網路時代人人要學的資安基礎必修課
本書沒有任何艱澀難懂的術語,以任何人都能理解的方式,介紹所有關於網路安全的基礎知識。 這本入門指南涵蓋了所有基礎的資安知識,包括駭客常見的攻擊手法,以及如何防禦自保的方式。除此之外,你還可以學到關於惡意軟體、網路釣魚與社交工程的相關知識,同時還有真實世界的案例與實作練習可以幫你驗證所學。 透過本書,你可以學到: .如何分析電子郵件以辨識是否為網路釣魚 .SQL注入的網站攻擊手法是如何進行的 .如何使用沙盒環境辨別是否為惡意軟體 .如何運用命令列來評估與改善你的電腦與網路安全 .如何利用加密技術來保護你的文件 .如何進行檔案權限的管理,以防止蠕蟲和病毒的感染 .如何制定一個全面的風險管理計畫 網路安全是這個時代人人必備的基礎知識,熟讀本書,可以讓你了解如何保護自己,不必遭受惡意的侵害與無妄之災。
全球最強雲端平台實作:用AWS完成安全穩定快速的系統
全球最強雲端平台實作:用AWS完成安全穩定快速的系統 雲端運算產業的發展已經進入第二十年,雲端運算身為基礎設施已經開始大規模支援各行各業的發展。本書在參考軟體工程的思想和NIST CSF(National Institute of Standards and Technology Cybersecurity Framework,美國國家標準與技術研究院網路安全框架)的基礎上,將雲端運算安全能力建設對應到NIST CSF中,從雲端運算安全能力建設的角度由淺入深地複習雲端運算安全產業實踐的基本常識、雲端安全能力建構的基礎實驗與雲端運算產業安全的綜合實踐。我們希望本書能夠對雲端運算相關產業的安全能力建設造成參考作用。雲端運算的普及對雲端安全從業者的數量和品質提出了極大的需求,本書的問世是產業之幸。它對雲端安全的基礎知識、基礎實驗、前端實踐、發展趨勢等內容做了綜合、全面的介紹,不僅能幫助所有安全技術領域的人員迅速掌握基本理論,並且能獲得雲端安全實操經驗,縮短從入門到精通的時間,可以說這本書是對CSA CCSK雲端安全知識很好的教材。
Web應用系統安全|現代Web應用程式開發的資安對策
雖然有許多關於網路和IT安全的資源可供參考,但是到目前為止,有關現代Web應用系統安全的細部知識仍普遍不足,而本書具備的攻擊性和防禦性安全觀念,可供軟體工程師輕鬆學習和應用。 本書從三個面向探討Web應用系統的安全性:偵察、攻擊與防禦。讀者可從中學到有效研究和分析現代Web應用系統的方法,包括針對無法直接存取的應用程式;還會學到使用最新的駭客技術入侵Web應用系統,最後,說明如何發展緩解措施,以提高Web應用系統的防護力,有效防禦駭客攻擊。 本書精采內容包括: .探討困擾現代Web應用系統的常見漏洞 .學習駭客攻擊Web應用系統的基本技術 .描繪及記錄無法直接存取的Web應用系統之結構 .開發和部署可繞過常見防禦方法的客製化漏洞利用工具 .開發和部署緩解手段,保護Web應用系統免受駭客攻擊 .將撰寫安全程式碼的最佳作法整合到軟體開發生命週期中 .學會實用技巧,提高Web應用系統的整體安全性
資安這條路:領航新手的 Web Security 指南,以自建漏洞環境學習網站安全(iT邦幫忙鐵人賽系列書)
本書內容改編自第 12 屆 iT 邦幫忙鐵人賽 Security 組佳作網路系列文章 ──《資安這條路 ─ 以自建漏洞環境學習資訊安全》。這是一本專為資安新手寫的教戰指南,以鮮明的圖文、表格讓新手快速掌握資安知識。從基礎的 Linux 指令及知識、網路基礎概論、程式語言 PHP 與資料庫查詢語言 MySQL 基礎,到常見的網站漏洞分析,並以 Docker Compose 建立漏洞環境實戰演練,帶領讀者從理論到實作理解網站資安,一次學會網站安全的原理及應用! ☑ 入門者上手的第1本資安筆記! 本書整理了詳細的資安必備知識,包含網站基礎知識,如通訊封包、網頁架構、後端程式碼、資料庫查詢語言,以及網站常見的安全漏洞,並透過 Docker 與 Docker-Compose 自建漏洞環境,練習網站弱點,以及附上資安學習筆記模板,讓入門者簡單上手、減少學習門檻! ☑ 以 Docker 與 Docker-Compose 練習環境為主,方便快速更好學! Docker可以幫助我們自動化建立應用程式並快速在任何地方執行(如雲端環境或內部機器環境),具有方便與快速的特性,因此本書的練習環境以 Docker 與 Docker-Compose為主。 ☑ 揭露各種攻擊手法,從解析中學會防護做法! 完整介紹常見的身分驗證相關弱點、輸入輸出驗證的相關弱點,讓你了解漏洞成因、攻擊手法與預防方式。 【適合讀者】 ✦新手入門者 ✦對網站安全有興趣的人 ✦想了解網站安全學習路徑圖的人 本書特色 給你入門資訊安全的完整Know How! 以網站安全為基礎,帶你進入資安領域! ★手把手帶你認識資訊安全基礎 ★解析常見的網站安全漏洞弱點 ★自建漏洞環境進行練習與實戰
WebSecurity 網站滲透測試:Burp Suite 完全學習指南 (iT邦幫忙鐵人賽系列書)
動手實作!探索網頁安全與滲透測試, 從強大的安全測試工具Burp Suite入門。 「每一行寫下的Code,都讓我覺得自己札實的向前邁進了一步;每學會了一個新的攻擊手法,都讓我感受到成為駭客的夢不再是遙不可及。」 ──── 摘錄自序言 本書改編自第12屆IT邦幫忙鐵人賽,Security組佳作系列文章《Web滲透測試 - Burp Suite 完整教學》。本書宗旨在於對Web Security的測試工具Burp Suiter進行操作教學以及功能說明。 Burp Suite是許多資安人員耳熟能詳的工具,也無疑是資安圈Web安全測試中最受歡迎的工具。但大家真的了解Burp所能做到的事情嗎?本書將針對Burp的各項功能進行詳盡的介紹及教學,手把手的帶著大家動手熟悉Burp的操作使用,希望能藉由本書能讓大家徹底了解Burp這個Web安全測試工具。 內容亦不會限於純粹的工具操作介紹,遇到相對應的功能背後需要具備的知識時,也會加以說明介紹,畢竟技術的原理與知識才是在執行滲透測試時最重要的核心,工具則可用來協助或加速去完成我們的測試想法與思路,讓大家不會是一個只會操作工具的工具人。筆者本身於業界執行過許多滲透測試專案,也會於本書中分享實務上的小技巧與經驗。 本書特色 ※從入門到精通 熟悉Burp中各項功能,例如Target、Proxy、Intruder、Scanner和Repeater,成為專業的網站滲透測試人員。 ※從觀念到實作 扎實理解網頁安全測試中所需的知識與原理,正確的學習如何使用工具檢測WEB應用程式中的風險。 ※從自動到手動 了解Burp當中各項自動化測試功能的原理與設定,並學會如何善加利用手動方式挖掘與驗證漏洞。 ※從舊版到新版 涵蓋新舊版本Burp Suite的功能差異說明與介紹,提供給具有不同需求的測試人員。
企業資安裁罰案件分析:深度解析27個實際案件,靈活運用資安策略(iT邦幫忙鐵人賽系列書)
台灣第一本,從資本市場的角度, 結合內控、稽核、法遵、風控的角度, 介紹企業資安現況的專書! & ☛以台灣企業實際案例做分析 ☛依金管會三大局處做出明確的分類 ☛篩選出企業資安被裁處的部分做解析 ☛讓企業能有效且快速的掌握金管會對於資安的要求 & 本書內容改編自第12屆iT邦幫忙鐵人賽Security組冠軍系列文章──《資安裁罰案件分析》,也是第一本從資本市場的角度,來探討企業資安的書籍。本書主要藉由金管會證期局、保險局以及銀行局,針對所屬監理企業裁罰的結果,整理出資安相關的部分,並加入法遵、稽核、風險等控管等觀念,深入解析當前企業所需注意的資安重點。也讓企業能藉由實際發生的案案例,了解資本市場資安的現況,並且達到提升資安的目的。 & 本書重點: ♦針對金管會三大局處:證期局、保險局、銀行局所裁罰的案件,做出分門別類,讓讀者能迅速了解當前不同型態產業對於資安的要求。 ♦將資安部分從各裁罰案中篩選而出,並搭配事實及法令依據,讓讀者能夠很快了解資安裁罰的重點。 ♦在案件說明中,加入《提示》,方便讀者了解相關資安及資本市場用語。 ♦每篇裁罰案分析的結尾,皆設有《總結》,讓讀者能在最後掌握每個案件的資安重點以及裁罰結果。 &
極黑駭客專用的OS:Kali Linux2無差別全網滲透
駭客專用的作業系統Kali 沒有攻不破的系統,沒有駭不了的網站 最完整齊全的工具,看你想要多黑! 駭客當然要熟悉Linux,但專門為駭客所設計的Linux,非Kali Linux莫屬了。Kali Linux是一個網路安全攻擊工具集合,它可以透過對裝置的探測來攻破裝置的安全性,而且其功能完備,包含目前所有熱門的駭客工具。你可以在任何經典的網路安全圖書中找到它,甚至可以在大量的電影影集中看到它的身影,電腦「駭客帝國」就有使用到Kali的工具。本書最重要的觀念就是安全滲透,而滲透的核心就是主被動掃描,當掃描到漏洞之後,就是駭客大展身手的時刻了。 除了駭客工具之外,本書也完整說明了網路封包的基本概念,並且搭配ARP缺陷、HTTPS的原理等。最紅的Wireshark也當然不會錯過。本書也針對密碼破解有詳細實作,更有無線網路的滲透方法。如果攻不破,毀了你也是可以,這當然就是DOS的心態,本書當然也針對了資料連結層、網路層、傳輸層及應用層中的協定漏洞,並講解了如何利用這些漏洞來發起拒絕服務攻擊。 ▌本書重點 被動掃描三大工具詳解。Maltego、sn0int和ZoomEye。 程式漏洞的成因與分析。 Metasploit 工具中提供的Meterpreter 模組實例解析。 新型免殺技術和MSFPC 的使用講解。 Metasploit 的圖形化操作介面——Armitage。 Kali Linux 2 中的社會工程學工具套件。 在新型的作業系統中如何利用SEH 實現滲透。 ARP 缺陷部分以及Wireshark 的操作 暴力破解密碼 利用Kismet破解無線網路 ▌適合讀者群 本書的適合讀者群如下: 網路安全滲透測試人員; 運行維護工程師; 網路系統管理員和企業網管; 資訊相關科系的師生; 網路安全裝置設計與安全軟體開發人員; 安全課程教育訓練人員。
嵌入式網路處理器安全系統建置設計寶典
「關鍵語法與物件導向觀念解說」「範例引導教學,功能逐一詳解!」在現今的社會中,資訊的普及和快速傳播跟網路的竄起有著密不可分的關係,因此網路安全工程師便成了各企業不可或缺的人才之一。但知識的無窮無盡和科技的快速進步使得培養網路安全工程師的進行困難,需要在學校打好基礎,才能在進入業界後一展所能。一個優秀的網路安全工程師應具備的背景知識主要有五方面:嵌入式系統(Embedded System)、封包處理(Packet Handling Process)、網路處理器(Network Processor)、網路安全(Network Security)以及團隊合作(Team Work),這些知識和技術自然也不是一朝一夕便能熟悉。本書則在介紹整個網路系統市場的歷史與趨勢,並以Intel IXP 425網路處理器為主,介紹其相關的軟硬體架構與開發介紹,提供一個初步的網路處理器經驗和求職技巧。本書特色:※網路處理器緣由※網路安全產品市場發展狀況※Intel IXP 425 軟硬體架構與開發※網路安全重要工具於IXP425
改變歷史的加密訊息(iT邦幫忙鐵人賽系列書)
把生活和工作的經驗向下扎根,讓資訊安全變得有趣 本書內容改編自第11屆iT邦幫忙鐵人賽資訊安全組佳作《改變歷史的加密訊息》,採用以「報導式」的方式導讀資訊安全事件。以「生活化」、「大眾化」,還有作者擁有的強項「數位典藏」和「歷史敘事」,能讓讀者閱讀後,理解原來資訊安全,能透過生活和工作,讓資訊安全變得有趣,這與技術實戰其實是有異曲同工的作用。 本書特色 ●深入淺出的報導式導讀資訊安全事件。 ●生動有趣的生活式撰寫資訊安全事件。 ●典藏歷史的敘事式分析資訊安全事件。
力抗暗黑:Azure 資安天使的逆襲(iT邦幫忙鐵人賽系列書)
鮮少的Azure資安中文書,透過電玩改編融入資安25+的安全技法,讓你更快入坑不停歇 ◎各技法篇章的暗黑電玩劇情,讓資安不無聊 ◎各篇章技術情境與基礎架構更有概念性了解 ◎各篇章透過簡易實驗示範,讓你一步步走出自己的活路 本書內容改編自第11屆iT邦鐵人賽Security組冠軍系列文章《麻瓜不敗!白魔法藍天煉金術》,安全的相反邊就是不安,在看我們與惡的距離時,閃過人性的黑暗,資安的相反邊儼然連結到駭客、暗網,都恰恰活躍在網路的世界。而自己也把玩Azure幾個年頭,一時興起與暗黑破壞神做了連結而誕生本書,內容列出的安全示範雖然只是Azure安全的一小塊,但萬事起頭難,希望透過網路、身分、平台、主機與資料各個視角,而有一些小小概念基礎,之後無論Azure、AWS、GCP等其他雲端平台安全,都能有清楚的安全基準,進而實踐出屬於公司企業或個人的雲端平台安全道路。 本書重點 ◎初始篇章:網路安全 網路拋開細節定義,其實就是外對內或內對外相互傳遞回應交換的過程,洪流攻擊之廣,不僅僅只是國內,跨國更是常見,故選用DDoS及FrontDoor作為全域性安全角色,而Bastion、NSG、ASG及Firewall都視為生活日常必需品,不要輕忽了最基本的安全性。 ◎初始篇章:身分安全 除了在原萃的角色存取指派的基礎之外,對於雲端平台原有的服務上再塗上一層薄薄的加值服務,讓你的零信任機制可以更為落實,搭配應用程式防護,無論是防範未然或是事後追查,都有更全面的保障。 ◎中間章程:平台安全 一切服務根基發展好壞與否,都與無名英雄居住平台有強烈連結,透過兩大支柱:「合規原則」讓平台面對到多元的企業情境,都能符合最適的健全體質;而另個強勢主力「資訊安全中心」除了自家雲端平台IaaS與PaaS,也照顧到其他雲與企業間的混合,不只有智慧偵測,主動的安全控制更是價值所在。最後搭配監視告警的IT日常,讓作業更完善。 ◎中間章程:主機安全 主機端點防護,自己腦中第一時間閃過防毒,然而現今世界早已無法因應,能越早預先準備、入侵偵測、自動化調查回應等一連串的循環,才可能如此從容面對。而最後的一哩路,人為或天災讓主機保不住了,能否在損失風險最低的情勢下,核心服務仍可提供,已失去的至少不會洩密釀災。 ◎最終對決:資料安全 最終付出一切代價,就是為了擁有商業價值的東西得以保全,無論資料型態為何,都希望從原始碼製作,到新技術容器媒介,再到資料庫與儲存體,都可以讓每項關卡有庇護所保護著,而本身的加密工廠也受到重重保護,讓非法者拒於門外。
Web開發者一定要懂的駭客攻防術
網頁系統(Web)的生態已讓人難以想像,原以為網際網路是由專家精心設計而成,它所處理的一切事物都充滿理性,事實上,它的發展過程是高速而隨性的,現今,人們在網際網路的所作所為已遠遠超出原創者的預想。& & 維護網站安全似乎成了艱鉅任務。網站是一種獨特的應用軟體,能夠即時向數百萬名使用者發布訊息,這些使用者也包括積極活動的駭客們。大公司時常會遭受資安危害,每週都有新的資料外洩事件,面對這種情況,孤獨的Web開發人員要如何保護自己呢?本書會提供開發人員必須知道的重要威脅,並按部就班說明防禦攻擊的實際步驟。& & 本書將告訴您駭客是如何攻擊您的網站,同時告訴您如何進行防禦措施。每個安全漏洞都以一個專章進行探討,並以真實世紀的案例作為說明,告訴您如何漏洞所在以及如何進行修補。熟習本書所介紹的攻防手法,可以幫助您開發出更加安全、滴水不漏的系統,成為一位更加優秀的開發人員。& & 透過本書,您將可以了解:& .如何預防SQL注入攻擊、惡意JavaScript和偽造的跨站請求。& .如何利用認證機制以及存取權限的管理更有效地保護帳號。& .如何鎖定使用者帳戶,防止依靠猜測密碼、竊取會話或升級權限的攻擊。& .加密的實作方法& .如何管理古老系統中的漏洞& .如何預防訊息洩露造成的漏洞洩漏& .如何防堵惡意廣告和拒絕服務之類的攻擊手法& &
駭客廝殺不講武德:CTF強者攻防大戰直擊
世界頂尖駭客高手齊聚一堂,線上線下互相攻防, 從Catch The Flag生死大戰,讓你知道,你自以為幸福快樂又安全的網路,是多麼的不堪一擊! & CTF(Catch The Flag)是電腦史上最著名的安全攻防大戰,由全世界最強的暗黑高手所組成的團隊,互相進行接化發攻防戰。這些厲害到沒有天理、喪盡天良的駭客,可以幾秒鐘就癱瘓成千上萬台防密嚴實的主機,你能想到的安全防護措施,在他們眼中都如同吃飯般容易攻陷,你想了解他們的攻防手段嗎?你想成為他們的一員嗎?本書由獲得多次世界大賽冠軍的Nu1L團隊撰寫,真槍實戰的把駭客每天都在用的技術完整傳授,從Web各種服務,伺服器的基礎、進階、擴充開始,一直到Windows、Linux的漏洞,再加上對各種程式語言的深度了解,如Java, C/C++/C#,CTF的成員就是強的可怕,史上第一本針對這些人的技術,知識,工具大解密,更可以幫助你加強了解網路安全的重要。 & 本書主要針對CTF入門者,融入了CTF比賽的各方面,讓讀者可以進行系統性的學習。本書包含13章內容,技術介紹分為線上賽和線下賽兩部分。線上賽包含10章,涵蓋Web、PWN、Reverse、APK、Misc、Crypto、區塊鏈、程式稽核。線下賽包含2章,分別為AWD和靶場滲透。第13章透過Nu1L戰隊成員的故事和聯合戰隊管理等內容來分享CTF戰隊組建和管理、營運的經驗。 &
突破困境:資安開源工具應用(iT邦幫忙鐵人賽系列書)
完全採用自由與開源軟體實作的資訊安全提升策略 讓你可以直接使用在現有環境的入門指南 & ♚提升服務的可用與容錯能力 ♚確保資料的正確與備份能力 ♚加強裝置的運作與檢測能力 & 本書改編自第11屆iT邦鐵人賽Security組佳作《突破困境:資安開源工具應用》,也是第一本完全採用自由與開源軟體套件組成企業資安應用的本土專書。 & 這是一本由實際經驗所累積而成的應用範例,針對了各種不同資安面向的角度,佐以相對應的自由與開源軟體,來協助企業逐步打造安全提升的基石,更重要的是這些皆為立即可以進行安裝與使用的軟體,只要願意捲起袖子動手實作,隨時可以體會到這些軟體所為我們帶來的改變。 & 在介紹每一套自由與開源軟體之後,同時一併介紹作者所知的對應商業產品,方便讀者在評估商業產品時的資訊蒐集。 & 【實用技巧】 ♞監視裝置與服務運作 自動化監視設備與服務是否正常運作,以歷史數據趨勢判斷問題發生頻率與原因收斂,並且在發生障礙時立即告警,讓管理員可以提早進行應變準備。& & ♞事件記錄收集與分析 將所有裝置的記錄統一收容存放,並針對不同的記錄產製方式提供擷取工具,最終依據內容分析做出相對應圖表與表格,協助管理者快速判斷問題脈絡。 & ♞重要資料遠端備份 讓企業的重要資料文件簡單快速複寫到本地、異地與雲端進行存放,提供加密傳輸與加密儲存,讓資料機密確保無虞,並且能夠在災難來臨時從容還原檔案資料。 & ♞密碼管理與安全驗證 系統管理員握有大量的帳號密碼,在此提供功能齊全且方便的管理軟體,整合雙因素驗證集中使用,並搭配自動填入方案,避免複製貼上帶來的密碼外洩與輸入麻煩的兩大問題。 & ♞網路位址管理與自動更新 可以在面對為數眾多的裝置與人員時,使用IP管理系統正確管理IP清單與更新,是達成資安管理的重要前提之一。 &
零信任網路:在不受信任的網路中建構安全系統
利用防火牆隔離的方式來保護網路,其實不如想像般可靠,在防火牆後面的主機沒有自我防禦能力,一旦位於所謂「信任區域」的主機遭受入侵,資料中心也會隨之遭殃。本書向您推薦零信任模型,它將所有主機都視為直接面對網際網路般不安全,整個網路都有受到威脅和惡意攻擊的可能。 本書將告訴您零信任模型何以能讓我們專注於建構具強大身分驗證、授權和加密的系統,如何為使用者劃分不同存取權限,又同時兼顧良好的使用體驗。同時將帶領您了解零信任網路的架構,以及如何利用現有技術來建構零信任網路。 .利用零信任模型將安全嵌入系統作業之中,而不是將它布置於表層之上 .剖析形成零信任網路的代理員和信任引擎等重要概念 .使用既有技術為網路中的參與者建立彼此的信任 .將邊界安全網路裡的正式作業環境遷移到零信任網路 .探討在用戶端(Google)和伺服器端(PagerDuty)的零信任建構案例
資訊生活安全、行動智慧應用與網駭實務
「資安」,現在正夯,那是因為:科技的趨近完美、完整,沒有「安全」與「保障」的背書加持,總是少了那內心的「放心」,也就是「安全感」。那不就是我們掛在嘴邊的「安全」。資訊科技發達與文明交互作用的熱潮下有了經常掛在嘴邊的「資安即國安」口號,在「資安」加持下也成就了世界潮流與科技的最佳保護傘。這些「資安」歷史、 發展、追逐、互動、攻防與省思盡在我們呈現給您的書中,重點大綱如下: & 安全系統基礎篇關於資訊安全基礎原理,述說著人類祕密的源頭和資訊安全的根本原理與歷史發展,得以從中理解密碼學的奧秘,以便挖掘隱藏在祕密背後的真實面貌。 & 資通與社交平台安全篇談論在現代網際網路底下應具備的合理觀念,透過多種反例使讀者瞭解資訊犯罪的樣貌,進而建立良好與正確的資訊素養。同時廣納熱門安全議題如:雲端運算與巨量資料上的應用、4G至5G行動網路的應用、行動裝置應用與社交網路服務等。 & 網路與多媒體安全篇介紹隱藏在人類網路生活背後的技術與其安全議題,例如:憑證中心處理過程、VPN網路協定、PGP資料加密、網路安全交易SET/SSL等。 & 駭客攻防安全篇收納與駭客相關的安全主題,自經典的電腦病毒至近期時興的搶灘遊戲,類型包含網頁、加解密、鑑識、逆向工程等,從解謎式的玩樂中理解漏洞與弱點,進而加強自身的資安能力。 &
Flag`s創客‧自造者工作坊資安衛士破解駭客戲法
Python、C++ 搭配硬體一起用, 重現 IoT 駭客手法讓你懂! 網際網路的快速發展, 讓資訊安全成為不能輕視的問題, 而物聯網 (IoT) 的出現與全面應用, 無疑又為網路資安增添更多隱憂。 隨著物聯網裝置的進步, 不僅資訊蒐集能力越來越強, 提供的功能也更加完善, 然而享受便利生活的同時, 仍須正視這些貼近我們生活的裝置, 可能成為資安的缺口。因為有一種人可能正伺機而動, 他們就是 … &IoT 駭客&。 IoT 駭客除了擁有一般駭客的高超程式技巧、網路技術, 更是對晶片、傳輸介面、硬體裝置、通訊協議等技術有深入的了解, 不僅能利用網頁弱點、韌體漏洞來攻陷 IoT 設備, 也能反過來利用自製的 IoT 裝置作為攻擊手段, 是新型態的駭客, 也是資安領域中相當大的威脅。 正所謂知己知彼, 百戰百勝, 本套件以 &白帽 IoT 駭客& 的角色來破解駭客手法。使用雙程式開發環境:Python、C++, 搭配雙主控板重現 IoT 駭客常見手法, 透過實作了解背後原理, 並找出防範手段。 注意:本產品實驗教學請務必實作於自己私有環境與設備, 違者將觸犯刑罰法律刑責甚重, 切勿以身試法。 本產品除實驗手冊外, 實驗過程中有任何問題或是建議都可以在 Facebook 粉絲專頁《旗標創客‧自造者工作坊》中留言, 即有專人為您服務。 本產品 Windows / Mac / Linux 皆適用 (部分實驗實測僅為 Windows 適用) 本書特色 ◎ 內附完整硬體設備一次到位 ◎ 範例程式搭配硬體, 重現 IoT 駭客常見手法 ◎ 駭客基本手法:暴力破解法-試試密碼強度 ◎ 硬體實作與防範:Bad USB-偽裝鍵盤輸入惡意指令 ◎ 鍵盤無線盜錄器-我輸入什麼你都知道 ◎ Wi-Fi 駭客起手式:Wi-Fi 癱瘓器 ◎ 公共釣魚熱點-眼見不為憑 ◎ 列舉相關法律條文, 實作不觸法 ◎ 雙程式開發環境, Python、C++ 搭配使用 & 組裝產品料件: Pro micro 相容控制板 × 1個 D1 mini 相容控制板 × 1個 USB Host Shield 模組 × 1個 MicroUSB 傳輸線 × 1條 5mm 紅色 LED × 2個 麵包板 × 1個 杜邦線 × 1排
資訊系統安全技術管理策略:資訊安全經濟學
隨著 「互聯網 +」 戰略的積極推進,資訊化大潮汹湧而至,無論是互聯網企業還是傳統企業都越來越依賴網路方式獲得資訊和交流資訊,資訊系統對企業的日常運行和管理、提高生產營運效率等都起著至關重要的作用。然而,企業在享受資訊技術帶來的便利和效益同時,其網路環境和技術的複雜性也使得保護資訊資產和資訊系統面臨前所未有的挑戰。 目前,各類接入互聯網的資訊系統受到的安全威脅越來越大,駭客攻擊水準越來越高,資訊安全問題日益突出, 給各行業組織帶來聲譽和財務上巨大的損失。 例如,2017年5月永恆之藍勒索病毒波及150個國家的大學、政府機構、國有企業等,造成的損失超80億美元。根據世界經濟論壇發布的《2017年全球風險報告》,大規模網路安全破壞位居當今世界面臨的五大最嚴重風險之列。 安全技術雖然可以在一定程度上保障資訊系統,但其技術本身也存在著潛在的漏洞和風險。駭客不僅利用技術弱點攻擊單個電腦系統,還利用網路連接的特性攻擊和它相連的電腦。一些實證和理論研究表明,越來越多的駭客入侵是有目的的,但他們做出攻擊的決策也取決於系統的安全性。 面對嚴峻的資訊系統安全形勢,組合運用防火牆、入侵檢測(IDS)、防病毒、安全日誌、人工調查、加密、數據備份等多種安全技術提升資訊系統安全水準, 已經成為資訊系統應用中的關鍵問題之一。 此外,企業的資訊安全預算已經成為其資本結構的重要組成部分,如何在有限的資金條件下達到最優的資訊系統安全技術管理水準也是企業和學術界關注的焦點問題。
駭客自首:極惡網路攻擊的內幕技巧
本書結構 本書共12 章,可以分為三大部分。 ■基礎篇(第1 章):主要介紹一些軟體漏洞相關的基本概念,以及常用工具及漏洞分析方法,最後向讀者推薦一些相關的學習網站和書籍,方便讀者做進一步地學習和交流。 ■實戰篇(第2~11 章):是本書最主要的部分,根據不同的漏洞類型挑選不同的經典案例,用不同的漏洞分析技巧,介紹比較高效的分析方法,剖析各種常見的軟體漏洞類型、原理、利用和修復的實戰技術。同時,緊接目前熱門的行動網際網路安全問題,增加了Android 平台的漏洞分析,以保持內容與時俱進。 ■展望篇(第12 章):對未來的軟體漏洞發展趨勢做出預判,相信未來的主要戰場會更集中在行動終端、雲端運算平台、物聯網三大方向上,並對現有的這些方向的漏洞案例進行簡介。 適合讀者群:電腦相關科系學生,資訊安全愛好者,軟體安全及行動安全相關的從業人員,軟體發展與測試人員、駭客等。&&&&&&&&&&&&&&&&&&&&&&&&&&&&& & 本書特色 ►以各種類型的經典漏洞實戰講解 ►分析各種系統及軟體漏洞的成因及攻擊方法 好評推薦 過去幾年,我們見證了行動互聯網的興起、軟體漏洞戰場從PC端向行動端的遷移。本書從這個視角出發,結合實例、深入淺出、涵蓋全面,是學習軟體漏洞的絕佳之選。作者在騰訊安全應急回應中心是負責軟體漏洞的處理和研究,有著豐富的實戰經驗。強烈推薦!--騰訊安全平台部總監& lake2 安全性漏洞的挖掘與分析是隱秘且難度較高的一門技術,系統性的學習資料更是少。本書以近年來報告出的經典漏洞為藍本,分析並講解常見的各種系統及軟體漏洞的成因及攻擊方法,透過對這些精彩漏洞實例的全面講解,相信讀者對軟體漏洞技術會有更加全面的認識,被漏洞挖掘者的聰明與智慧折服。--軟體安全專家& 豐生強 一本關於二進位漏洞分析最全面的力作,本書結合新的經典漏洞與新型分析方法,深度剖析不同類型的安全性漏洞,相信能夠幫助那些希望從事安全行業的人員,為其提供更好的幫助。--阿里安全威脅情報中心安全專家& instruder 隨著互聯網的蓬勃發展,安全性漏洞也逐年爆發。如何快速分析漏洞成因是安全研究人員必備技能。本書涵蓋各種各樣的漏洞類型,覆蓋PC端和行動端,極具實戰性和全面性,兼具實用性和時效性,是安全研究人員提高漏洞分析能力的利器。--阿里巴巴行動安全專家& dragonltx
Bash資安管理手冊
如果你希望戰勝不懷好意的駭客,速度與效率是網路安全管理的關鍵。在緊急狀況中,能夠熟練地運用命令列介面是一項可貴的技能,因為沒有其他工具的可用性、靈活度與使用彈性堪與命令列介面相比。本書將告訴你如何在命令列使用bash shell完成資料收集與分析、入侵偵測、逆向工程與管理等工作。 本書將傳授你利用指令列工具收集資料、分析日誌與監控網路的技術與知識。滲透測試人員則可從本書中了解如何利用Linux系統的內建功能來實現攻擊性操作。 資安人員、網管與學生可從本書中學到: .基礎:防禦與進攻的原則、指令列與bash的基礎知識與正規表示式。 .防禦性安全操作:資料收集與分析、即時日誌監控與惡意軟體分析 .滲透測試:腳本混淆、遠端操作 .安全管理:使用者、群組與權限;裝置與軟體庫存
e 科技的資安分析與關鍵證據:數位鑑識
本書主要的目標是希望讀者可以在電腦與網路的快速發展和普及應用下,了解依賴傳統證據為主的鑑識方法,已經不足以對抗科技導向的資訊犯罪案件,現今人們交流的資料大都已電子化,稍有不慎都將導致資訊犯罪案件不斷出現。因應新型態的高科技犯罪,本書大綱如下: 1.證據取得 首先說明如何利用數位科技與嚴謹的檢查程序,從電腦/網路系統或其他硬體儲存媒體設備中,找尋與犯罪行為連結的實體或邏輯證據。且對於證據力的儲存與管理該注意哪些事項,以便確保從證據的蒐集、分析到最後呈現於法庭上完整的數位證據管理鏈。 2.鑑識工作 著眼於在不同作業系統平台(Windows/Unix/Linux)上該如何進行所需要的鑑識工作,包含數位鑑識軟體簡介、基礎操作方式等。期能因應在重要系統的資安入侵事件發生後,能在第一時間記錄入侵點,以保留最後的數位證據。 3.手機鑑識 介紹手機目前的發展狀況、操作手機鑑識時應注意的流程及要點、手機資料的萃取方式及分析手機的鑑識軟體,以提升在面對手機等可攜式裝置的鑑識能力。 4.科技資安應用 介紹網路的數位證據如何辨別及蒐集,並針對熱門的網路社群應用該如何進行鑑識工作做說明。並討論雲端運算、雲端列印等重要的網路相關服務,更加地熟知科技資安的重要性。
Wireshark:網路封包搜捕分析的超端利器
Wireshark主要效能-檢測網路問題/監測資訊安全/網路通訊協定除錯■ 內容全面、系統、深入本書介紹了Wireshark的基礎知識、捕捉篩檢程式和顯示篩檢程式的使用、對資料封包進行匯出或重組等。然後,介紹了使用Wireshark對各種協定的詳細分析。最後,還詳細分析了作業系統啟動過程的資料封包。■ 接近實際,專業說明本書按照Wireshark 專業使用流程,對其功能進行詳細說明,幫助讀者掌握最高效的資料封包截取、分析技術,以解決各種複雜的網路問題。同時,針對圍繞巨量資料封包處理問題,本書詳細介紹相關技術,如抓取篩檢程式、顯示篩檢程式、運算規則等功能。■ 直觀說明網路通訊協定對於網路資料封包有關的網路通訊協定,本書給以最直觀的說明。首先分析協定的工作原理以及相關資料封包的組成,然後對照Wireshark資料封包視圖進行逐筆比對,幫助讀者以最直觀的形式學習和掌握各個網路通訊協定。適用:Wireshark初學者、 想全面學習Wireshark者、網路系統管理員、專業的安全滲透測試人員、大專院校的學生本書特色:◆ 支援各種常見格式,更可在多種作業系統上執行◆ 開放原始碼支援網路通訊協定更新迅速◆ 支援許多網路通訊協定解密◆ 提供強大的資料抓取功能和豐富的資料分析方式
職業駭客的告白: 軟體反組譯、木馬病毒與入侵翻牆竊密(暢銷回饋版)
知己知彼,百戰不殆《孫子.謀攻篇》 & 職業駭客的告白 秋聲: 「拿起這本書的各位請注意,我們都是駭客。」 改編自真人真事 職業駭客首度現身揭密 驚悚程度更勝小說電影 揭露駭客業界不為人知的祕辛 「我現在才知道,原來駭客是用這麼簡單的方式打敗我們。」 -台灣資深資訊安全技術顧問 「唯有駭客才懂駭客。」 -2015台灣HITCON駭客年會 「其實電腦並沒有漏洞,漏洞在於人的身上。」 -駭客名言 一次搞懂「技客(Geeker)」、「駭客(Hacker)」、「怪客(Cracker)」。 所謂的駭客就是精於技術的人,真正的駭客是不入侵別人電腦,不是討厭的破壞者。 駭客技術並不是本科系的專利,像我這種非本科系同時也不是什麼特別聰明的人(有智力測驗結果以資證明),也是一樣按部就班地來慢慢學習。也就是說,成功靠努力,而不是靠運氣。再說,現在這個時代裡頭幾乎每人家裡都有一台電腦,因此要跑程式對各位讀者來說根本就不是什麼大問題,重點是只要按照方法辛勤地努力成功就會是你的了。 只要記住一件事情,在資安或駭客技術裡頭,學歷也好經歷與經驗也罷,那幾乎全都沒什麼用處,只有能力這玩意兒在駭客技術當中才是百分之百的真正王道。 & &
資安專家談Wireshark|Wireshark與Metasploit整合應用
Wireshark是一套應用廣泛(包括資安領域)的網路分析工具,它可以幫助您鉅細靡遺的檢視網路,豐富的功能與支援讓Wireshark成為無價的資安工具,但也因此讓新手卻步。本書可以幫助您快速上手,學會如何利用Wireshark和相關工具 (如TShark)、認識Metasploit這個著名的滲透測試框架,以及利用Lua讓Wireshark發揮更大的威力。 本書涵蓋攻擊與防禦技術與工具的探討,可以幫助您: .了解Wireshare及相關工具的基礎操作 .學習如何使用Lua腳本來擴充Wireshark的功能 .利用Wireshark進行攻擊與防禦技術的研究 .透過Kali Linux進行滲透測試的實戰演練 .利用Docker建置一個模擬真實商業網路的虛擬環境 .利用MitM技術抓取封包的技巧 .修改原始碼來強化您的工具集
打造安全無虞的網站-使用ModSecurity
相信大多數的程式設計師都曾有過類似的經驗,在專案時程的壓力下,通常程式在撰寫完成後,經過簡單的功能測試後即會將程式上線,大多沒有辦法充份的測試功能面以外的狀況,更別說是針對安全的測試。在此情況下,經常會造成上線的網頁程式存在潛在的資安問題,最常見的即是因為程式未能適當的過濾輸入參數而造成的資料庫隱碼攻擊(Sql injection)的漏洞,造成線上資料庫損毀或資料庫內的資料外洩。 LAMP相信是開源碼社群中網站解決方案的首選,挾其優異的效能及穩定性,早已為各界所肯定,也是目前應用最廣的網站解決方法,但此方案並未提供安全上的防護。因此在本書中,將為讀者介紹如何使用開源碼社群中,最富盛名的網頁防火牆軟體,名稱為ModSecurity來為Apache網站伺服器加上網頁防火牆的功能,來增強網站伺服器的安全防護能力。 本書特色 ★按圖施工,保證成功 ★零預算的資安解決方法 ★為網站伺服器加上金鐘罩 ★大量案例實作,全面解析
資安風險評估指南第三版
從駭客的角度思考,找出系統潛藏的漏洞 如何判斷網路是否安全?最好的方法,就是使用與駭客相同的手法發動攻擊,找出並嘗試利用弱點。 資安專家克里斯.麥克納布將在本書中示範常見的漏洞利用技巧,讀者可以用本書的技巧測試自身所在的環境是否存有這樣的漏洞。 系統越來越複雜,可攻擊的漏洞也隨之增加,本書提供降低網路風險的處理程序,每一章都會列出攻擊者使用的技術摘要清單,以及可以即刻派上用場的防範對策。 從本書可學到如何有效地測試下列系統組件: .常見的服務,如SSH、FTP、Kerberos、SNMP和LDAP。 .微軟的系統服務,包括NetBIOS、SMB、RPC和RDP。 .SMTP、POP3和IMAP等電子郵件服務。 .提供網路安全存取的IPSec和PPTP服務。 .提供安全傳輸的TLS協定及其功能。 .微軟IIS、Apache和Nginx等網頁伺服器軟體。 .Rails、Django、微軟ASP.NET和PHP等應用程式框架。 .資料庫伺服器、儲存協定及鍵值對儲存等資料儲存技術。
資訊安全保衛戰
在雲端運算理念下提出一個組織的整體安全框架,從組織的策略、業務出發,結合安全標準和業界最佳實作,形成系統的資訊安全建設方法路徑,打贏資訊安全保衛戰。 隨著新一代資訊技術的快速發展帶來好處的同時,我們也面對前所未有的資訊安全威脅。如何在有效利用資訊技術的同時,積極應對和及時識別、規避風險,打好資訊安全保衛戰,是我們大家必須面對的,也是本書寫作的目的。 本書主要讀者群涵蓋企業的CEO和企業管理人員,企業的CIO和從事資訊化、資訊安全建置的IT人;其次是諮詢公司的業務和IT諮詢人員以及企業資訊安全專案實施人員;對於大專院校的師生們進一步有系統地認識企業資訊安全建置、企業IT的實際情況,企業和社會資訊安全建置想法是一本絕佳的參考書;最後,對於從事企業資訊安全的服務提供者也是一個很好的值得借鏡的參考書,因為只有深刻了解企業的需求、資訊安全建置的系統思維,才能實施好企業資訊安全專案。
誰說手機防毒要用買的?自己寫Android全防位防護服務
透過對一款手機安全衛士開發案例的詳細解析,講解一個完整的Android實際專案的開發過程。該項目涵蓋了市場上主流手機衛士的主要功能,同時,也是對Android應用程式開發知識的綜合應用,涵蓋手機防盜、通訊衛士、軟體管理、處理程序管理、流量統計、手機防毒、系統最佳化、進階工具、設定中心等。 除透過對案例的解析,並將程式碼中關鍵部分逐一講解,幫助Android應用開發人員快速掌握相關概念和知識,在實際開發中能快速而輕鬆地積累實戰專案經驗
電腦史記之駭客列傳:從Kevin Mitnick到@GeoHOT
連上網路,差上電源,世界將在你眼前嶄露最徹底的坦誠, 它將告訴你一切所想要知道的祕密。 洞悉世界超級駭客的思維模式與行為 見識現代神偷離經叛道的洞見與實踐的智慧 最讓我們束手無策的也許是那些躲藏在網路背後、無所不在、無孔不入的網路駭客;即使是最優秀的工程師也不敢說自己的程式沒有可供駭客利用之處。若單純是以電子技術水準來說,只有駭客,才是這方面最優秀的。因為我們在補漏洞,他們在發現漏洞,而且他們永遠比我們快一步。—— 比爾.蓋茲
The Browser Hacker,s Handbook駭客攻防聖經
瀏覽器遠比你想的還脆弱, 保障自身的資訊安全,您準備好了嗎?瀏覽器已成為當今世代的作業系統,而且伴隨著IT產業前所未見的漏洞規模。本書是由瀏覽器駭客專家團隊所撰寫,目的是提供教程方法,以便了解瀏覽器的漏洞,同時學習如何在潛在攻擊的威脅下防禦網路和重要系統。這本全方位指南將揭示駭客鎖定目標瀏覽器的準確方式,並利用其弱點建立一個灘頭堡,以便針對網路發動進一步的攻擊。記得透過本書反擊回去。閱讀本書後,將學會下列技術:★利用Firefox、Internet Explorer、Chrome,以及其他瀏覽器的常見漏洞。★進行安全性評估時,透過瀏覽器作為支點侵入目標網路。★對目標瀏覽器施加持續性的控制,藉以取得敏感性的重要資料。★利用瀏覽器插件和套件的漏洞,這是瀏覽器兩個最脆弱的進入點。★使用跨協定的通訊與利用(IPC/IPE),從上鉤的瀏覽器進一步攻擊內部網路。【連結browserhacker.com,可下載本書各章節的範例】
Android Hacker,s Handbook駭客攻防聖經
“The best defense is a good offense” & 本書結構 & 本書應該按照章節順序進行閱讀,但是對於正在鑽研Android 或者進行Android裝置安全研究的讀者來說,也可以將本書做為一本參考資料。本書一共分為13 章,幾乎涵蓋了安全研究人員第一次接觸Android 所需要瞭解的所有內容。是從一些廣泛的話題開始,以深度的技術細節收尾。這些章節逐步具體化,最終將討論一些安全研究的高階話題,如發掘、分析和攻擊Android 裝置。本書盡可能地引用來自外部的各類詳細說明文件,從而專注於闡述裝置root、逆向工程、漏洞研究以及軟體漏洞利用等技術細節。 & ◆ 第1章 介紹Android行動裝置的生態系統。首先回顧Android系統發展的歷史,然後介紹通用軟體的構成、Android裝置的市場流通情況以及供應鏈當中的各大關鍵角色,最後從較高層面上總結和討論Android生態系統發展遭遇的挑戰,以及安全研究面臨的困難。 & ◆ 第2章 闡述Android系統的基礎知識。首先引入系統安全機制的基礎核心概念,然後深入關鍵安全元件的內部機制。 & ◆ 第3章 介紹獲取Android裝置完全控制權的動機與方法。首先講授適用於眾多裝置的通用技術,而後逐一詳細分析十幾個公開的漏洞利用。 & ◆ 第4章 涉及Android應用相關的安全概念和技術。討論了Android應用開發過程中常見的安全錯誤,並介紹如何使用正確的工具和流程來找到這些問題。 & ◆ 第5章 討論行動裝置可能遭受攻擊的形式,並解釋用來描述這些攻擊的關鍵術語。 & ◆ 第6章 講述如何使用模糊測試技術來發現Android系統中的軟體漏洞。從介紹模糊測試宏觀流程入手,重點描述如何使用這些流程,更佳幫助我們發現Android系統中的安全問題。 & ◆ 第7章 介紹如何分析在Android系統中發現的缺陷和安全漏洞。本章涵蓋了Android系統中不同類型與層次程式碼的偵錯技術,最後以基於WebKit引擎的瀏覽器中一個未修補的安全問題為案例進行深入分析。 & ◆ 第8章 關注如何利用Android裝置中發現的記憶體破壞漏洞,涵蓋了編譯器和作業系統的內部機制原理,例如堆積的實作、ARM體系架構規範等。章節最後詳細分析了幾個公開的漏洞利用。 & ◆ 第9章 介紹高階利用技術ROP(Return Oriented Programming)。進一步講述ARM體系架構,並解釋為何、如何使用ROP技術,最後對一個獨特的漏洞利用進行了更為細緻的分析。 & ◆ 第10章 深入Android作業系統內核的內部工作原理,涵蓋如何從駭客的角度來對內核進行開發和偵錯,本章最後還會教會你如何利用數個已公開的內核漏洞。 & ◆ 第11章 將帶你返回使用者空間,來討論一個特殊且重要的Android智慧手機元件——無線介面層(RIL)。在闡明RIL的架構細節之後,教你如何通過與RIL元件的互動,對Android系統中處理簡訊的模組進行模糊測試。 & ◆ 第12章 關注目前存在於Android系統中的安全保護機制,介紹了這些保護機制是何時被發明並引入Android系統,以及是如何運作的,最後總結繞過這些保護機制的方法。 & ◆ 第13章 深入探索通過硬體層面來攻擊Android和其他嵌入式裝置的方法。首先介紹如何識別、監視和攔截各種匯流排級別的通訊,並展示如何利用這些方法來攻擊那些難以觸及的系統元件。最後列出了如何避免遭受這些常見硬體攻擊的訣竅。
資訊安全與智慧、行動網路安全應用實務
【安全系統基礎篇】第1章~第6章介紹資訊安全基礎概念,說明人類秘密的根源及資訊安全這門學問的基礎與發展,使讀者能具備數字與密碼學習的基礎,藉此得以對秘密背後所隱藏事實真相的瞭解更具備紮實的根基。密文的解析與瞭解不再是如此的陌生與遙不可及的夢,紮實的基礎不但可窺見了別人宣稱的秘密,當然也可創造/鞏固自己的秘密。 & 【資通與社交平台安全篇】第7章~第12章則談到在現代網際網路的世界中所應具備的安全概念與應用,並討論網路犯罪議題,讓讀者能具備良好的資訊素養與正確的觀念。同時也納入近幾年熱門的安全議題,例如:雲端運算與巨量資料上的應用、4G行動網路的應用、行動裝置應用與社交網路服務等,探討各種不同應用上的安全性和該如何防範。 & 【網路與多媒體安全篇】第13章~第17章介紹與大家生活息息相關,實務上網路安全議題,例如:憑證中心處理過程、VPN網路協定、PGP資料加密、網路安全交易SET/SSL、網路駭客等。除了具體點出資安議題的潛藏危機,亦從實務的角度解說建立資安系統的防護方法與解決之道。可從中了解安全電子交易機制、VPN中的安全機制、駭客手法等安全課題,進而提昇系統安全性,強化自我系統的防護。另外,本篇亦介紹了從古至今早存在我們的活動空間,然在近十年有了新形式詮釋的資訊隱藏的議題,這裡所整理的重點得以讓讀者瞭解這另類的秘密通訊方式。
實戰網路安全監控|入侵偵測與因應之道
用積極的方式維護資訊安全網路安全並不光是防堵而已,頑強的攻擊者最終會擊敗傳統防禦。最有效率的電腦安全戰略是整合網路安全性監控(NSM):資料的收集與分析,協助偵測與回應入侵。本書將告訴您如何使用NSM為您的網路添加強固的保護:無需有經驗。為免花費過多與作出缺乏彈性的解決方案,他教您如何利用開放源碼軟體與安全無虞的工具程式佈署、建置與執行NSM操作。您將學到如何:.決定在何處佈署NSM平台與監控網路所使用的數量.佈署獨立或分散式NSM安裝.使用命令列與圖形化封包分析工具程式及NSM console.詮釋來自伺服器端與用戶端入侵的網路證據.整合威脅智能到NSM軟體裡,找出經驗老道的敵手沒有萬無一失的方式可以保證攻擊者絕對無法入侵您的網路。不過當他們進來時,您應該要有所準備。本書將告訴您如何建置安全的網路,進行防禦、牽制與控制入侵,避免機密性資料外洩。
你的手機中毒了!搶救上網變慢、異常耗電、APP閃當、簡訊發不了的隱藏危機
◆2012年,美國FBI警告在旅館使用wifi若跳出軟體更新視窗,該小心是否為惡意人士所為。 ◆2013年,手機病毒全球數量較往年增加163%,新增病毒達80餘萬個。 ◆2014年2月,有民眾檢舉,位於台北捷運忠孝復興站內的某旅遊大型廣告上的QRcode竟會連向色情網站,並下載可疑apk程式。 ◆2014年4月,北市刑大資訊室指出,歹徒運用line進行小額詐騙的受害人數,近3個月有674人,總金額達177萬元。 ◆2014年5月,提供企業滲透測試服務的DECVORE指出,近來服貿核四議題投票簡訊,乃中國某駭客集團針對iOS手機發出。 ◆2014年6月,CM Security安全實驗室在安全月報上指出,全台五月份約有2萬支Andriod手機遭受病毒感染。 以上手機個資安全受到威脅的新聞,多不勝舉,再再顯示出: 你不是在一個安全的環境下使用手機。 本書特色 ◎海豚男有趣四格漫,甩開防毒硬知識,提高警覺舉一反三輕鬆辦到! ◎手機優化安全設定全程圖解,看圖滑滑點點,安全彈指完成! ◎防護效率最高、最省電、最不擾人的防毒軟體實測評鑑! ◎正確無慮的排毒觀念與步驟! 或許有人會認為手機的「資安防護」「病毒預防」或「防止入侵」等,是專家才要懂、才會懂的事, 但實際上,手機是貼身之物, 個資會洩漏當然是惡意駭客所為,但絕大部分都是自己某個不經意的操作才會讓其得逞, 所以最有效的防護方法,只能自己做,專家代替不了你。 本書邀請到人氣部落格插畫家海豚男,畫出18則有趣四格漫畫, 讓您輕鬆瞭解到是做了什麼事才讓手機個資洩露, 再告訴您駭客使用的手法原理,讓你舉一反三,面對各種可疑狀況都能提高警覺。 並且詳述預防方法,講操作就必有圖解,讓你看圖做,簡單幾步就完成安全設定。 當然手機防毒軟體是一定要裝的, 但是你是否知道曾經有過病毒偽裝成防毒軟體App的案例呢? 而且哪個牌子能在最安全的前提下,能有最不擾人、最不耗電的表現? 這些我們都逐一實測,告訴您答案。
網路安全概論與實務--開源碼架構之網路安全防禦解密
零預算的資安解決方案!! 以資訊安全原理為基礎,開放原始碼之資安軟體為輔, 結合理論與實務,涵蓋網站伺服器、資料庫系統等重要資安議題。 隨著網際網路的廣泛應用,再加上電子設備的進步與成本下降,越來越多的使用者依賴電子設備進行相關業務與通訊等行為,並將與自身相關的資訊儲存在各種網路環境中,駭客覬覦這無限的商機,也形成各種惡意程式的橫行。 為避免遭受惡意攻擊、資料竊取等風險,各企業組織架設防禦設備,期望阻擋或偵測攻擊行為。商業資安設備或軟體通常所費不貲,中小企業或是使用者無法負擔高額防禦成本,卻仍希望有防護能力。另一方面,開放原始碼(Open Source)挾其穩定、免費及豐沛資源的優勢,早已在網路服務應用上佔有重要的地位。由於許多開放原始碼的資安軟體已研發與改版多年,其功能性、可使用性與穩定度日趨成熟,甚至與商業版不相上下,因此常是中小企業與組織的首選。本書特色在於以資訊安全原理為基礎,開放原始碼之資安軟體為輔,理論與實務並重,提供給技術人士低成本的資安防禦知識與技術,亦可作為學校資訊安全與網路安全之教材。 書中實作均實際在系統實作測試過,透過STEP BY STEP的引導,希望能讓讀者按圖索驥,達到「按圖施工,保證成功」的目標。本書共分15章,除了第一章為資訊安全理論的介紹外,其餘各章節均搭配實作解說,涵蓋網站伺服器、資料庫系統、郵件系統,以及防毒軟體等。
資訊安全概論與實務(第三版)
*國內資訊安全經典/暢銷第三版 完全針對資訊安全主題所設計,廣泛且精要地探討相關內容,並納入最新作業系統之資訊安全技術。 本書想寫給三種類型的讀者: 第一種是在大專與技職院校修習資訊安全課程的學生,這本書可以當作是教科書或參考書。 第二種是從事資訊安全相關工作的專業人士,這本書非常強調實務,相信能帶來許多幫助。 第三種是要報考資訊安全專業證照的朋友,這本書對準備CISSP、SSCP、CompTIA、Security+或是CEH考試,取得一張理想的國際證照很有助益。 學習架構: 本書分成四篇,細分十六章。 第一篇「認識問題」: 除了簡介資訊安全之外,主要在討論資訊安全所面對的問題,包括資訊犯罪、惡意程式、駭客攻擊,以及最新議題的個人資料保護法與資訊安全等。第四章比較詳細地介紹駭客手法,讓讀者瞭解在實務上攻擊事件是如何發生的。 第二篇「安全架構」: 廣泛地討論資訊安全的背景理論,包括存取控制、安全模型、密碼學與網路模型等。每一個課題的背後都有深奧的理論,但本書的目標是以最精簡的內容讓學習者對各項課題建立觀念。 第三篇「縱深防禦」: 進一步說明在實務上要如何架構有深度的防禦體系,除了分章討論防火牆、入侵偵測系統,以及防毒軟體等防禦工具,我們在第十二章更逐項檢視資訊環境,確保沒有脆弱的環節。 第四篇「全面管理」: 跳脫技術層面,從管理的角度探討如何建立一個安全的組織。這一篇的核心是資訊安全管理系統(ISMS),也涵蓋了實體安全、營運安全、風險管理、資訊服務管理、緊急應變計畫,以及雲端資訊安全。
電腦、網路與行動服務安全實務
網路時代的優勢在於知識的無界限傳遞,創造無限的想像空間與人類生活的全新商機,藉此亦改變人類原有的生活文明發展。而智慧型手機的應用越發成長,滿足使用者更多元的需求。不論網路安全亦或資訊安全的稱呼皆表示數位科技在安全的絕對必然性。因為唯有安全才能保障資料於網路傳遞的正確性,資料於數位電腦儲存的完整性,並可抵禦所有可能人為∕自然的破壞。想當然爾,能夠達成安全的基礎即是密碼的理論基礎與悠久的內涵發展。在這樣的需求下,此本書的來由亦因應而生。藉由安全機制的認識,才能實現PKI網路世界的人/事/物的信賴,也能享受科技帶來的高度文明成果。本書分四大部分,「資訊安全基礎」介紹建構資訊安全與應用所需的基礎知識與概念及資訊犯罪所面對的法律規範與議題;「資訊安全應用」探討各項資訊安全設定的應用,如雲端、通訊以及社交網路…等廣為大眾所使用的科技應用與加強安全性;「資訊安全實務」討論目前網路安全應用與解決之道並佐以實務上的應用,如:PGP資料加密、網路安全交易SET/SSL、電腦病毒、電腦系統安全防護、Snort與Nessus網路安全工具等。「資訊安全進階學習」則為將較艱深、繁雜的數學公式與相關應用程式,並收錄於CD中提供讀者學習。
安全之美:深入探索卓越安全專家的思維
深入探索卓越安全專家的思維 「本書彙集一些具前瞻性的文章,帶領離讀者遠離懷疑與恐懼的安全環境,快速邁向更精緻的安全之美。本書展現了安全的陰與陽,以及引人注目的破壞性和出色的創造性之間的緊張。」 -Gary McGeaw,Cigital 公司技術總監,軟體安全和其他九本書的作者 大多數人對安全都不會很重視,直到他們個人或業務系統遭到攻擊。這本發人深省的文集,不僅止於關切數位安全,主題與內容也引人著迷。安全罪犯之所以能夠得逞,在於其強大的創新能力,施行防禦措施與之對抗的人,也須具有同等創新能力。 安全之美一書,探討一些具有挑戰性的主題,包括: 個人資訊的地下經濟:它是如何工作的、罪犯之間的關係和一些掠取獵物的新途徑 社交網絡、雲端運算和其他流行趨勢,是如何幫助或傷害我們的線上安全 計量、需求收集、設計和法律等,如何將安全帶到更高層次 真實且很少公開宣傳的PGP發展史 本書作者: Peiter“Mudge”Zatko Jim Stickley Elizabeth A. Nichols Chenxi Wang Ed Bellis Benjamin Edelman Phil Zimmermann and Jon Callas Kathy Wang Mark Curphey John McManus James Routh Randy V. Sabett Anton Chuvakin Grant Geyer and Brian Dunphy Peter Wayner Michael Wood and Fernando Francisco 本書所有版稅將捐贈給網際網路工程任務組(IETF)
企業級的網路安全架構-終極防駭技術大剖析
本書深入地剖析了構成企業網路整體安全的各部份,包括網路安全概述、網路設備的工作原理、設備造成的安全威脅、各種開放式網路協議,以及開放式網路協議所造成的安全威脅、基於網路設計及網路架構的攻擊與防禦技術、路由協議的工作原理與攻擊防禦所造成的安全威脅、網路設備的加固技術與檢測方法、防火牆的配置、病毒與木馬的檢測與防禦、網路集中驗證、訪問控制與輸入端的安全技術等。在寫作風格上,作者由淺入深,依據各種論點,將抽象的理論變成資料化的內容,並經過有順序的組織,讓讀者在結束對理論的理想型學習方式後,更容易理解理論、可閱讀性更強。本書講述了現今最流行的與網路安全密切相關的流量分析技術、流量滲透分析與防禦技術、在受到網路攻擊時的服務品質保證技術、網路安全的加固技術等,大篇幅地揭露了防火牆與防毒軟體視而不見的高危險性攻擊與入侵方式、演示防禦措施等。本書案例豐富,理論性與實用性都較高,並且以「尊重實驗事實,符合實驗理論」為編著原則。非常適合從事網路安全性的軟體工程師、各大企業的MIS人員、CCIE安全類備考人員以及大學資訊科系的學生,尤其本書提供的書附光碟中,包含了豐富的視訊教學,可讓讀者更容易了解本書的內容。
雲端資安與隱私:企業風險應對之道
IT人員、資訊安全與隱私從業人士、業務主管、服務供應商與投資人,都該閱讀的一本書在本書中,你會學到在將資料託付至雲端時應注意的事項,以及要如何確保虛擬架構和網站應用程式的安全。IT人員、資訊安全與隱私從業人士、業務主管、服務供應商與投資人,都應閱讀本書,《雲端資安與隱私|企業風險應對之道》提供三位來自技術安全業界知名專家的實用建言。你可以在此找到現今仍廣泛缺乏的雲端運算安全資訊。 本書訴求讀者任何對雲端運算有興趣的人都適合閱讀本書。雖然主要是談雲端服務的安全、隱私與稽核,我們並未針對資訊安全專家,雖說我們認為大部分資安專家會認為本書有所幫助。我們撰寫本書,是為了想瞭解技術層面的商務人士,以及想用雲端運算且希望能保護資訊的人。資料是王道,而資料的保密性、完整性與可用性,都比以往更為重要。所以,雲端服務的安全、隱私與稽核,應當會讓您更感興趣。 .檢視雲端資料安全與儲存的現況 .學習雲端服務的身份與存取管理(IAM)作法 .找出合用的安全管理架構與標準 .瞭解雲端隱私與傳統運算模型的比較 .學習雲端中的稽核與合規標準及架構 .認識「安全即服務」這種新的雲端安全面向
數位家庭網路與居家安全監視系統
更多書籍資訊請到www.bookcity.com.tw網站隨著網路發展的日漸成熟,各種網路協定和網路應用也不斷推陳出新,在設計各種網路系統時,「網路處理器」提供一套多元化的解決問題方案。本書將針對Intel的IXP425網路處理器之應用作一詳細敘述,其主要原因在於IXP425適用在SOHO/SME市場,而台灣也是這一方面市場的翹楚,相信部分大學的相關專業科系可以利用此書作為有關課程的教科書或參考書,或者工程師日後可利用此書作為研發產品的依據。本書邀集了十個學校的資深教授,分別針對「SOHO網路閘道器與VoIP應用」和「數位家庭網路與居家安全監視系統」兩大主題做深入探討,並從教學與研究的認知與心得開發實驗教材。本教學實驗手冊是全程規劃的實習,其內容涵蓋的領域相當廣泛。數位家庭網路與居家與居家安全監視系統簡介在IXDPG實驗平台下無線網路附屬儲存裝置之建置網路檔案伺服器之建置、無線網路附屬儲存裝置之建置影像擷取系統的實作與遠端監控伺服器之實作實作影像擷取系統與遠端監控伺服器遠端監控伺服器之實作、建構以UPnP 為基礎之家用網路建立Wireless UPnP Device Emulator、UPnP Mp3 Player建構網頁伺服器、建構UPnP Control Point具偵測入侵通功能之SSL代理伺服器
網路處理器建置嵌入式安全系統
※更多書籍資訊請到 www.bookcity.com.tw網站在現今的社會中,資訊的普及和快速傳播跟網路的竄起有著密不可分的關係,因此網路安全工程師便成了各企業不可或缺的人才之一。但知識的無窮無盡和科技的快速進步使得培養網路安全工程師的進行困難,需要在學校打好基礎,才能在進入業界後一展所能。一個優秀的網路安全工程師應具備的背景知識主要有五方面:嵌入式系統(Embedded System)、封包處理(Packet Handling Process)、網路處理器(Network Processor)、網路安全(Network Security)以及團隊合作(Team Work),這些知識和技術自然也不是一朝一夕便能熟悉。本書則在介紹整個網路系統市場的歷史與趨勢,並以Intel IXP 425網路處理器為主,介紹其相關的軟硬體架構與開發介紹,提供一個初步的網路處理器經驗和求職技巧。網路處理器緣由。網路安全產品市場發展狀況。Intel IXP 425 軟硬體架構與開發。IXP 400 系列硬體介紹IXP 400 軟體介紹開發環境介紹、封包處理網路安全重要工具於IXP425。TCP dump/TCP replay、tEthereal、Nmap、Nessus、Iptable、Snort
