拆招!★軟體工程師、資安研究員、逆向工程愛好者、滲透測試人員、資安防護產品工程師、對駭客技巧有興趣者的必備好書本書是作者以自身逆向工程十年的經驗累積而成,其中結合了編譯器原理、作業系統與逆向工程實務三者混著介紹的書;坊間已經有了許多獨立介紹單一主題且非常深度的書,然而逆向工程實際上需要有這三個不同領域都非常扎實的基礎與脈絡才能融會貫通,作者因而催生了撰寫一本專為逆向工程有興趣的入門者撰寫書籍的想法。此書內容由淺入深,從基礎的C語言原始碼開始談及編譯器如何將它編譯,並且遵照可執行檔案格式(PE)封裝為靜態*.EXE檔案,接下來是作業系統如何解析*.EXE檔案並裝載為Process使其能真正的執行起來的完整流程。其中,除了介紹扎實的作業系統實現基礎外,並帶以各國網軍(如 CIA、海蓮花、APT41)曾玩轉這些基礎的惡意利用手段,使讀者能一窺網軍如何操作這些奇技淫巧來打擊防毒軟體。這本書的內容能讓無論是網軍、逆向工程愛好者甚至威脅研究員都能以紅隊視角打下對PE格式扎實的基礎!在第三版中,我們又加入了一個全新的章節名為「武器化的系統核心探險」。這個章節將圍繞在微軟現代系統核心的主要幾大防護支柱玩轉與介紹,內容整理並部分節錄自筆者於 HITCON 2023 年議程《現代內核漏洞戰爭 - 越過所有核心防線的系統/晶片虛實混合戰法》、與加拿大研討會 SECTOR 2023議程《Advancing BYOVD to A New Era - Lateral Movement on Microsoft Layer Kernel Virtualized Mitigation》探索了不僅止於核心利用與微軟虛擬化防護 VBS(Virtualization-based Security)透過 ROP 手段如何繞過並奪下系統核心執行權限的細節。本書線上資源下載https://github.com/aaaddress1/Windows-APT-Warfare
LLM資安教戰手冊∣打造安全的AI應用程式
內容簡介:💥 AI工具爆炸性成長,從ChatGPT到企業內部專屬LLM,生成式AI已大量融入我們的生活與工作。但我們真的準備好「安全上線」了嗎? LLM帶來前所未見的創新機會,但同時也伴隨著新型態的安全風險,從prompt injection、資訊外洩,到代理人失控、幻覺誤導,每一項都可能讓AI工具從生產力助力變成潛在風險來源。 《LLM資安教戰手冊|打造安全的AI應用程式》由LLM資安教父、OWASP「LLM 十大安全風險」專案負責人Steve Wilson撰寫,被業界譽為「創新者必讀之作」,是目前最系統化、最具實務操作性的 LLM安全指南。 書中全面探討LLM應用開發中常見的十大風險,搭配實際案例與對應策略,幫助你在開發初期就建立正確的安全架構思維。從威脅情境、風險辨識,到實用防禦技術與風險最小化原則,內容清晰易懂,實作性高,適用於各種LLM應用場景。 🎯聚焦探討LLM的安全性,為開發者提供具體的安全策略和最佳實踐。 📌涵蓋設計、部署和維運過程中的的關鍵安全挑戰。 🎯透過實例分析,協助讀者理解並應用防範措施,有效預防安全漏洞。 📌適用於AI工具開發者、產品經理、資安人員及企業技術決策者。 不論你是AI開發新手,還是負責導入LLM的企業技術主管,這本書都能幫你掌握攻防思維,補強資安弱點,打造能安心上線的AI應用。 ------------------------------------------------------------- 「這本書對於AI開發者和紅隊演練專家至關重要,它將巨大的風險轉化為可管理的挑戰,提供了專業知識,以保障基於LLM應用的安全。」 —Marten Mickos,HackerOne執行長 「由LLM資安之父Steve Wilson撰寫,一本創新者的必讀之書。」 —Sherri Douville,Medigram執行長 「根據我在AI 紅隊的經驗,我全力支持這本書中頂尖的全端方法及其嚴謹、多面向的見解。」 —Ads Dawson,Cohere資深資安工程師 「這本書是當我們傾盡全力快速採用GenAI和LLM,並確保組織結果安全時,關於資安產業重要且全面的指南。」 —Chris Hughes,Aquia總裁及Resilient Cyber創始人 LLM不僅塑造了AI的發展軌跡,也揭開了一個充滿安全挑戰的新時代。這本實用的書籍將帶您直擊這些威脅的核心。作者Steve Wilson是OWASP(開放式Web應用程式安全計畫)「Top 10 for LLM Applications」的計畫負責人,他將重點放在使用LLM建立軟體時必須處理的特性與弱點。 本書為開發人員和資安團隊提供了真實世界的指導及可行的策略,協助你應對LLM應用程式的挑戰。無論是要建構新的應用程式,還是要為在現有的應用程式中加入AI功能,這本書都會是你要掌握AI下一個新領域資安環境的必備資源。 你將會學到: - 為什麼LLM會帶來獨特的資安挑戰 - 如何應對使用LLM技術所帶來的風險 - 與LLM相關的威脅環境,以及必須維護的重要信任邊界 - 部署防禦措施的方法,以保護針對主要漏洞的攻擊 - 改善軟體開發流程的方法,以確保建構安全可靠的AI應用程式
你的網站非常危險:Web安全攻防滲透駭客現場直播
https://youtu.be/4fr3QZEZcrg☆★暢銷好書,好評再上市★☆◆ 滲透測試之資訊收集,包括域名、子域名、旁站C段、通訊埠、社會工程學◆ DVWA漏洞平臺、SQL注入平臺、XSS測試平臺◆ 滲透測試過程中「神器」:SQLMap、Burp Suite和Nmap◆ 暴力破解漏洞、SQL注入漏洞、XSS漏洞、CSRF漏洞、SSRF漏洞、檔案上傳漏洞、命令執行漏洞、越權存取漏洞、XXE漏洞、反序列化漏洞、邏輯漏洞◆ WAF的基本概念、分類、處理流程、繞過WAF及WebShell的變形方式◆ 雲端環境和Redis服務的滲透◆ Metasploit和PowerShell技術實戰全書共分9章:第一章主要介紹進行滲透測試之前,最重要的資訊收集。第二章說明漏洞環境的架設(使用Docker),示範了DVWA漏洞平臺、SQL注入平臺、XSS測試平臺。第三章介紹常用的滲透測試工具SQLMap、Burp Suite和Nmap。第四章說明Web滲透測試的核心技術包括暴力破解漏洞、SQL注入漏洞、XSS漏洞、CSRF漏洞、SSRF漏洞、檔案上傳漏洞、命令執行漏洞、越權存取漏洞、XXE漏洞、反序列化漏洞、邏輯漏洞。第五章介紹WAF的基本概念、分類、處理流程和如何辨識。第六章詳細介紹雲端環境和Redis服務的概念、滲透想法、實際應用以及實戰案例。第七章講解程式稽核的學習路線、常見漏洞的稽核場景和技巧。第八章說明Metasploit的發展歷史、主要特點、使用方法和攻擊步驟,並介紹具體的內網滲透測試實例,也介紹了PowerShell的基本概念、重要命令和指令稿知識。第九章過幾個實際案例介紹了程式稽核和滲透測試過程中常見漏洞的利用過程,讓讀者累積經驗,關注細節,最終挖掘到漏洞。
CYBERSEC 2025 臺灣資安年鑑:全球地緣政治衝突激化,國家級駭客鎖定企業
◎代理經銷:白象文化掌握近期企業重大資安事故以及資安防禦觀念,有助於企業了解即將面對的各種挑戰以及如何因應。
究極Web資安心智圖學習法!嚴選12大主題 × 7張心智圖 × 7個實戰,核心技能無痛升級(iThome鐵人賽系列書)
【本書特色】 ★ 從開發者的視角了解常見的 Web 攻擊以及相應的防禦方式。 ☆ 以心智圖形式引導,逐步「了解攻擊,學習防禦」,並一起思考、融會貫通。 ★ 使用不同關鍵詞為核心主題,分享相關名詞與概念、認識流程與必備知識。 ☆ 設計給初學者的專案教學,搭配清楚的圖文步驟,協助快速上手實踐安全開發。 結合心智圖、實戰範例與思考提問打造一套真正內化的資安學習體驗【重點摘要】❏ 圖像資安學習:用心智圖統整重點,幫你理清觀念、加深記憶❏ 循序漸進引導:從基礎概念出發,搭配練習與實例,打造紮實底子❏ 新手友善入門:以非資安背景的視角出發,幫你減少學習焦慮❏ 激發資安思維:從開發者角度出發,透過實例與提問,理解資安背後的邏輯本書內容改編自第15屆iThome鐵人賽Security組優選系列文章《從自建漏洞中學習-一起填坑吧》。並在原始基礎上進行重整與補充,打造更適合初學者閱讀的資訊安全學習筆記。全書以心智圖作為知識整理與呈現的方式,幫助讀者在龐雜的資安主題中建立脈絡感,快速掌握核心概念與學習順序。本書不教如何繪製心智圖,而是運用圖像化的整理方式,將抽象的資安概念轉化為可理解的學習地圖。內容涵蓋資安基礎、常見攻擊手法、開發常見弱點與安全對策等,搭配範例與引導式提問,讓讀者思考每個知識點的意義與應用場景。這不只是一本Web資訊安全的入門書,更是陪伴學習的思考筆記。適合剛踏入資安領域的學習者、來自開發背景但對安全有興趣的工程師,或是正在尋找一條清晰起點的轉職者,一起從圖像、提問與實例中,慢慢建構屬於自己的資安學習路徑。【目標讀者】◘ 對資訊安全感興趣,期望建立基礎觀念的開發者◘ 希望跳脫教科書式學習、尋找實用路徑的資安學習者◘ 喜歡圖像整理、重視理解與脈絡的視覺型讀者
一個人的藍隊:企業資安防護技術實戰指南(iThome鐵人賽系列書)
【本書特色】 ⬛一個人的藍隊,也能打造銅牆鐵壁 沒有專屬SOC團隊?經費不足、資源有限?本書專為這樣的環境設計,帶你從零開始掌握資安防禦策略,善用開源工具,在有限資源下構築強韌的安全防線。 ⬛從雜亂到有序,打造流暢的資安防禦體系 資安不是比誰的工具多!本書帶你從策略出發,理解不同防禦機制的核心概念,進而選擇最適合的資安工具。從即時監控、弱點掃描到威脅情資,交互運用有效整合關鍵防禦能力,打造有章法的安全營運。 ⬛Wazuh、OpenVAS 不只會用,更要用得對 這些強大的開源工具,你可能聽過、用過,但你真的發揮它們的最大價值了嗎?本書不只教你如何安裝與操作,更深入剖析運行原理、進階操作、整合方式,幫助你發揮最大效益。 本書專為資源受限的環境提供實戰導向的資訊安全解決方案,涵蓋防禦策略、威脅情報、弱點管理、安全監控,並解析Wazuh、OpenVAS等開源工具的應用技巧。透過詳細實作指南,幫助讀者建構有效且可落地的資訊安全防禦體系,無論你是新手、專業從業者,或獨自撐起企業資訊安全防線的「Blue Man」,本書都是不可或缺的實用指南。 在數位戰場之中,藍隊作為企業組織資安防護的關鍵角色,不少公司都會打造堅韌的防禦團隊或是採用SOC委外服務。而許多的中小企業,可能無法有足夠的資源去打造一個專屬的資安防禦團隊,沒辦法聘用多個不同職掌的資安人員,只能當個兼任的工程師,形成了一人多工的情況。別人是Blue Team的時候,而你是Blue Man,要如何能夠與之抗衡呢?本書內容改編自第15屆iThome鐵人賽Security組系列文章《一個人的藍隊》。針對中小企業與資源有限的環境,提出具體可行的解決方案,以實戰導向逐步介紹藍隊技術的核心概念與實作方法,涵蓋防禦策略、威脅情資、弱點管理、安全監控。
資安密碼-隱形帝國:AI數位鑑識、社交工程攻防與現代密碼技術實戰
|專業推薦|本書是圖書市場上少數能讓一般讀者輕鬆上手的資安科普佳作,其親民的內容結構,將深奧的資訊科學轉化為人人可懂的實用智慧。以獨特的對話與敘事方式鋪陳,讀者彷彿身處故事情節中,隨主角一同探索假消息的辨識技巧、社交工程的防範要訣,以及人工智慧如何協助我們對抗數位威脅。── 張仁俊,國立臺北大學教務長、資訊工程學系特聘教授本書以淺顯易懂、貼近生活的小說型式,介紹常見的資安問題。透過本書,你將發現資安與我們的生活是如此地貼近,我們及人工智慧竟然就可架起阻擋駭客攻擊的第一道防線,資安演練竟然如同遊戲一樣有趣。── 許富皓,國立中央大學資訊工程學系教授本書透過情境闡述的方式讓讀者身歷情境,除了資安學院師生間的詼諧互動之外,學院夥伴更能應用所學來應對伏網盟的陰謀。透過本書,讀者不僅能夠了解資安、AI與密碼學在數位時代的基本應用,更能學習如何以防禦思維應對社交工程和攻擊者的威脅。── 周智禾,數位發展部資訊處處長|內容簡介|透過小說故事劇情的敘事口吻,講述著史考特、凱哥、傑森、蓋瑞一行人,在現代資安科技帝國大學-佛倫鉅鎖中,於資安與數位鑑識學習之路的精采歷程,伴著波尼教授、安潔教授與易杉校長的悉心指導與彼此的談笑風生中,共同面對著神祕的駭客犯罪組織「伏網盟」所帶來的嚴峻挑戰。從書中的章節編排、資安&鑑識議題的探討上,讀者能學習:真假消息的識別、社交工程攻擊與防禦策略、密碼安全、紅藍紫隊在資安中扮演的角色、生物辨識身分認證外,亦介紹了時下最新的人工智慧深度學習技術於資安上的應用。透過本書,您能藉由趣味的對話式敘事口吻來學習資安與數位鑑識技術,有別於枯燥乏味的理論內容;更能以平易近人的方式吸收豐富的資安知識。不僅適合初探資安領域的初學者來了解資安與數位鑑識的世界;對於具備資安相關背景的讀者,也可內容中來累積背景知識與實務操作的能力,是一本兼具娛樂性與教育性的讀物。|目標讀者|本書做為「數位神探」系列叢書,推薦給想深入了解目前資安&鑑識、人工智慧領域,提升數位偵探技巧的有志之士,從資安的角度,推敲琢磨裡認識可能遭遇的風險及可採取的防護措施。
資安鑑識分析:數位工具、情資安全、犯罪偵防與證據追蹤
資安,簡單來說,是為了讓人們在使用數位服務時感到安全,也是現代科技的保護盾。隨著數位生活的深入,如何確保資料安全與真實性成為關鍵,本書介紹現代資安的核心面向,從數位證據的蒐集、鑑識流程到工具應用及網路安全問題,全面解析資安與數位鑑識在數位時代的角色。然而隨著科技快速發展,數位犯罪與資訊威脅也日益嚴重,本書透過實務案例和工具介紹,帶領讀者了解如何確保數位安全、識別威脅、並蒐集具法律效力的證據,適合對數位鑑識有興趣的讀者,提供詳盡的資安知識。❑ 證據取得從數位證據的定義、處理到儲存與管理,探討了證據在數位鑑識中的關鍵作用。透過詳細的證據處理程序,學習到數位證據的各種類型、映像檔製作與應用,以及證據保存的注意事項。❑ 鑑識工作著重在調查技術與還原事件真相。第二章至第五章深入介紹了數位鑑識的概念及應用,包括Windows和Unix系統的鑑識技術和證據萃取流程,並提供實例來強化理論和實務的連結。❑ 鑑識工具針對多種鑑識工具進行介紹和比較,涵蓋FTK、EnCase等專業工具的功能和操作,並進一步探討Linux和智慧型手機鑑識工具的應用,幫助讀者有效運用工具提升數位鑑識的效率。❑ 科技資安面對當前數位網路的危機,分析了網際網路、社交網路及雲端運算環境中的資安挑戰。透過實例說明瀏覽器、即時通訊等應用程式中的資安風險與鑑識技術,能更了解數位環境中的潛在危機和應對方法。
SRE工作現場直擊!:維運起點x實戰經驗x職涯規劃面面觀(iThome鐵人賽系列書)
本書改編自第 15 屆 iThome 鐵人賽DevOps 組冠軍系列文章《一窺 SRE 初心者的生活:讓警報為您的人生畫下如交響樂一般的新篇章》作為一本專為 SRE 新手設計的指南書籍,本書將帶領讀者深入了解 SRE 的日常工作、挑戰和成功經驗。除了技術解說之外,本書提供了業界第一手的實戰經驗以及職涯參考建議,並主要區分為以下五大單元。• 監控系統:講解監控系統的設計原則。• 日常維運:介紹 SRE 日常可能參與到的維運工作。• 重大 P0 事件:解釋重大的系統事件與處理過程。• 重要事件:說明那些因應特殊情境而交付予 SRE 的任務。• 職涯建議:分享以 SRE 作為職涯選項時會需要具備的能力和心態。【本書特色】本書所有內容皆以作者在公司的實際經驗作為分享核心,並以真實案例切入來作為每個篇章的主題。實戰經驗的好處在於不會淪為紙上談兵,因此本書可以確保讀者所收到的資訊都是實際業界可能面臨的狀況,也能進一步理解業界真正的運作模式。本書除了讓讀者更瞭解SRE 的工作內容之外,也會提供職涯上的參考,協助有興趣的讀者評估自身的職涯規劃,在職場上獲得更好的機會。無論是剛入門的新人,還是想要精進技能的專業人士,本書都是不可或缺的參考工具。【評審推薦】本書做為 SRE 初心者或有些經驗的工程師來說都會有所收穫,書中引用的案例通用性高,作者對情境與程序的描述也清楚具體,如果你正在苦惱不知如何開始了解 SRE,我想這會是一本合適的入門書籍,在此推薦給各位。商業思維學院|Gipi 游舒帆 院長演繹法的 SRE 資料已經很多了,說教意味濃厚的甚至帶給人距離感;歸納法的 SRE 資料則非常稀少。這也是這本書令人驚艷之處:接地氣的實務案例,彷彿在看一本故事書。尤其對於曾經身處同一產業的我來說,字字句句真的都是 SRE 血淚心得。敏捷魔藥師|葉秉哲 (William Yeh)
從零開始 OCS Inventory:打造資訊資產管理 × 資安CVE漏洞通報(iThome鐵人賽系列書)
♛ 第一本專門為 OCS Inventory 量身打造的本土實戰指南 ♛ 打造專屬於你的資安弱點通報機制 本書內容改編自第15屆iThome鐵人賽IT管理組佳作系列文章《OCS Inventory:開源資產管理解決方案》。不同於艱澀難以理解的官網手冊,帶領您一步一步從系統安裝到實際的應用情境,用系統性並循序漸進的方式教學,是您最適合入門的新手書。 近年來,隨著金管會積極推動強化上市(櫃)公司資通安全管理的措施,證交所及櫃買中心已訂定資通安全管控指引供公司參考。此外,公司治理評鑑指標也將導入ISO 27001等資訊安全管理系統作為加分項目。值得注意的是,ISO 27001:2022新版的控制措施增加了「組態管理」和「威脅情報」。 因此,本書將從資訊資產的「組態管理」開始,教您如何針對各式各樣的資訊設備進行組態盤點,以及如何自動化大量部署或更新等應用,從而大幅提升管理人員的管理效率。再藉由「組態管理」所盤點到的軟體資訊,延伸到與「威脅情報」的整合,可以識別目前企業所安裝的軟體中存在的漏洞並發送告警訊息。 值得一提的是,數位發展部底下的國家資通安全研究院也推出了一套資通安全弱點通報系統,用以協助公家機關落實資通安全管理法中的資產盤點與風險評估。也就是說,按照本書的教學,您也可以打造出一套專屬於自己的資通安全弱點通報解決方案。 重點摘要 ✦ 從零開始入門 搭配實際操作畫面,漸進式學習無負擔 ✦ 設備組態管理 支援多樣作業系統,隨時取得最新組態 ✦ 軟體弱點掃描 整合威脅情資蒐集,自動掃描軟體弱點 ✦ 遠端部屬軟體 代理程式自動派送,強化企業維運效率 本書可以學到哪些知識 ● 盤點伺服器與使用者設備的硬體規格及安裝了哪些軟體 ● 取得最新的 CVE 漏洞資料庫與現行已安裝的軟體進行比對 ● 透過 Grafana 客製化自己的 CVE Reporting ● 透過 Zabbix 監控 CVE 的數量並即時告警 ● 封裝與透過 GPO 軟體派送大量部署代理程式 ● 將已部署的代理程式進行版本升級或降級 ● 使用代理程式遠端部署或移除相關應用程式 ● 使用代理程式遠端執行 PowerShell 與 Windows 執行檔 ● 使用代理程式遠端部署檔案或資料夾 ● 安裝外掛程式來取得 Office 授權金鑰確認是否有人私自使用盜版的金鑰 ● 使用 IP Discovery 來檢索所有的連網設備與生成企業網絡地圖 ● 使用 SNMP Scan 來增強 IP Discovery 獲得更多的識別資訊 目標讀者 .想要導入ISO 27001的企業 .企業的資安專責人員 .企業的系統管理人員 .想了解組態管理的組織或個人 .對威脅情報有興趣的組織或個人 專業推薦 在廣大的企業環境中,IT 資產盤點永遠是難以被滿足的需求之一,除了功能滿足之外,還有經費不足等等各種內部問題。好在 Ivan 願意把他在 OCS Inventory 上的寶貴應用經驗分享成書,讓我們多出強大武器應對各種 IT 環境的難題,包含看板設計與安裝派送教學,甚至連整合 CVE 達成 VANS 的資安整合應用都做到了,簡直是 IT 單位必備良藥!──── 鄭郁霖 Jason Cheng(節省工具箱有限公司 技術總監/中華民國軟體自由協會 常務理事)
Beyond XSS:探索網頁前端資安宇宙
☆★☆★☆原理說明 x 攻擊技巧 x 防禦手法 x 實際案例☆★☆★☆ ☆★☆★☆系統性學習網頁前端知識以及資安☆★☆★☆ ☆★☆★☆從資安角度重新學習網頁知識☆★☆★☆ 相信我,前端工程師所接觸到的前端,只是整個網頁前端的冰山一角。 曾經我以為自己很懂前端,做過了幾個專案,當了幾年的工程師,想說前端不就這樣嗎,直到我接觸了資安,才發現自己傻得可以。 從前端資安的角度切入,帶我看到了以前不會看到的東西,讓我更了解整個瀏覽器跟各種機制的運作,並且把這些知識再帶回前端,完整了自己的前端知識圖譜。 這是一本從網頁學習資安,也從資安學習網頁的書籍,無論是對網頁還是對資安有興趣,一定都能開拓視野並得到收穫。 &
二進位安全基礎:回歸電腦最原始的加密機制
★二進位安全概述 ★基底資料型態 ★運算式,流程控制 ★函數,變數 ★陣列和指標,結構 ★C++反組譯 ★其他程式設計知識 ★二進位漏洞挖掘 ★軟體逆向分析 本書為二進位安全技術知識普及與技術基礎教程,不僅能為初學二進位安全技術的讀者提供全面、實用的C語言反組譯知識,而且能有效培養讀者的漏洞挖掘和軟體逆向分析基礎能力。全書共12章,內容包括二進位安全概述、基底資料型態、運算式、流程控制、函數、變數、陣列和指標、結構、C++反組譯、其他程式設計知識、二進位漏洞挖掘(PWN)、軟體逆向分析。本書適合二進位安全初學者和網路安全從業人員,也適合作為應用型網路空間安全、資訊安全類專業的教材。 &
工控資安銳視角:石化場域 OT / ICS 學習筆記
工業控制系統安全解析深入OT技術與攻防實作本書專注於工業控制系統安全,內容涵蓋操作技術(Operational Technology, OT)的多個方面。OT是工業控制系統的核心,包括 ICS(工業控制系統)、PLC(可編程邏輯控制器)、DCS(分散式控制系統)、HMI(人機介面)與 SCADA(監控與資料收集系統)等眾多元素。本書從煉化廠的製程視角,探討工控系統的底層協定,並將場域模擬成靶機,利用 Python 程式進行靶機攻擊,進而反思藍軍的防禦概念。❑ 第一單元:工業控制這一單元將深入介紹工業控制系統的各個部分,從 OT 安全到具體的控制系統元件,如 ICS、DCS、SCADA 及 PLC。學習內容包括 PLC 階梯圖、AB 接點操作,並解釋各種專業術語的差異性以及如何使用 NodeMCU 進行模擬。此外,還將涉及到工控領域的通訊協定,包括 Modbus、OPC UA、S7Comm、IEC-104、DNP3 等協定的訊框分析。❑ 第二單元:煉製石化廠域本單元介紹煉製石化廠的操作過程,從蒸餾工場、裂解工場到油氣純化等 16 種不同的操作工場,以及油槽區的基礎知識。此部分同時探討工場的工業控制架構。❑ 第三單元:藍軍與紅軍在此單元學習 ICS 的網路入侵檢測技術及針對協定的攻擊方法,包括分析著名的網路攻擊案例。此外,還將介紹如何使用 Shodan 和鍾馗之眼 ZoomEye 等工具來偵測潛在的安全風險,並強調作為一名優秀藍軍的重要概念:知己知彼。❑ 第四單元:實作最後,本書透過從 Lab1 到 Lab10 的系列實驗,帶領讀者完成 STRIDE 模型的攻防學習,實際應用前面單元的理論知識。並且提供線上影片觀看,可以先預覽後,再對照本書進行實作。書本的文字說明結合影像,學習上會比較順手。透過這本書的學習,讀者能夠全面了解並掌握工業控制系統的安全操作與防護策略,為在高風險工業環境中的安全保護打下基礎。目標讀者a.石化資安專題的高中、大專學生b.從資訊安全到工控安全的跨領域學習者c.針對工控與資安領域的碩博士生d.有志進入油水電的資訊與程控人員e.對工控安全有興趣的人☑&本書為國立成功大學【石化資安實務專題】指定用書專業推薦&本書從普渡模型的解析、工控的通訊協定到著名的 ICS 攻擊事件,作者系統性地介紹了從底層協定到資安事件的整體知識。這本書不僅適合工控資安人員,也非常建議管理階層閱讀,以提升對工控系統安全的資安意識。因此,我推薦這本書給所有有志於進入關鍵基礎設施工作的專業人士,無論你是基層人員還是管理階層,都能從中學習工控安全基本知識,期盼這本書能協助更多人認識到工控資安的重要性,共同提升工控安全水平,實現企業永續。——許晋榮|台灣中油公司副總經理暨煉製事業部執行長工控安全是跨領域的人才,本書介紹了機電系應具備的 SCADA、DCS、PLC 等工控系統的運作基本原理,還結合了資訊安全的微軟 STRIDE 模型、KALI,ESP32 與 OpenPLC Runtime / Editor 等軟硬體整合的攻防框架,並用 Python 的 Scapy 工具進行實作,加上煉製工場的介紹,使讀者能夠在攻防模擬實驗中學習,同時體會煉化廠的規模。在十個工控模擬實驗中,讀者能夠親身體驗藍軍與紅軍的攻防對抗,極大地提升了學習的實戰性和趣味性。——李南逸 博士|國立成功大學計網中心教授兼網路與資安組組長工控系統(Industrial Control Systems, ICS)的安全議題涉及到許多層面,這些系統通常用於工業自動化和關鍵基礎設施中,如能源、製造、交通和水處理等。這些議題與民眾生活習習相關。因此,提升這些系統的安全性是至關重要的。此外,最令我印象深刻的是,書中設計了十個工控模擬實驗,帶領讀者完成 STRIDE 模型的攻防學習。這些實驗設計精巧,模擬了實際的攻擊場景,讓讀者能夠親身體驗駭客攻擊手段,進一步了解實際攻擊狀況。——蔡家緯 博士|國立台中科技大學 副教授兼網路工程組組長對於關鍵基礎設施來說,無論複雜度高低,都同樣重要,皆關乎民生的基礎設備。有別於 IT 領域的安全需求,在 OT 領域中,Safty 才是主要的議題。作者在書中介紹了工控領域常見的 SCADA、DCS、PLC 系統,並製作靶機以學習攻防技術。在十個工控模擬實驗中,透過軟硬體模擬成的 ICS 基本架構 Level 0 - 2,讓讀者能夠用駭客工具進行攻擊,深入理解攻防技巧。——劉奕賢 博士|國立成功大學電機工程學系助理教授 兼 資通安全研究與教學中心副主任未來,工控系統的安全威脅將越來越多樣化和複雜化。我相信透過《工控資安銳視角:石化場域OT/ICS學習筆記》,我們能夠全面了解並應對這些挑戰,這本書將會是一本重要的工具書。我推薦這本書給所有關注工控系統安全的專業人士和學術研究者。希望這本書能在工控系統安全領域產生深遠的影響,並促進國家關鍵基礎設施的安全提升。——郭文中 博士|國立雲林科技大學資工系教授在大林廠打拼 20 餘年,見過許多工場因人為因素所造成的工安事件,都是由一連串疏忽所導致不可逆的災害;工控是整個煉製的核心,隨著時間推移,有許多人力斷層造成了新舊世代青黃不接的問題。個人認為這本書除了能帶來工控安全上經驗的傳承,在作者有系統的梳理下,更是填補了工控系統安全知識的一大空白。——羅國暉|台灣中油煉製事業部大林煉油廠 副廠長暨資安長
人手一本的資安健診實作課:不是專家也能自己動手做!(Win10 / Win11適用)【暢銷回饋版】
資安防護必備好書——暢銷回饋中! 找出問題,提前防範! 在個人電腦上建立具備韌性的自我防禦網 資訊安全,是指對於企業或個人有價值數位資產的保護,達成機密性、可靠性、可用性的目標。資安健診則如同健康檢查;尤其是在 IT(資通訊)環境中,通常富含大量且有價值的數位資產。 以「Windows 桌機」為主要資安對象,輔以「伺服器及網路(含封包)分析」來做資安,是本書創新的嘗試!過往資訊人員導入許多資安系統,是為了保護資訊資產;但組織中最能夠產生資訊資產的不是伺服器而是使用者的電腦,而社交工程或變臉詐騙、APT 先進持續攻擊的對象也是以使用者為主。所以本書的初始設定,就是為了讓每個人都能自行或者是在單位資訊人員的協助下,進行資安健診。 本書分成「網路拓撲和封包分析」、「更新與防毒」、「伺服器與資料庫資安」3 個領域,讓讀者快速檢視自己在職場上所缺少的資安 Knowhow,並教你使用「Windows內建工具」及「網路下載小工具」來進行資安健診,強化資安體質。 本書特色 ❑ 善用 Win10 內建指令,資料收集自動化 以前處理辦公室的資通安全稽核,多採用截圖方式,電子化程度偏低。故本書撰寫之初,就確立透過Win10 提供的系統工具,自動產生資安健診所需資訊。 ❑ GCB 政府組態設定 政府組態設定是行政院技術服務中心為作業系統、伺服器、網通設備的資訊安全設定提供很完整的規範,而且時時在更新。但是一方面這些設定數量龐大,二方面設定後可能影響系統現有運作。所以我們必須結合眾多資訊人員的力量,來作好依循政府組態設定的工作。 ❑ 分析網路封包 書中會介紹 Wireshark 的網路封包分析,並且加上封包的地區標誌(例如來自中國或東歐的封包就需要特別注意)。另外也會介紹封包分析的進階練習網站。 ❑ 提供本書讀者雙向互動機制 資安攻擊行為,會進行長期的潛伏,只要及時阻斷就能避免對企業產生重大損失。本書提供和資訊人員互動的 Google 表單,可以將本書中所操作的資安健診資料提出詢問,透過互動來防範資安危機,資安情資也可以透過互動而彼此提醒。 透過本書你可以學會 —— 網路的架構|監聽與分析封包|分析網路設備的紀錄檔|檢視惡意程式或檔案|防範加密勒索攻擊 專業推薦 作者在本書中透過可實作的易懂圖文表原則,來豐富普羅大眾的資安防護知識。是市面上少數針對工作上離不開使用電腦資訊,以非資訊專業上班族為對象的資安實務操作書。身為資安老兵非常樂於推薦。—— 李建隆|台灣電力公司資訊處副處長 這本書的難能可貴之處,在於從平易近人的切入角度,讓非資訊人員也能理解與操作;尤其在資安法規及供應鏈資安的逐步要求下,對於缺乏資訊資安人員的中小企業來說,是隨時可上手的資安健檢的知識來源。—— 毛敬豪|資策會資安所前所長 本書圖文並茂,以目前國內最普遍使用的Windows環境作為範例,一步一步的帶著讀者,從安裝軟體到使用軟體,讓一般使用者都能按圖索驥,把資訊安全的相關軟體安裝在自己的電腦上。即使身旁沒有專業的資訊人員,也可以自行DIY做資訊安全健診,找出問題、提前防範。—— 魯明德|桃園市中小企業榮譽指導員協進會 2018會長 本書以一般員工為對象,明確且具體地介紹資安健檢的用意及目的,也提供詳細的操作步驟,讓讀者可以按部就班地看著本書就能學習操作,並配合完成資安健檢工作。此外,本書還提供了各種表單可直接應用在實務工作上,若有導入ISO27001的機關或公司即可直接引用,這將減少資訊人員許多燒腦的書面作業,堪稱是資安健檢的入門教科書也不為過。—— 粘良祁|彰化基督教醫院資安中心主任 目標讀者 ・Win10 / Win11平台的使用者 ・對資安有興趣的組織或個人 ・大專院校資管或資工科系師生 ・負責單位ISO27001的網管或資安人員 &
資訊安全概論與實務(第四版)(含ITS Network Security網路安全管理核心能力國際認證模擬試題)
*國內資訊安全經典/暢銷第四版「資訊安全」是一門綜合科學,在學習資訊安全領域上,涵蓋了管理面、策略面、技術面等方向,需要從基礎理論的建立延伸到解決實務應用問題,從數位邊界、管理制度到掌握駭客攻擊手法缺一不可。 主要寫給三種類型的讀者: 第一種是在大專、技職院校修習資訊安全課程的學生,可以當作教科書或參考書。 第二種是從事資訊與資安相關工作的專業人士,透過實務的介紹,對於資訊安全所涵蓋的政策面、管理面以及技術面的問題,能夠有更深入的瞭解。 第三種是想要考資訊安全專業證照的讀者,本書提供ITS Network Security網路安全管理核心能力國際認證模擬試題,可累積資訊安全知識、提升實力,取得國際專業證照。 本書學習架構: 第一篇 資安認知與風險識別 資安威脅來自於系統平台、應用程式的弱點,以及使用者對於資訊安全的認知不足,對於資料的保護、資安事件的處理、惡意程式的發展、社交工程與網路攻擊等事件的威脅,掌握資安風險的來源,以及識別可能帶來的影響與衝擊,都是面對資安的議題時,必須考量的關鍵項目。 第二篇 信任與安全架構 建立使用者的身份認證、授權使用的權限以及建立存取控制的機制,以對應資訊安全架構與設計的原則,從國際標準管理系統到建立安全等級與評估準則,透過密碼學來建立資通訊系統基礎的架構,在網路模型各個不同的階層建立對應的資安防護措施,以提供安全的運作架構。 第三篇 數位邊界與防禦部署 面對強化的駭客與網路攻擊威脅,強化數位邊界與防禦部署的能力,以確保在資安威脅的衝擊下仍能持續運作,熟悉資安設備的角色與能力,將有助於將正確的防禦機制部署在正確的位置,強化多層次的防禦機制,建立網路、系統、端點等防禦的能量,以資安威脅情資建立防禦機制。 第四篇 資安管理與未來挑戰 面對資安的威脅,透過營運管理機制以及資通安全相關的法規,可以建立有效的管理制度,並且參考國際資訊安全組織的發展趨勢,掌握最新的駭侵威脅,對於新型態的攻擊手法,必須涵蓋雲端應用服務、物聯網安全與管理等面向,才能夠面對未來的挑戰。
駭客廝殺不講武德: CTF強者攻防大戰直擊
世界頂尖駭客高手齊聚一堂,線上線下互相攻防, 從Catch The Flag生死大戰,讓你知道,你自以為幸福快樂又安全的網路,是多麼的不堪一擊! CTF(Catch The Flag)是電腦史上最著名的安全攻防大戰,由全世界最強的暗黑高手所組成的團隊,互相進行接化發攻防戰。這些厲害到沒有天理、喪盡天良的駭客,可以幾秒鐘就癱瘓成千上萬台防密嚴實的主機,你能想到的安全防護措施,在他們眼中都如同吃飯般容易攻陷,你想了解他們的攻防手段嗎?你想成為他們的一員嗎?本書由獲得多次世界大賽冠軍的Nu1L團隊撰寫,真槍實戰的把駭客每天都在用的技術完整傳授,從Web各種服務,伺服器的基礎、進階、擴充開始,一直到Windows、Linux的漏洞,再加上對各種程式語言的深度了解,如Java, C/C++/C#,CTF的成員就是強的可怕,史上第一本針對這些人的技術,知識,工具大解密,更可以幫助你加強了解網路安全的重要。 本書主要針對CTF入門者,融入了CTF比賽的各方面,讓讀者可以進行系統性的學習。本書包含13章內容,技術介紹分為線上賽和線下賽兩部分。線上賽包含10章,涵蓋Web、PWN、Reverse、APK、Misc、Crypto、區塊鏈、程式稽核。線下賽包含2章,分別為AWD和靶場滲透。第13章透過Nu1L戰隊成員的故事和聯合戰隊管理等內容來分享CTF戰隊組建和管理、營運的經驗。 &
CYBERSEC 2024 臺灣資安年鑑:AI資安2024 徹底剖析生成式AI資安攻防態勢
掌握近期企業重大資安事故以及資安防禦觀念,有助於企業了解即將面對的各種挑戰以及如何因應。
威脅建模|開發團隊的實務指南
「對於那些參與系統開發或關注如何降低系統風險的人,這是一本必看的書籍」 -Alyssa Miller, 駭客暨資訊安全傳教士 「對於專注交付安全性設計的讀者,本書將威脅建模方法與現代軟體的開發方式保持一致,是一本全方面比較威脅建模技術的書籍。」 -Brook S.E. Schoenfield, 《Securing Systems: Applied Security Architecture and Threat Models》作者,資訊安全架構師 在軟體開發生命週期中,威脅建模往往是最基本但卻容易被誤解的一環。無論您是資訊安全從業人員或開發團隊成員,本書將幫助您更好地理解如何應用威脅建模的核心概念,在實務上保護您的系統免受威脅。 威脅建模技巧旨在編寫代碼之前,以具有成本效益的方式發現和解決潛在問題。使用威脅建模技術並不需要高階資安知識,也不需要付出鉅額維護成本。本書作者Izar Tarandach和Matthew J. Coles在本書中介紹了可以在您的組織中處理和執行威脅模型分析的各種方法。 ‧探索用以保護資料和系統功能的威脅建模基本特性及機制 ‧了解保護機制、隱私性、和安全性之間的關係 ‧識別評估系統安全性的關鍵特徵 ‧深入認識用於威脅模型分析系統的流行和專業技術 ‧眺望威脅建模、敏捷開發(Agile development methodologies)和開發維運自動化(DevOps automation)的未來發展 ‧查找常見問題的答案,包括如何避免常見的威脅建模陷阱
CI/CD安全防護大揭密:DevSecOps最佳實踐指南
本書涵蓋 DevSecOps 理論、策略與實踐 從觀念到實作,打造安全 CI/CD 管道流程 & 本書是台灣首本詳細探討 DevSecOps 的書籍,不僅解釋了 DevSecOps 的核心概念,也從人員、流程和技術的面向探討 DevSecOps 的實踐與挑戰。 & 書中詳細介紹了 DevSecOps 的所需知識與技能,為組織和個人提供了一條明確的成長和提升路徑。無論你是資訊安全的新手,還是經驗豐富的專家,本書都將是你不可或缺的指南。 & 【目標讀者】 • CISO/CTO/CIO • DevOps 人員 • DevSecOps 人員 • 開發、測試以及維運人員 • SRE 人員 • 資訊安全顧問 • 對 DevSecOps 感興趣人員 • 對敏捷軟體安全開發感興趣人員 • 想提升 CI/CD 安全性的人員 & 專業推薦 & 我極力推薦這本書給所有關心軟體開發安全的讀者。本書深入解析 DevSecOps 的各個層面,從基本概念、CI/CD 管道保護,到新興技術的安全開發。——勤業眾信 風險諮詢服務 資深執行副總經理 | Ike Chen 陳威棋 & 這本書無疑可以被稱作是 DevSecOps 領域的百科全書,為讀者提供了一個關於如何建立、執行並優化DevSecOps的全面指引。——AWS Security Hero/DevSecOps Taiwan 社長 | Ray Lin 林家瑋 & 本書含括面向完整,推薦給想要入門安全開發或深受安全開發議題困擾的讀者。又或者如果去年的你沒有讀到一本乾貨滿滿的資安書籍、或者今年你需要一本扎實的資安書籍醒腦,這本書都相當適合的喔!——恆逸教育訓練中心 資深講師 | Vincent Tang 唐任威 & &
誰說資安寫不了情書
☆如何用資訊安全的觀念寫出情書☆ 誰說資訊從業人員寫不了情書。 那古老的密碼,流動於數據之間,只為了與誰相遇而存在。 不是陽光灑落的光芒,是妳微笑時,讓我忘了黑暗築起的高牆 不是月下拂過的清涼,是妳指尖的方向,撐起了讓我仍願意在此的嚮往 資訊人寫出的情書,是很資訊人的情書,本書的主人公Allen,在八個章節裡與各路資訊從業人員碰撞、合作、鼓勵及相互扶持讓他的資訊人生很人生。 本書包含資訊系統運作時的觀念、專有名詞介紹、debug時的盲點及致敬奇摩聊天室的情懷,和幻想未來可能會出現超越ChatGPT的AI對話系統。 踏入資訊領域可能像是踏入不歸路,但這條路不一定是枯燥煩悶,也可以是對未來充滿期待對自己充滿信心。 駭客の嘆息 如果,我留下足跡,卻無人發現,算不算可惜。 如果,我遇見了我的足跡,卻渾然不知,何以證明,是我的曾經? 消散的過往,此刻的心情 阻擋不住,歡與悲的交集 所以 我留下足跡 那日後迷惘時 可以回想的曾經 &
26大企業紅藍隊攻防演練:從企業永續報告書精進資安網路攻防框架(iThome鐵人賽系列書)
以 26 個實際案例教你如何看懂資安攻防思維 有效辦識企業資安資源配置,建立資安敏感度! 本書內容改編自第 15 屆 iThome 鐵人賽 Security 組完賽作品《從永續報告書看資安》。內容以《哈佛商業評論》2022 台灣企業領袖 100 強的榜單中,精選 26 家企業所編製之永續報告書為藍本,分析其資安組織、資安作為,學習辨識其最有價值之資訊資產及其資訊資源配置。不僅以 CyberDefenceMatrix 矩陣方式分析各家企業做了什麼,從矩陣中還可以看出那些地方是未來加強的重點。 目前主管機關要求上市櫃企業應設立資安長,而資安長在管理企業資安時,常面臨不知道威脅來自哪裡,不知道要如何有系統的排查企業資安問題。所以本書引入洛克希德馬丁的 Cyber Kill Chain 攻擊七階段、Mitre AttCk 的攻擊十四階段、NIST CSF 防守五階段的框架,有系統但與個案脫鉤的介紹各階段的攻防思維重點,以便資安長可以按圖索驥,了解資安、戰勝威脅。 本書的 26 家企業,除了半導體產業、高科技產業之外,還包含了航運業、金控業、電信業、紡織業等多面向的行業別。不同產業所要保護的資訊資產,其實有很大的差異,這是在本書的形成過程中,深刻的體悟。有道是「資安即國安」:26 家企業中有不少是關鍵產業,其資安的良莠,對於台灣整體的經濟發展,具有舉足輕重的影響。 此外,書中精心設計了延伸閱讀,假設你是企業的資安人員,面對資安框架所提出的情境,你會如何下決策?這十分考驗在時間、金錢、人力有限的情況下,如何做出對企業最有利的決策。 目標讀者 ・企業資安長、資安人員 ・企業 ESG 永續報告書編製負責人員 ・大專院校資管或資工科系師生 ・對資安有興趣的組織或個人 本書特色 ❑ 從永續報告書了解企業在資安上的實務作為 ❑ 剖析各範例企業的資安組織及其優缺點 ❑ 應用資安框架模擬紅藍隊攻防演練 ❑ 每章對其個案提出延伸思考 專業推薦 本書透過介紹 26 家大型企業的實際案例,揭示了企業資安攻防的複雜性與挑戰性。每一個章節都透過詳細的分析和解說,展示了紅藍隊攻防在不同階段的應用與實施。同時亦深入介紹資安技術的層面,強調企業在數位經濟時代面臨的個人資料保護法挑戰。此外,本書還提供了一些延伸思考的章節,讓讀者能夠更深入地思考及探討資安問題。這些思考主題包括資訊安全的倫理問題、新興技術對資安的影響、資安教育及培訓等,將有助於讀者加深對資安防禦策略與實務的理解,並激發創新思維,提出更有效的解決方案。這是一本結合理論與實務,值得一讀再讀的資安實務寶典,必將在資安領域引領一波新的學習浪潮。—— 蕭幸金教授|國立臺北商業大學會計資訊系 本書匯集豐富的經驗和知識,以及各項常用的工具應用、操作,並提供了關於紅隊演練的全面指南。在眾多的資安解決方案中,以 CP 值及時效性來說,紅隊演練是最高級、也最高貴的。因為這等於是在企業資安設備軟、硬體到位後,資安藍隊人員也到位後,整備完成後的資安模擬考,呈現企業對於資安風險的控管能力,這樣的演練不僅是一種主動式的措施,更是一種預防性的策略。紅隊演練是確保組織能夠應對不斷變化的威脅的關鍵步驟之一。無論您是資訊安全專家、企業領導還是對資安感興趣的讀者,我們相信本書將對您有所幫助。—— 黃綱正、范瑋凌|凌煌科技有限公司創辦人 本作企圖透過公開透明的永續報告書,為各大企業及利害關係人分析前所未有的解決方案。不僅將多家企業的資訊安全實踐和風險進行了詳盡的彙編,還透過量化指標和質性的解讀,使讀者能夠深入了解每一篇報告背後的管理策略和高階長官的實際考量:企業的策略、價值和未來發展方向。本書的真正價值,不只是其深入廣泛的內容,更重要的是它將資訊安全提升到了戰略的層面。對於任何關心企業發展的人都是一本不能錯過的好書。真心推薦給大家!—— 劉家如(虎虎) 台灣在 2023年的惡意威脅數量急遽增長,每秒遭受近 1.5 萬次攻擊,高居亞太地區之冠。面對如此針對性攻擊的威脅,企業應調整資安維運策略,即時偵測並阻止駭客攻擊。本書中提到26 家企業的永續報告書中的資安實踐,結合知名資安框架 Cyber Kill Chain、Mitre ATTCK 和NIST CSF,以及紅藍隊的攻防思維。提供給讀者一本工具書,讓資訊人員作好資安的聯防機制,給企業的資安一個永續發展的未來。從企業風險建模的角度,我衷心推薦本書,希望台灣的永續報告書,在未來能夠百尺竿頭,更進一步,這就有賴本書的讀者,在各行各業的努力,也感謝作者的拋磗引玉。—— 陳威有|保險安定基金精算師 &
你的網站非常危險:Web安全攻防滲透駭客現場直播
*滲透測試之資訊收集,包括域名、子域名、旁站C段、通訊埠、社會工程學 *DVWA漏洞平臺、SQL注入平臺、XSS測試平臺 *滲透測試過程中「神器」:SQLMap、Burp Suite和Nmap *暴力破解漏洞、SQL注入漏洞、XSS漏洞、CSRF漏洞、SSRF漏洞、檔案上傳漏洞、命令執行漏洞、越權存取漏洞、XXE漏洞、反序列化漏洞、邏輯漏洞 *WAF的基本概念、分類、處理流程、繞過WAF及WebShell的變形方式 *雲端環境和Redis服務的滲透 *Metasploit和PowerShell技術實戰 全書共分9章: 第一章主要介紹進行滲透測試之前,最重要的資訊收集。 第二章說明漏洞環境的架設(使用Docker),示範了DVWA漏洞平臺、SQL注入平臺、XSS測試平臺。 第三章介紹常用的滲透測試工具SQLMap、Burp Suite和Nmap。 第四章說明Web滲透測試的核心技術包括暴力破解漏洞、SQL注入漏洞、XSS漏洞、CSRF漏洞、SSRF漏洞、檔案上傳漏洞、命令執行漏洞、越權存取漏洞、XXE漏洞、反序列化漏洞、邏輯漏洞。 第五章介紹WAF的基本概念、分類、處理流程和如何辨識。 第六章詳細介紹雲端環境和Redis服務的概念、滲透想法、實際應用以及實戰案例。 第七章講解程式稽核的學習路線、常見漏洞的稽核場景和技巧。 第八章說明Metasploit的發展歷史、主要特點、使用方法和攻擊步驟,並介紹具體的內網滲透測試實例,也介紹了PowerShell的基本概念、重要命令和指令稿知識。 第九章過幾個實際案例介紹了程式稽核和滲透測試過程中常見漏洞的利用過程,讓讀者累積經驗,關注細節,最終挖掘到漏洞。 &
前端開發資安入門|你不能忽視的漏洞對策必備知識
因應漏洞所必備的知識 等事情發生了才說不知道就太遲了 建立Web應用程式資安壁壘必備知識集大成 本書旨在成為每位前端開發工程師於開發Web應用程式時的資安基本知識入門書。 書中章節針對「HTTP」、「來源」等基本Web資安主題,以及「跨站腳本攻擊(XSS)」與「跨站請求偽造(CSRF)」等衝著前端而來的資安攻擊機制,都準備了實作的篇章。讓各位讀者能以同一套範本程式碼作為學習的舞台,一步一步建構起學習的成就感。 當然,保護使用者免於遭受攻擊的方法也會分享給大家。除了每個攻擊手法的因應措施之外,「如何搭載驗證功能」、「如何安全地使用JavaScript函式庫」等書中環節,相信無論是對各位實際開發時、或是在研擬如何防範漏洞時都有所助益,也期待各位能在當中找到適合用來提升自己資安防護的提示。 為了讓第一次接觸資安的讀者可以循序漸進,書中針對基本的名詞逐一介紹,且跟讀者們所分享的主題也精挑細選過,只要您是前端設計工程師,相信本書的內容都會是您應該了解的基本功。 目標讀者 ‧稍具工作資歷的前端工程師 ‧想開始學習Web資安的Web工程師 ‧想要透過實際演練程式碼來學習Web應用程式資安防範措施的讀者
Web Tracking 的資安攻擊與防禦策略:淺析當代瀏覽器的隱私議題 (iThome鐵人賽系列書)【軟精裝】
隱匿卻無所不在的隱私威脅 從 Web Tracking 技術的攻擊、防禦、歷史發展, 探討當代瀏覽器最重要的隱私議題之一 本書內容改編自第14 屆 iThome 鐵人賽 Security 組冠軍系列文章《天羅地網:淺談 Web Tracking 的過去、現在、未來》。內容涵蓋 Web Tracking 相關技術的基礎、實際案例, 以及未來發展。Web Tracking 意指「在不同情境中重新識別使用者,而且技術上無須使用者的期待或同意」。常見的相關技術包含 Cookie 與 Browser Fingerprinting 等。藉由 Web Tracking,追蹤者可以暗中記錄使用者的行為,推斷其偏好及傾向,以預測或甚至操弄使用者的行為。Web Tracking 相關技術無疑是當今網路生態中最具有隱私侵犯性的技術。 ▇ 正常功能如何濫用於隱私侵害,以及如何防禦 Web Tracking 技術的一大特色在於,其所使用的瀏覽器功能大多不是一開始便設計於追蹤使用者,然而因為一些設計上的缺陷或預料之外的利用方式,使得這些功能可以被濫用於追蹤使用者。當今存在兩種不同的反制徑路:第一,是對於 Web Tracking 技術的防禦,探討如何避免被追蹤;第二,是討論如何在保護隱私的前提下達成那些 Web Tracking 希望做到的目標。這個反制的過程有來自資安社群、瀏覽器開發商、廣告產業界、學界的輸入,雖然都打著保護隱私的稱呼,卻因各式問題而有不少爭議與衝突意見。 ▇ 從基礎瞭解 Web Tracking 的技術發展 本書將從最基礎開始講起,討論過去與現在曾經出現的幾個經典 Web Tracking 技術以及其防禦。同時,也會探討幾個真實世界的案例。本書的最後一章則會討論隱私保護的次世代 Web Tracking 技術。讀者除了會學習到相關技術以外,也會對於一些看似正常、合理的功能可以如何被濫用有更多的了解,並認識到如何分析一個功能所具有的潛在資安與隱私威脅。 本書特色 從攻擊到防禦:同時探討追蹤技術的攻擊與防禦面向 PoC 程式解析:藉由範例程式碼與講解輔助概念理解 實際案例分析:由案例分析瞭解追蹤技術的實際應用 隱私保護技術:探究次世代追蹤技術將如何兼顧隱私 目標讀者 ・對網頁安全、瀏覽器安全與隱私、網路隱私等議題感興趣者 &
從駭客的角度學攻擊:惡意程式碼逆向全破解
●&& &建立惡意程式碼分析環境,包括FLARE VM和Kali Linux ●&& &PE檔案結構和PE分析 ●&& &Metasploit Framework生成shellcode和C語言載入 ●&& &逆向分析工具基礎,包括靜態分析工具IDA和動態分析工具x64dbg ●&& &XOR互斥加密shellcode,AES加密原理 ●&& &API函式混淆,包括API函式混淆的原理與實現,以及使用x64dbg工具分析API函式混淆 ●&& &處理程序注入原理與實現,使用Process Hacker和x64dbg工具分析 ●&& &DLL注入原理與實現,Yara檢測惡意程式的原理與實踐 ●&& &架設REMnux Linux環境,分析惡意程式碼的惡意域名資訊,剖析惡意程式碼的網路流量和檔案行為 網際網路的快速發展,網路攻擊日益頻繁,惡意程式碼常被用於控制目標伺服器,執行系統命令、監控作業系統等。惡意程式碼分析工程師需要分析惡意程式碼的樣本,提取shellcode二進位碼,歸納總結惡意程式碼的特徵碼。使用特徵碼辨識對應的惡意程式碼,從而檢測和查找對應的惡意程式。本書是一本基礎入門加實戰的書籍,既有基礎知識,又有豐富範例,包括詳細的操作步驟,實作性強。 本書對逆向分析惡意程式碼的基本概念和技術進行介紹,包括基本概念及程式範例。每個基礎知識都有程式範例,力求精簡。每個基礎知識和專案案例,先通讀一遍有個大概印象,然後將每個基礎知識的實例程式在分析環境中操作一遍,加深對基礎知識的印象。台灣剛拿到世界駭客大賽第三名,在實戰中勝過中國隊,想成為駭客的你,這就是你的起步書。 &
數位家庭網路與居家安全監視系統
範例操作逐步詳述,淺顯易懂 由淺入深循序漸進,學習程式設計技巧隨著網路發展的日漸成熟,各種網路協定和網路應用也不斷推陳出新,在設計各種網路系統時,「網路處理器」提供一套多元化的解決問題方案。本書將針對Intel的IXP425網路處理器之應用作一詳細敘述,其主要原因在於IXP425適用在SOHO/SME市場,而台灣也是這一方面市場的翹楚,相信部分大學的相關專業科系可以利用此書作為有關課程的教科書或參考書,或者工程師日後可利用此書作為研發產品的依據。本書邀集了十個學校的資深教授,分別針對「SOHO網路閘道器與VoIP應用」和「數位家庭網路與居家安全監視系統」兩大主題做深入探討,並從教學與研究的認知與心得開發實驗教材。本教學實驗手冊是全程規劃的實習,其內容涵蓋的領域相當廣泛。◆ 數位家庭網路與居家與居家安全監視系統簡介◆ 在IXDPG實驗平台下無線網路附屬儲存裝置之建置◆ 網路檔案伺服器之建置、無線網路附屬儲存裝置之建置◆ 影像擷取系統的實作與遠端監控伺服器之實作◆ 實作影像擷取系統與遠端監控伺服器◆ 遠端監控伺服器之實作、建構以UPnP 為基礎之家用網路◆ 建立Wireless UPnP Device Emulator、UPnP Mp3 Player◆ 建構網頁伺服器、建構UPnP Control Point◆ 具偵測入侵通功能之SSL代理伺服器
小型網路資訊安全|給網管人員的正經指南
這本書是一本簡明扼要的指南,無論你使用的是Linux、Windows還是macOS,都可以藉此提升網路安全性。 跟著書中專案逐步演練,你會學到強化安全性的核心技術,像是如何繪製網路架構圖、追蹤裝置狀態、同時辨識出可能意味著攻擊事件的不尋常動作。你會探索各種可以消除弱點的做法,同時防範對於行動裝置、桌上型電腦、甚至是物聯網端點的不請自來存取動作。你還會學到如何實作自訂備份策略,以及如何偵測、防範和抑制惡意軟體或勒索軟體的攻擊。 至於技術面,你還會學到: ‧使用和設定像是pfSense和iptables之類的防火牆,藉以過濾網路流量 ‧建立網路分段計畫,以便按照風險程度分隔裝置,並管理使用者存取,以及設置無線認證 ‧在網路中部署OpenVPN或Wireguard,以便加密和保護網路通訊 ‧使用Squid代理伺服器來掩護個人或商務資料,同時控制網頁流量 ‧實作流量存取點(traffic access point,TAP)以便捕捉和分析網路流量,並建置Security Onion監控設備,用來警示可疑動作 無論是菜鳥或是老兵,本書都能提供必要的工具和知識,讓你為網路加上安全鎖、並能夠防禦攻擊、以及從攻擊事件中復原。
使用Redmine管理企業MIS的那些鳥事:提升資安、專案與IT管理的30個錦囊妙計(iThome鐵人賽系列書)【軟精裝】
全台第一本繁體 Redmine 專書 從管理角度去思考 Redmine 的應用 市面上最完整的 Redmine 學習指引書 本書內容改編自第14屆 iThome 鐵人賽 IT 管理組冠軍系列文章《管理 MIS 的鳥事-使用 Redmine》。 本書在介紹 MIS 業務的管理,透過 Redmine 建構中小企業的 MIS 內部業務管理工具。平台上表單管理建構背後所代表的管理意涵,以及與 MIS 部門業務管理、ISMS(資訊安全管理系統)、ISO 27001:2022控制項要求的執行管理才是本系列文章想要跟大家分享與交流。 作者試著用不同的工具試圖建立一個幫助中小企業 MIS 的工具管理機制,概念中這個機制可以把 MIS 日常及計畫執行的所有紀錄透過管理工具可以有一個有秩序的管理,並用最簡單低成本的方法建立一個符合 MIS 業務的管理平台。工具很多,商業軟體和自由軟體都有,MIS 也可以自行寫程式開發,但作者希望建立的是一個不需要太多技術也能夠維護的管理平台。最後選擇用 Redmine 並實際在某一家企業的 MIS 建構出一個 MIS 內部作業的管理平台。 選擇 Redmine 其中有一個很重要的理由,作者對 MIS 部門希望以專案管理的概念去管理這個部門所有被賦予的任務和業務,Redmine 的設計符合這樣的特性。 【目標讀者】 a.中小企業的 MIS 主管與 IT 從業人員 b.企業 ISMS 資安管理人員 c.專案管理人員 &
透視資安!資本市場必須了解的資安治理:從股東會年報探討公發公司資安現況(iThome鐵人賽系列書)【軟精裝】
✦ 從股東會年報了解何謂「資安治理」 ✦ 精選25個實際案例,教你看懂公發公司的資安執行狀況! 本書內容改編自2022年 iThome 鐵人賽Security組優選獎《從公開發行公司股東會年報分析公發公司資安揭露情形》系列文章。內容以臺灣重要公開發行公司揭示的公開股東會年報為案例,藉以探討公發公司資通安全管理的現況。 目前臺灣主管公開發行公司的主管機關,政策上都會強力要求公開發行公司要做好公司治理。「公司治理」的概念主要是落實經營者所須負的責任,以保障關係人及維護股東權益為目標。同樣的,「資安治理」亦為公司治理的延伸,藉由強化管理公司的資通安全,讓公司免受外部駭客攻擊騷擾,進而保障公司及股東權益,最後達成公司治理的目標,故其重要性不可言喻。隨著有關單位對於「資安即國安」觀念的提升,以及外部威脅日益強大,產業若不能提供給投資大眾足夠的資安信任感,以及提升自身的資安防護,那未來就有可能面臨更嚴峻的挑戰。 本書以25個公開發行公司所揭露的股東會年報作為分析,從中探討目前公發公司資安的管理現況與優劣。在探討每個案例前,會先提供要點式說明,同時配合法令,將各案例之股東會年報有關資通安全管理部分列出,最後做出分析及建議。其中,本書所列舉的產業橫跨電子、資訊、金融證券、貿易、生技、營造、航運、鋼鐵、水泥、通訊、文創等等;藉由不同產業的面向,幫助讀者了解產業資通安全管理的揭露現況,同時也強化資安治理之觀念。 ▋透過本書你將學會 ☑ 了解何謂資通安全管理,以及資安治理的重要性。 ☑ 理解股東會年報在資通安全中所要表達的重點。 ☑ 了解法令所要求的重點,並將本書作為撰寫股東會年報的參考依據。 ☑ 提供公發公司未來在資安治理改進的方向。 ☑ 協助董事會強化資安治理。 ▋目標讀者 ・投資大眾、公發公司以及有興趣了解資安治理的讀者。 本書特色 實際案例分析:內容皆為各大公發公司公開資訊 重點歸納說明:迅速掌握案例的資安揭露情形 提供解決建議:藉由分析說明資安治理建議 如何有效表達:配合法令規定強化資安治理的內容 專業推薦 如果你已是企業資安從業人員,我強烈建議可以好好研讀本書精選案例,相信能從企業實際落實資安治理的方法和預算拿掐的比例中,找到屬於你企業的資安治理方針。如果你有意往資安領域發展,那就更不能錯過本書,你一定能從筆者妙筆生花的字裡行間,學習到運用資安思維和觀點,並對你未來想從事的工作,帶來相當大的幫助。—— 徐千洋|台灣駭客年會(HITCON)創辦人、iThome 鐵人賽評審 作者在本書彙集了25個案例,以淺顯易懂的文字敘述,分析每個案例所遇到的資安攻擊情形並連結內部管理,最後再以自身的專業歸納結論,讓讀者能循序漸進了解各公司的資訊安全現況及管理運作。—— 林瑞恩|台灣上櫃公司財會部經理 &
【資安密碼系列】秘密不再是秘密:輕鬆認識密碼學-打造你的數位安全防線
思考在危機四伏的網路環境中守住個人的祕密、安全 傳遞資訊的必要性,而這也正是「密碼學」的意義 ! 資安科技生活能保有永恆以及唯一的「祕密」, 會是一切看似免費、公開,容易流於虛實難辨、 價值混淆的數位時代,最重要的課題 ! 電腦的出現,讓資訊科技裡的密碼研究與應用成為一門重要學科,密碼不再止於推理與狹隘的數字遊戲,而是與現代的科技生活息息相關。 網路的力量是雙面刃,它帶來了便利與可能性,但我們必須在使用中警惕。我們必須認識到網路的代價,並在享受便利時保護個人隱私。 作者利用故事的模式,鼓勵讀者一起來認識「密碼學」的起源與發展。 專業推薦 在本書中,作者以深入淺出的方式,引導讀者進入密碼的世界,讓讀者了解,密碼技術如何幫人們解決日常生活中所面臨的各種問題。對非相關專業人士而言,本書以故事模式導引讀者,輕鬆有趣、難易適中,讀者可獲取日常生活各種活動中,保護我們資訊與隱私的密碼技術及原理,十分值得推薦! 雷欽隆 國立臺灣大學電機系教授 這是一本非常適合廣大讀者閱讀的科學普通讀物。我們的生活已經離不開資訊科技與電腦網路了,了解一些資訊安全、電腦犯罪、數位鑑識的基本概念,有助於保障自己的權利。我極力推薦大家一起來閱讀這本好書。除了愉快的閱讀體驗與知識上的收穫之外,各位讀者可能也會跟我一樣,被作者投入的心血深深感動! 張仁俊 國立臺北大學教務長 資訊工程系特聘教授 &
駭客入侵免驚,不是高手也會的WordPress資安防禦大全
☛ 個人資料成為數位時代的新石油,在駭客環伺之下, 你的網站是否做好準備了呢!? 隨著數位時代的來臨,網路安全議題儼然已成為當代人們不得不關注的問題。本書為專注於WordPress網站安全的實用指南,提供全面且易於操作的解決方案。從基礎到進階層面,涵蓋各種保護WordPress網站所需的知識和技巧。讓您無需成為資安專家,也能保護自己的網站! 本書內容由基本安全措施介紹起,如設置強大的密碼、控制訪問權限,以及進行網站安全檢測等,到探討高級安全配置,例如防火牆設置、即時安全監測等,進一步強化網站安全。藉由深入淺出的方式,讓讀者在短時間內掌握WordPress網站安全的重要概念,並能藉此對網站安全問題有更深刻的理解,且能應用所學確保自己網站的安全。 【精彩內容】 Web安全基礎 •安全基礎知識 •雙重驗證功能 •暴力攻擊防護 •密碼破解防護 安全體系配置 •伺服器安全 •本機電腦安全 •檔案保護配置 •資料庫防護 •備份解決方案 安全防護工具 •防火牆設置 •安全防護外掛程式 •系統漏洞掃描 •安全監控工具 •安全性記錄檔監視 *本書作者提供LINE群組,讓您的疑問可以直接與作者正面交流,並在第一時間獲得專業解答。 &
CYBERSEC 2023 臺灣資安年鑑:全面守禦:實現寸土不讓的資安防護
掌握近期企業重大資安事故以及資安防禦觀念,有助於企業了解即將面對的各種挑戰以及如何因應。
密碼管理系統理論與實作:使用 Python 的 Crypto、Tkinter 與 Django 套件
✦ 實作特權帳密管理系統,解決特權帳密控管問題 ✦ 特權帳號與密碼是企業IT部門各項系統的命脈,同時也是資訊安全在管理上的弱點。近年來的入侵攻擊事件,就是利用公司的系統漏洞沒有即時修補,再加上內控不嚴謹所造成的系統帳密被盜用,不僅影響到公司的商譽,還有可能造成難以估計的財損。為了解決特權帳密控管問題,本書將透過現行 Python 所提供的套件(Crypto, Django, Tkinter),研發特權帳密的控管機制並將其實作。 全書分成4章,分別帶領讀者進入密碼學的領域進行編程,除了有密碼學理論進行對照,還用時下最廣泛使用的程式語言 Python,進行密碼系統的開發。 |密碼學的數論基礎與 ISO27001| 總覺得密碼學是難以探究的學門嗎?其實只要有高中的數學程度與耐心,在實作後與理論相呼應,學苟知本會更扎實;此外,依據 ISO27001 的附錄A.10 密碼學的控制措施,可以了解特權帳密管理的必要性。 |使用 PyCryptodome 在 Python 中實現加密演算法程式| PyCryptomdome 提供了所有加解密的函式庫,即使對理論不清楚,也可以進行實作。Python 易學易懂,有許多函式庫與社群支持,相關技術可以藉由網路搜尋,相輔相成加速開發。 |Tkinter 搭配 Crypto 實作加解密的應用介面| Tkinter 是視窗程式的開發套件,可實作使用者端的 UI,是 Python 用來開發應用程式的熱門函式庫。本書在每個範例程式碼都有說明與解釋,確定資料流後,完成實作上的輸入與輸出。 |用 Django 來 Web化密碼管理系統| Django 是網頁應用程式的框架,MVC(Model-View-Controller)的架構。本書實作的密碼管理系統,結合了 SQLite 資料庫,將密碼管理系統架在網路上,實現 Web化。 本書特色 🔑從基礎數論到密碼學 密碼學的基礎就是數論,每個理論都有數學作為對照,協助讀者了解基本原理。 🔑特權帳密管理系統實作 Crypto 套件提供豐富的加解密演算法,確定加解密流程後,用 Tkinter 設計 UI介面,並透過 Django套件將應用程式 Web化。 🔑ISO27001管理機制 依照 ISO27001(資訊安全管理國際標準)的「存取控制」、「密碼」、「作業的安全」等相關條文進行實作,以符合管理需求。 & 目標讀者 ☑ 製作密碼學專題的高中、大專學生 ☑ 針對密碼學研究領域的碩博士生 ☑ 業界資訊安全研發人員 ☑ 對密碼學理論與實作有興趣的人 & |本書「實作範例檔」,請至博碩官網下載| &
親密的駭人:堅固網路安全建設從內網開始
◆ 道高一尺、魔高一丈 ◆ ◆ 要能防止我們的生活被侵害,數位安全的重要性不言而喻 ◆ & 當今社會,我們已經習慣將工作生活建立在數位科技之上,如:雲端服務、作業系統、社群平台等等,可以說人類的社會活動是高度依賴數位世界的。 & 但在黑暗的對立面,一直有一群高手不斷在模擬惡意的攻擊──也就是「滲透測試」。滲透測試就像是自我防疫的免疫機制,在安全保障系統中承擔非常重要的作用。 & 內部的安全沒有顧好,何來整體網路的平安幸福呢?能夠熟練掌握內網滲透的各類知識原理、熟練運用各種指令稿工具,並能夠同時自己撰寫對應工具,才是目前針對內網安全的真本事。 & 本書傾注了諸多實戰人員的經驗和專業的理論知識,並透過系統化的方式將內網滲透領域細分整理出來;既可以做為技術同好內網滲透入門的一本指南,又可以作為企業建設知識圖譜,甚至可以當作網路運行維護工程師的必備手冊。如果您有心從事網路安全,相信本書會是你最棒的一個起手式。 【本書看點】 ✪ 內網滲透基礎知識 ✪ 內網資訊收集 ✪ 內網轉發與代理的架設 ✪ 內網許可權提升 ✪ 內網橫向移動 ✪ 內網許可權持久化 ✪ Kerberos專題 ✪ NTLM中繼專題 ✪ Exchange攻擊專題 ✪ 免殺技術初探 & 【適合讀者】 ☛ 內網安全初學者、研究者 ☛ 網路安全、維護運行工程師 &
加密‧解謎‧密碼學:從歷史發展到關鍵應用,有趣得不可思議的密碼研究
想保護資訊安全,必須了解密碼學。 如果你喜歡解謎解鎖,更歡迎來到密碼學的世界! & 什麼是密碼? 密碼是按照特定的法則編成,用於通訊的雙方轉換明文、密文的一種符號系統。作為一種資訊混淆的方法,加密的過程就是將可識別的資訊,變成不可識別的資訊。 在密碼學中,加密前的原始資訊稱為明文(Plaintext),加密後的資訊稱為密文(Ciphertext)。把明文轉換為密文的過程稱為加密(Encrypt),把密文恢復成明文的過程稱為解密(Decrypt)。大部分的加密和解密過程都涉及一個只有加密/解密雙方才知道的祕密資訊。唯有掌握了這個祕密資訊,才能正確地解密密文。密碼學中將這個祕密資訊稱為金鑰(Key)。所謂破解,或稱密碼分析(Cryptanalysis),是指在不知道金鑰的情況下,從密文中得到與明文相關的一些資訊,恢復出一部分甚至是完整的明文。 從人類的歷史來看,密碼最早是用於戰爭時的祕密通訊。出於保密的需求,每一場戰爭的背後,都有密碼的身影。可以說,密碼的戰爭決定了人類歷史的進展,而密碼學是保護資訊安全的最後防線。 & 本書作者為密碼學博士、阿里巴巴集團數據技術及產品部高級安全專家,他從生活中的實例出發,深入淺出地引領讀者走進精彩的密碼世界。 這本書會分享:從男女生互相告白的密碼信如何破解,到身分證號碼中隱藏的祕密,從古典密碼(西元前400年的古希臘時期開始)、電腦的編碼方式,到二次大戰時期德軍使用的恩尼格碼(Enigma)密碼,以及圖靈(Alan Turing)如何加以破解,一直到現代密碼學當中的公鑰加密、RSA數位簽章等等最新的進展。 這些進展看似零碎,但其背後所蘊含的密碼設計者與破解者的思路演進,以及所蘊含的數學原理,就讓作者娓娓道來吧! 密碼與我們的日常生活密切相關,資安的基本素養,也必須從了解密碼學開始。當然了,加密和解謎永遠是最原始、最刺激的遊戲! & 本書特色: 1.深入淺出、循序漸進,一般中學的數學程度就能理解的密碼學。非常燒腦,但也有滿滿的收穫! 2.密碼學的一小步,資訊安全的一大步。密碼,幾乎遍及通訊領域的每一個角落,密碼安全也關係到現代生活的各個層面——數據速朽,唯安全永恆。 3.如果你充滿好奇心、喜歡解謎解鎖,歡迎來到密碼學的世界。如果你是資安領域的學習者,可以快速找到未來行業的發展方向,少走點冤枉路。如果你關心個人隱私,也可以了解守護每個人安全的密碼之奧祕。 &
駭客就在你旁邊:內網安全攻防滲透你死我活(第二版)
☛ 比起外網的防範,來自內網的攻擊又狠又毒 ☛ 用Kali Linux攻擊內網中的PC、Windows主機、Linux主機,甚至是手機! ☛ 在資料寸土寸金的大數據年代,你怎能不防! 本書由淺入深從內網安全的認知理解、攻防對抗、追蹤溯源、防禦檢測等方面建立系統性的認知。 從內網滲透測試基礎開始,一直到內網資訊收集,主要介紹域分析工具BloodHound的使用,接下來的重點就是隱藏通信隧道技術。還有許可權提升分析及防禦,利用Windows作業系統錯誤配置提權、並提出相應的安全防範措施。 基礎打好之後,就是域內橫向移動分析及防禦,利用PsExec、WMI、smbexec進行橫向移動。再進階一點,就是網域控制站安全,介紹使用Kerberos域用戶提權和匯出ntds.dit中散列值的方法。 接下來是本書精華,跨域攻擊分析及防禦,多個域的跨域攻擊,許可權維持分析及防禦,有常見的針對作業系統後門、Web後門及域後門。 最後介紹好用工具Cobalt Strike,以及其模組功能和常用命令,並給出應用實例,同時簡單介紹Aggeressor腳本的編寫。 全書共9章,內容如下 ■ 第 1 章 內網滲透測試基礎 系統地說明內網工作群組、網域、主動目錄、網域內許可權解讀等,並介紹內網域環境和滲透測試環境(Windows/Linux)的架設方法和常用的滲透測試工具。 ■ 第2 章 內網資訊收集 介紹目前主機資訊收集、網域記憶體活主機探測、網域內通訊埠掃描、網域內使用者和管理員許可權的取得、如何取得網域內網段劃分資訊和拓撲架構分析等,並介紹網域分析工具BloodHound 的使用。 ■ 第3 章 隱藏通訊隧道技術 介紹IPv6 隧道、ICMP 隧道、HTTPS 隧道、SSH 隧道、DNS 隧道等加密隧道的使用方法,並對常見的SOCKS 代理工具及內網上傳/ 下載方法進行解說。 ■ 第4 章 許可權提升分析及防禦 主要分析了系統核心溢位漏洞提權、利用Windows 作業系統錯誤設定提權、利用群組原則偏好提權、繞過UAC 提權、權杖竊取及無憑證條件下的許可權取得,並提出對應的安全防範措施。 ■ 第5 章 網域內水平移動分析及防禦 系統地介紹網域內水平移動的主要方法,複現並剖析內網域方面最重要、最經典的漏洞,同時列出對應的防範方法。 ■ 第6 章 網域控制站安全 在實際網路環境中,攻擊者滲透內網的終極目標是取得網域控制站的許可權,進一步控制整個網域。本章介紹使用Kerberos 網域使用者提權和匯出ntds.dit 中雜湊值的方法,並針對網域控制站攻擊提出有效的安全建議。 ■ 第7 章 跨網域攻擊分析及防禦 本章對利用網域信任關係實現跨網域攻擊的典型方法進行了分析,並對如何部署安全的內網生產環境列出了建議。 ■ 第8 章 許可權維持分析及防禦 分析常見的針對作業系統後門、Web 後門及網域後門(白銀票據、黃金票據等)的攻擊方法,並列出了對應的檢測和防範方法。 ■ 第9 章 Cobalt Strike 詳細介紹Cobalt Strike 的模組功能和常用指令,並列出應用實例,同時簡單介紹Aggeressor 指令稿的撰寫。 本書各章相互獨立,讀者可以逐章閱讀,也可以隨選閱讀。無論是系統地研究內網安全防護,還是在滲透測試中碰到困難,都可以立即翻看本書來解決燃眉之急。 &
OAuth 2.0 從入門到實戰:利用驗證和授權守護 API 的安全
♛ 台灣第一本 OAuth 2.0 專書 ♛ 帶你一次了解 OAuth 2.0 與 OpenID Connect 的完整流程! Web 平台已是現今網路生態不可或缺的一部分。當建立新的應用程式時,可能會想要取得使用者在其他平台上的資訊,但這個過程充滿了許多資安風險。身為程式與架構的開發團隊,該如何使用正確的技術,來保護應用程式和使用者呢? 本書將會介紹目前最穩定的兩個協定:OAuth 2.0 與 OpenID Connect 的完整流程以及實作。此外,本書在一開始也會介紹身分驗證與授權的基本元素,讓讀者能夠輕鬆理解協定設計的基本原理,而不再是一知半解。 漸進式學習主題 ● 了解身分驗證概論以及 Web 基礎 基礎是非常重要的,在 OAuth 2.0 上更是如此。從身分驗證概論、HTTP 協定的特性、演算法的基礎,接著延伸到身分驗證的實作,這些都是後續理解協定須具備的前置技能。 ● OAuth 2.0 與擴充協定的介紹 本書將整理官方協定,並按適合初學者學習的順序來安排章節。其中包括 OAuth 2.0 的四種基本授權流程、原生應用程式與瀏覽器應用程式的授權流程,以及 OpenID Connect 的三種身分驗證流程,已涵蓋大多數的身分驗證與授權情境。讀者可依實務遇到的情境來選擇適合的流程參考。 ● OAuth 2.0 實戰練習 了解協定後,接著以實作來證明協定的可行性。應用程式的部分,OAuth 2.0 會以 Facebook 為例,OpenID Connect 會以 LINE Login 為例來說明實作的過程;授權伺服器端則是以開源的服務 Hydra 為例,來介紹實際身分驗證與授權中心會需要處理的任務為何。 本書特色 ☑ 參考公開標準和協定撰寫成章 ☑ 循序介紹 OAuth 2.0 基本原理 ☑ 豐富前導知識及相關補充主題 ☑ 身分驗證系統實作經驗分享 目標讀者 ・網頁前端工程師 ・網頁後端工程師 &
生活資安五四三!從生活周遭看風險與資訊安全(iT邦幫忙鐵人賽系列書)
這是一本大多數人都可閱讀的資安書籍 & 「認識資安,建立資安風險意識,就跟認識行車用路安全一樣,人人都有瞭解的必要。不論是現實生活或是虛擬網路世界的背後,認識資安帶來的風險與背後的關鍵,可以讓你生活少掉許多麻煩!是現代人需具備的必要本領。」 & 本書內容改編自第11屆iT邦幫忙鐵人賽,Security組優選系列文章──《生活資安五四三!從生活周遭看風險與資訊安全》──是第一本從生活面向來談資安的書籍,目的就是希望讓一般人都能了解資安的那些事。 & 這次推出【第二版】,不僅將原書中所提資安議題作最新資訊的補充,同時還有全新章節,希望透過更加多元的資安新聞面向,讓你對資安議題不是只有認識,還能進一步思考。 & 降低「門檻」:為何一般人容易對資安感到熟悉又陌生?那是因為普遍資安書籍都是給專業從業人員閱讀,但資安其實跟大家的日常生活息息相關,大家也都常在新聞報導看到這些資訊。 & 角度「多元」:從現實生活場景的ATM操作、實體店家信用卡支付,到手機、電腦使用與上網,以及新聞事件,從多個角度讓大家認識到各方面的資安與風險。同時從電影、影集、小說、網紅與Podcast等途徑切入,讓大家都可以藉由自己熟悉的興趣或管道來接觸資安。 & 「一次」掌握:資安領域面向相當廣,但這些給一般人的資安資訊往往散落在各處,本書從多個面向與角度切入,並結合許多你可能沒有特別注意的資安新聞,讓你一次就能得到不同收穫。 & 對資安風險先要有「認識」:去ATM領錢,知道要保護提款卡與密碼,你就已經有資安意識,那麼你知道什麼是弱密碼嗎?為何不要在多個雲端帳戶使用相同的帳密?你真的有妥善的備份觀念嗎?手機的安全更新也有年限你知道嗎? & 認識資安風險目的是為了「自保」:當企業也都在扭轉資安思維,並且開始重視資安,但你要知道,整個環境並不會一下就改變,因此資安就成為現代個人必須掌握的技能。 &
數位神探系列-資安密碼-隱形帝國:數位鑑識學院尋探之旅
【目標讀者】 & 本書為「數位神探」系列叢書,推薦給想深入了解目前最新資安&鑑識研究領域,提昇數位偵探技巧的有志之士,或是對目前物聯網、無人機、區塊鏈等新興資訊科技應用的使用者,從資安的角度,認識可能遭遇的風險及可採取的防護措施。 & 好書推薦 & 本書以故事、圖例讓讀者彷彿也身入其境,成為一名資安鑑識學院的學生,由淺入深帶領讀者進入資訊安全、數位鑑識的世界,讓毫無相關資訊背景的人,也能跟著主角的腳步,慢慢從資安鑑識學院成長為一名數位神探。對於生活在資訊化時代的你,已身處大數據、5G、雲計算、人工智能及行動支付等虛實兼容的生態中,必須先有充分的「資訊安全」保障,才能發揮「資訊運用」的美意,本書將會是我推薦給你,能夠帶著你了解資訊安全的首選書之一。--中央警察大學副校長、教授、博士蘇志強 & 這是一本介紹資訊安全的書,而資訊安全是現今科技領域中非常重要的一環,但在書中你卻可感受到佛倫鉅鎖-現代魔法學校的魔法魅力與學習互動,福爾摩斯抽絲剝繭,巨細靡遺的分析推測,終極警探打擊智慧犯罪的鬥智鬥力,及駭客任務中的未來與科技。--國立中央大學資訊工程系、教授、博士 許富皓 & 在這資訊應用快速發展中,人人都應該具備危機意識。你應該也會常常聽到駭客攻防與網路資訊戰的各式情節。當你接觸到了人工智慧、5G 行動網路、網路犯罪以及詐騙等議題,你會對於如何保護資料安全及個人隱私充滿疑慮。那你還等什麼呢?向你推薦這樣一本充滿美意且內容豐富飽滿的「資安書」,我一定也會在我的書櫃中放上一本。--國立嘉義大學資訊工程系、教授、博士 王智弘 &
Web Hacking現場指南:真實世界抓漏和獵蟲的賞金之旅
學習人們如何破壞網站,以及你如何也能做到。本書是尋找軟體漏洞必備的現場指南(field guide)。無論你是想讓網際網路更安全的資安初學者,還是想要撰寫安全程式碼的資深開發人員,道德駭客Peter Yaworski都會向你展示如何做到這一點。 & 你將學習最常見的漏洞類型,例如XSS(跨網站腳本)、IDOR(不安全的直接物件參考)和SSRF(伺服器端請求偽造)等等。透過研究從Twitter、Facebook、Google、Uber等應用程式中獲得賞金的真實漏洞案例,你將理解駭客如何在轉帳時觸發競爭條件、如何使用URL參數導致使用者對非預期的推文按喜歡等等。 & 每一章將介紹一種漏洞類型,並附有一系列已結案的真實Bug Bounty(錯誤賞金)。本書收集了來自實戰現場的故事,作者將教會你,攻擊者如何誘騙使用者洩露他們的敏感資訊,以及精明的使用者如何令網站顯示出它們的弱點。你甚至可以學到,如何將這充滿挑戰性的新興趣發展成為一項成功的事業。 & ✎學習目標✎ ❁網際網路是如何運作的? ❁Web Hacking的基本觀念 ❁攻擊者是如何入侵網站的? ❁如何識別常見的容易出現漏洞的功能? ❁從哪裡開始「抓漏」和「獵蟲」? ❁如何尋找Bug Bounty計畫並提交有效的漏洞報告? & 本書是一本引人入勝、徹頭徹尾的網路安全性漏洞入門書籍,充滿了來自戰壕的故事與實用的智慧。當你對網站安全性及弱點有了新的理解,你就可以提供協助,讓網路變得更安全──同時你還可以從中獲利。 & 專文推薦 & 『這本書充滿了豐富的、真實世界的安全性漏洞報告,還有實用的案例分析。』──HackerOne共同創辦人 Michiel Prins Jobert Abma &
戰術+技術+程序:ATT&CK框架無差別學習
☆★☆★【ATTCK框架第一本繁體中文書!】★☆★☆ 完整了解ATTCK框架,建立屬於自己的最強之盾! 在這個混亂的數位世界中,會不會常常擔心自己的網站、平台、雲端主機,甚至是公司內網被駭客攻擊?需不需要常常去看資安匯報,看看在Windows、Linux上又有哪些服務的新漏洞又被發現?生活越方便,應用越複雜,產生的漏洞就更多,甚至連GitHub都不再安全!有沒有高手或專家,能把整個攻擊的工具、技術、測試、應用、防護、流程都整合到一個框架中?有的!MITRE ATTCK就是你要的答案。這個整合了所有資安應用的框架,早已成為全球各大公司用來防護檢測系統的必用工具。現在這個只存在於高手大腦中的超棒產品,終於有中文書了。本書是全球第一本繁體中文的ATTCK書籍,將整個框架的整體架構、應用、實作,流程用最清楚的語言完整介紹一遍,並且有真正紅藍隊員必讀的攻防戰略及技術。防範漏洞及駭客不再依賴你攻我防的小戰場,將整個資安戰略拉抬到新的高度,建立永續安全的服務就靠ATTCK。 本書看點 ✪精解ATTCK框架的全貌 ✪容器及K8s時代的ATTCK戰略 ✪各式銀行木馬、蠕蟲的防範實戰 ✪10大最常見攻擊的ATTCK防範技術 ✪WMI、Rootkit、SMB、瀏覽器、資料庫植入的攻防技術 ✪ATTCK Navigator、Caret、TRAM專案實作 ✪威脅情報、檢測分析、模擬攻擊、評估改進的應用實例 ✪ATTCK的威脅狩獵完整攻防介紹 ✪MITRE Sheild三階段的模擬實作 ✪完整ATTCK評測流程
物聯網時代的15堂資安基礎必修課
了解如何檢測物聯網裝置的安全,認識駭客的入侵手法 本書是IoT安全研究人員的真實經驗分享,您可從中學到如何藉由測試IoT系統、裝置和協定來降低風險。藉由本書的說明,您將可以了解如何檢測物聯網設備是否安全,以及入侵者如何執行執行VLAN跳躍、破解MQTT身分驗證、攻擊UPnP、開發mDNS投毒程式及進行WS-Discovery攻擊等攻擊手法的細節。 本書會深入介紹嵌入式IoT設備和RFID系統的破解手法,同時還能學到: ‧如何撰寫一支可作為NSE模組的DICOM服務掃描器 ‧透過UART和SWD介面攻擊微控制器 ‧對韌體進行逆向工程及分析搭配使用的行動APP ‧使用Proxmark3開發NFC的模糊測試工具 ‧利用干擾無線警報系統、重播IP攝影機影片及控制智慧跑步機,展示如何入侵智慧居家系統 使用容易取得的軟硬體,可以自行實作練習 本書使用容易取得,且價格實惠的軟體工具和硬體裝置,實作練習無負擔,有關本書的程式範例亦可自Github下載取得,適合資安研究員、IT團隊成員,想研究駭客技術者,作為破解IoT生態的參考指南。
Windows駭客程式設計:勒索病毒(第二冊)原理篇(第二版)
感謝讀者支持,作者修訂精簡第二版嘉惠更多朋友! 要寫出一個勒索病毒,需要多強的程式功力?相信大家的心裡已浮現出技術高強的駭客身影。 然而,當這個模擬勒索程式完成後,撇開永恆之藍等漏洞的使用,我們赫然發現,裡面所使用的程式知識,卻沒有想像中非常地高深,或是遙不可及。 基本的記憶體管理、目錄和檔案處理、較為進階的加密知識、基礎資料結構,行程與執行緒、同步問題、網路通訊,還有Windows圖型介面,其中還包括文字字型、Edit、RichEdit、ComboBox、ListBox、ProgressBar等元件使用,資源的使用,計時器、剪貼簿等運用……幾乎是學習Windows程式所有需要的基本知識,都涵括在內了。 換句話說,只要您將這兩冊勒索病毒程式設計讀完,就可以將大部分Windows程式設計中需要學習的知識全都學習到位。 最特別的是,我們在最後製作了模擬漏洞及針對這個模擬漏洞的蠕蟲,讓大家了解蠕蟲的工作原理,同時也體驗一下蠕蟲快速傳播的可怕威力,對蠕蟲這一支惡意程式有更深入的體驗和了解。 這個勒索程式是個相當完整的專案,非常適合學習,不像一般Windows程式設計,每部份最多只有短短的範例,本書的每個單位的每個範例,最終可以組合成一個大型而完整的勒索程式。希望大家別錯過了這麼完整又龐大又全面的專案學習,只此一本,就可以讓你的功力大增,千萬不要錯過。 &
