加密‧解謎‧密碼學:從歷史發展到關鍵應用,有趣得不可思議的密碼研究
想保護資訊安全,必須了解密碼學。 如果你喜歡解謎解鎖,更歡迎來到密碼學的世界! & 什麼是密碼? 密碼是按照特定的法則編成,用於通訊的雙方轉換明文、密文的一種符號系統。作為一種資訊混淆的方法,加密的過程就是將可識別的資訊,變成不可識別的資訊。 在密碼學中,加密前的原始資訊稱為明文(Plaintext),加密後的資訊稱為密文(Ciphertext)。把明文轉換為密文的過程稱為加密(Encrypt),把密文恢復成明文的過程稱為解密(Decrypt)。大部分的加密和解密過程都涉及一個只有加密/解密雙方才知道的祕密資訊。唯有掌握了這個祕密資訊,才能正確地解密密文。密碼學中將這個祕密資訊稱為金鑰(Key)。所謂破解,或稱密碼分析(Cryptanalysis),是指在不知道金鑰的情況下,從密文中得到與明文相關的一些資訊,恢復出一部分甚至是完整的明文。 從人類的歷史來看,密碼最早是用於戰爭時的祕密通訊。出於保密的需求,每一場戰爭的背後,都有密碼的身影。可以說,密碼的戰爭決定了人類歷史的進展,而密碼學是保護資訊安全的最後防線。 & 本書作者為密碼學博士、阿里巴巴集團數據技術及產品部高級安全專家,他從生活中的實例出發,深入淺出地引領讀者走進精彩的密碼世界。 這本書會分享:從男女生互相告白的密碼信如何破解,到身分證號碼中隱藏的祕密,從古典密碼(西元前400年的古希臘時期開始)、電腦的編碼方式,到二次大戰時期德軍使用的恩尼格碼(Enigma)密碼,以及圖靈(Alan Turing)如何加以破解,一直到現代密碼學當中的公鑰加密、RSA數位簽章等等最新的進展。 這些進展看似零碎,但其背後所蘊含的密碼設計者與破解者的思路演進,以及所蘊含的數學原理,就讓作者娓娓道來吧! 密碼與我們的日常生活密切相關,資安的基本素養,也必須從了解密碼學開始。當然了,加密和解謎永遠是最原始、最刺激的遊戲! & 本書特色: 1.深入淺出、循序漸進,一般中學的數學程度就能理解的密碼學。非常燒腦,但也有滿滿的收穫! 2.密碼學的一小步,資訊安全的一大步。密碼,幾乎遍及通訊領域的每一個角落,密碼安全也關係到現代生活的各個層面——數據速朽,唯安全永恆。 3.如果你充滿好奇心、喜歡解謎解鎖,歡迎來到密碼學的世界。如果你是資安領域的學習者,可以快速找到未來行業的發展方向,少走點冤枉路。如果你關心個人隱私,也可以了解守護每個人安全的密碼之奧祕。 &
駭客就在你旁邊:內網安全攻防滲透你死我活(第二版)
☛ 比起外網的防範,來自內網的攻擊又狠又毒 ☛ 用Kali Linux攻擊內網中的PC、Windows主機、Linux主機,甚至是手機! ☛ 在資料寸土寸金的大數據年代,你怎能不防! 本書由淺入深從內網安全的認知理解、攻防對抗、追蹤溯源、防禦檢測等方面建立系統性的認知。 從內網滲透測試基礎開始,一直到內網資訊收集,主要介紹域分析工具BloodHound的使用,接下來的重點就是隱藏通信隧道技術。還有許可權提升分析及防禦,利用Windows作業系統錯誤配置提權、並提出相應的安全防範措施。 基礎打好之後,就是域內橫向移動分析及防禦,利用PsExec、WMI、smbexec進行橫向移動。再進階一點,就是網域控制站安全,介紹使用Kerberos域用戶提權和匯出ntds.dit中散列值的方法。 接下來是本書精華,跨域攻擊分析及防禦,多個域的跨域攻擊,許可權維持分析及防禦,有常見的針對作業系統後門、Web後門及域後門。 最後介紹好用工具Cobalt Strike,以及其模組功能和常用命令,並給出應用實例,同時簡單介紹Aggeressor腳本的編寫。 全書共9章,內容如下 ■ 第 1 章 內網滲透測試基礎 系統地說明內網工作群組、網域、主動目錄、網域內許可權解讀等,並介紹內網域環境和滲透測試環境(Windows/Linux)的架設方法和常用的滲透測試工具。 ■ 第2 章 內網資訊收集 介紹目前主機資訊收集、網域記憶體活主機探測、網域內通訊埠掃描、網域內使用者和管理員許可權的取得、如何取得網域內網段劃分資訊和拓撲架構分析等,並介紹網域分析工具BloodHound 的使用。 ■ 第3 章 隱藏通訊隧道技術 介紹IPv6 隧道、ICMP 隧道、HTTPS 隧道、SSH 隧道、DNS 隧道等加密隧道的使用方法,並對常見的SOCKS 代理工具及內網上傳/ 下載方法進行解說。 ■ 第4 章 許可權提升分析及防禦 主要分析了系統核心溢位漏洞提權、利用Windows 作業系統錯誤設定提權、利用群組原則偏好提權、繞過UAC 提權、權杖竊取及無憑證條件下的許可權取得,並提出對應的安全防範措施。 ■ 第5 章 網域內水平移動分析及防禦 系統地介紹網域內水平移動的主要方法,複現並剖析內網域方面最重要、最經典的漏洞,同時列出對應的防範方法。 ■ 第6 章 網域控制站安全 在實際網路環境中,攻擊者滲透內網的終極目標是取得網域控制站的許可權,進一步控制整個網域。本章介紹使用Kerberos 網域使用者提權和匯出ntds.dit 中雜湊值的方法,並針對網域控制站攻擊提出有效的安全建議。 ■ 第7 章 跨網域攻擊分析及防禦 本章對利用網域信任關係實現跨網域攻擊的典型方法進行了分析,並對如何部署安全的內網生產環境列出了建議。 ■ 第8 章 許可權維持分析及防禦 分析常見的針對作業系統後門、Web 後門及網域後門(白銀票據、黃金票據等)的攻擊方法,並列出了對應的檢測和防範方法。 ■ 第9 章 Cobalt Strike 詳細介紹Cobalt Strike 的模組功能和常用指令,並列出應用實例,同時簡單介紹Aggeressor 指令稿的撰寫。 本書各章相互獨立,讀者可以逐章閱讀,也可以隨選閱讀。無論是系統地研究內網安全防護,還是在滲透測試中碰到困難,都可以立即翻看本書來解決燃眉之急。 &
OAuth 2.0 從入門到實戰:利用驗證和授權守護 API 的安全
♛ 台灣第一本 OAuth 2.0 專書 ♛ 帶你一次了解 OAuth 2.0 與 OpenID Connect 的完整流程! Web 平台已是現今網路生態不可或缺的一部分。當建立新的應用程式時,可能會想要取得使用者在其他平台上的資訊,但這個過程充滿了許多資安風險。身為程式與架構的開發團隊,該如何使用正確的技術,來保護應用程式和使用者呢? 本書將會介紹目前最穩定的兩個協定:OAuth 2.0 與 OpenID Connect 的完整流程以及實作。此外,本書在一開始也會介紹身分驗證與授權的基本元素,讓讀者能夠輕鬆理解協定設計的基本原理,而不再是一知半解。 漸進式學習主題 ● 了解身分驗證概論以及 Web 基礎 基礎是非常重要的,在 OAuth 2.0 上更是如此。從身分驗證概論、HTTP 協定的特性、演算法的基礎,接著延伸到身分驗證的實作,這些都是後續理解協定須具備的前置技能。 ● OAuth 2.0 與擴充協定的介紹 本書將整理官方協定,並按適合初學者學習的順序來安排章節。其中包括 OAuth 2.0 的四種基本授權流程、原生應用程式與瀏覽器應用程式的授權流程,以及 OpenID Connect 的三種身分驗證流程,已涵蓋大多數的身分驗證與授權情境。讀者可依實務遇到的情境來選擇適合的流程參考。 ● OAuth 2.0 實戰練習 了解協定後,接著以實作來證明協定的可行性。應用程式的部分,OAuth 2.0 會以 Facebook 為例,OpenID Connect 會以 LINE Login 為例來說明實作的過程;授權伺服器端則是以開源的服務 Hydra 為例,來介紹實際身分驗證與授權中心會需要處理的任務為何。 本書特色 ☑ 參考公開標準和協定撰寫成章 ☑ 循序介紹 OAuth 2.0 基本原理 ☑ 豐富前導知識及相關補充主題 ☑ 身分驗證系統實作經驗分享 目標讀者 ・網頁前端工程師 ・網頁後端工程師 &
生活資安五四三!從生活周遭看風險與資訊安全(iT邦幫忙鐵人賽系列書)
這是一本大多數人都可閱讀的資安書籍 & 「認識資安,建立資安風險意識,就跟認識行車用路安全一樣,人人都有瞭解的必要。不論是現實生活或是虛擬網路世界的背後,認識資安帶來的風險與背後的關鍵,可以讓你生活少掉許多麻煩!是現代人需具備的必要本領。」 & 本書內容改編自第11屆iT邦幫忙鐵人賽,Security組優選系列文章──《生活資安五四三!從生活周遭看風險與資訊安全》──是第一本從生活面向來談資安的書籍,目的就是希望讓一般人都能了解資安的那些事。 & 這次推出【第二版】,不僅將原書中所提資安議題作最新資訊的補充,同時還有全新章節,希望透過更加多元的資安新聞面向,讓你對資安議題不是只有認識,還能進一步思考。 & 降低「門檻」:為何一般人容易對資安感到熟悉又陌生?那是因為普遍資安書籍都是給專業從業人員閱讀,但資安其實跟大家的日常生活息息相關,大家也都常在新聞報導看到這些資訊。 & 角度「多元」:從現實生活場景的ATM操作、實體店家信用卡支付,到手機、電腦使用與上網,以及新聞事件,從多個角度讓大家認識到各方面的資安與風險。同時從電影、影集、小說、網紅與Podcast等途徑切入,讓大家都可以藉由自己熟悉的興趣或管道來接觸資安。 & 「一次」掌握:資安領域面向相當廣,但這些給一般人的資安資訊往往散落在各處,本書從多個面向與角度切入,並結合許多你可能沒有特別注意的資安新聞,讓你一次就能得到不同收穫。 & 對資安風險先要有「認識」:去ATM領錢,知道要保護提款卡與密碼,你就已經有資安意識,那麼你知道什麼是弱密碼嗎?為何不要在多個雲端帳戶使用相同的帳密?你真的有妥善的備份觀念嗎?手機的安全更新也有年限你知道嗎? & 認識資安風險目的是為了「自保」:當企業也都在扭轉資安思維,並且開始重視資安,但你要知道,整個環境並不會一下就改變,因此資安就成為現代個人必須掌握的技能。 &
數位神探系列-資安密碼-隱形帝國:數位鑑識學院尋探之旅
【目標讀者】 & 本書為「數位神探」系列叢書,推薦給想深入了解目前最新資安&鑑識研究領域,提昇數位偵探技巧的有志之士,或是對目前物聯網、無人機、區塊鏈等新興資訊科技應用的使用者,從資安的角度,認識可能遭遇的風險及可採取的防護措施。 & 好書推薦 & 本書以故事、圖例讓讀者彷彿也身入其境,成為一名資安鑑識學院的學生,由淺入深帶領讀者進入資訊安全、數位鑑識的世界,讓毫無相關資訊背景的人,也能跟著主角的腳步,慢慢從資安鑑識學院成長為一名數位神探。對於生活在資訊化時代的你,已身處大數據、5G、雲計算、人工智能及行動支付等虛實兼容的生態中,必須先有充分的「資訊安全」保障,才能發揮「資訊運用」的美意,本書將會是我推薦給你,能夠帶著你了解資訊安全的首選書之一。--中央警察大學副校長、教授、博士蘇志強 & 這是一本介紹資訊安全的書,而資訊安全是現今科技領域中非常重要的一環,但在書中你卻可感受到佛倫鉅鎖-現代魔法學校的魔法魅力與學習互動,福爾摩斯抽絲剝繭,巨細靡遺的分析推測,終極警探打擊智慧犯罪的鬥智鬥力,及駭客任務中的未來與科技。--國立中央大學資訊工程系、教授、博士 許富皓 & 在這資訊應用快速發展中,人人都應該具備危機意識。你應該也會常常聽到駭客攻防與網路資訊戰的各式情節。當你接觸到了人工智慧、5G 行動網路、網路犯罪以及詐騙等議題,你會對於如何保護資料安全及個人隱私充滿疑慮。那你還等什麼呢?向你推薦這樣一本充滿美意且內容豐富飽滿的「資安書」,我一定也會在我的書櫃中放上一本。--國立嘉義大學資訊工程系、教授、博士 王智弘 &
Web Hacking現場指南:真實世界抓漏和獵蟲的賞金之旅
學習人們如何破壞網站,以及你如何也能做到。本書是尋找軟體漏洞必備的現場指南(field guide)。無論你是想讓網際網路更安全的資安初學者,還是想要撰寫安全程式碼的資深開發人員,道德駭客Peter Yaworski都會向你展示如何做到這一點。 & 你將學習最常見的漏洞類型,例如XSS(跨網站腳本)、IDOR(不安全的直接物件參考)和SSRF(伺服器端請求偽造)等等。透過研究從Twitter、Facebook、Google、Uber等應用程式中獲得賞金的真實漏洞案例,你將理解駭客如何在轉帳時觸發競爭條件、如何使用URL參數導致使用者對非預期的推文按喜歡等等。 & 每一章將介紹一種漏洞類型,並附有一系列已結案的真實Bug Bounty(錯誤賞金)。本書收集了來自實戰現場的故事,作者將教會你,攻擊者如何誘騙使用者洩露他們的敏感資訊,以及精明的使用者如何令網站顯示出它們的弱點。你甚至可以學到,如何將這充滿挑戰性的新興趣發展成為一項成功的事業。 & ✎學習目標✎ ❁網際網路是如何運作的? ❁Web Hacking的基本觀念 ❁攻擊者是如何入侵網站的? ❁如何識別常見的容易出現漏洞的功能? ❁從哪裡開始「抓漏」和「獵蟲」? ❁如何尋找Bug Bounty計畫並提交有效的漏洞報告? & 本書是一本引人入勝、徹頭徹尾的網路安全性漏洞入門書籍,充滿了來自戰壕的故事與實用的智慧。當你對網站安全性及弱點有了新的理解,你就可以提供協助,讓網路變得更安全──同時你還可以從中獲利。 & 專文推薦 & 『這本書充滿了豐富的、真實世界的安全性漏洞報告,還有實用的案例分析。』──HackerOne共同創辦人 Michiel Prins Jobert Abma &
戰術+技術+程序:ATT&CK框架無差別學習
☆★☆★【ATTCK框架第一本繁體中文書!】★☆★☆ 完整了解ATTCK框架,建立屬於自己的最強之盾! 在這個混亂的數位世界中,會不會常常擔心自己的網站、平台、雲端主機,甚至是公司內網被駭客攻擊?需不需要常常去看資安匯報,看看在Windows、Linux上又有哪些服務的新漏洞又被發現?生活越方便,應用越複雜,產生的漏洞就更多,甚至連GitHub都不再安全!有沒有高手或專家,能把整個攻擊的工具、技術、測試、應用、防護、流程都整合到一個框架中?有的!MITRE ATTCK就是你要的答案。這個整合了所有資安應用的框架,早已成為全球各大公司用來防護檢測系統的必用工具。現在這個只存在於高手大腦中的超棒產品,終於有中文書了。本書是全球第一本繁體中文的ATTCK書籍,將整個框架的整體架構、應用、實作,流程用最清楚的語言完整介紹一遍,並且有真正紅藍隊員必讀的攻防戰略及技術。防範漏洞及駭客不再依賴你攻我防的小戰場,將整個資安戰略拉抬到新的高度,建立永續安全的服務就靠ATTCK。 本書看點 ✪精解ATTCK框架的全貌 ✪容器及K8s時代的ATTCK戰略 ✪各式銀行木馬、蠕蟲的防範實戰 ✪10大最常見攻擊的ATTCK防範技術 ✪WMI、Rootkit、SMB、瀏覽器、資料庫植入的攻防技術 ✪ATTCK Navigator、Caret、TRAM專案實作 ✪威脅情報、檢測分析、模擬攻擊、評估改進的應用實例 ✪ATTCK的威脅狩獵完整攻防介紹 ✪MITRE Sheild三階段的模擬實作 ✪完整ATTCK評測流程
Windows駭客程式設計:勒索病毒(第二冊)原理篇(第二版)
感謝讀者支持,作者修訂精簡第二版嘉惠更多朋友! 要寫出一個勒索病毒,需要多強的程式功力?相信大家的心裡已浮現出技術高強的駭客身影。 然而,當這個模擬勒索程式完成後,撇開永恆之藍等漏洞的使用,我們赫然發現,裡面所使用的程式知識,卻沒有想像中非常地高深,或是遙不可及。 基本的記憶體管理、目錄和檔案處理、較為進階的加密知識、基礎資料結構,行程與執行緒、同步問題、網路通訊,還有Windows圖型介面,其中還包括文字字型、Edit、RichEdit、ComboBox、ListBox、ProgressBar等元件使用,資源的使用,計時器、剪貼簿等運用……幾乎是學習Windows程式所有需要的基本知識,都涵括在內了。 換句話說,只要您將這兩冊勒索病毒程式設計讀完,就可以將大部分Windows程式設計中需要學習的知識全都學習到位。 最特別的是,我們在最後製作了模擬漏洞及針對這個模擬漏洞的蠕蟲,讓大家了解蠕蟲的工作原理,同時也體驗一下蠕蟲快速傳播的可怕威力,對蠕蟲這一支惡意程式有更深入的體驗和了解。 這個勒索程式是個相當完整的專案,非常適合學習,不像一般Windows程式設計,每部份最多只有短短的範例,本書的每個單位的每個範例,最終可以組合成一個大型而完整的勒索程式。希望大家別錯過了這麼完整又龐大又全面的專案學習,只此一本,就可以讓你的功力大增,千萬不要錯過。 &
物聯網時代的15堂資安基礎必修課
了解如何檢測物聯網裝置的安全,認識駭客的入侵手法 本書是IoT安全研究人員的真實經驗分享,您可從中學到如何藉由測試IoT系統、裝置和協定來降低風險。藉由本書的說明,您將可以了解如何檢測物聯網設備是否安全,以及入侵者如何執行執行VLAN跳躍、破解MQTT身分驗證、攻擊UPnP、開發mDNS投毒程式及進行WS-Discovery攻擊等攻擊手法的細節。 本書會深入介紹嵌入式IoT設備和RFID系統的破解手法,同時還能學到: ‧如何撰寫一支可作為NSE模組的DICOM服務掃描器 ‧透過UART和SWD介面攻擊微控制器 ‧對韌體進行逆向工程及分析搭配使用的行動APP ‧使用Proxmark3開發NFC的模糊測試工具 ‧利用干擾無線警報系統、重播IP攝影機影片及控制智慧跑步機,展示如何入侵智慧居家系統 使用容易取得的軟硬體,可以自行實作練習 本書使用容易取得,且價格實惠的軟體工具和硬體裝置,實作練習無負擔,有關本書的程式範例亦可自Github下載取得,適合資安研究員、IT團隊成員,想研究駭客技術者,作為破解IoT生態的參考指南。
網路時代人人要學的資安基礎必修課
本書沒有任何艱澀難懂的術語,以任何人都能理解的方式,介紹所有關於網路安全的基礎知識。 這本入門指南涵蓋了所有基礎的資安知識,包括駭客常見的攻擊手法,以及如何防禦自保的方式。除此之外,你還可以學到關於惡意軟體、網路釣魚與社交工程的相關知識,同時還有真實世界的案例與實作練習可以幫你驗證所學。 透過本書,你可以學到: .如何分析電子郵件以辨識是否為網路釣魚 .SQL注入的網站攻擊手法是如何進行的 .如何使用沙盒環境辨別是否為惡意軟體 .如何運用命令列來評估與改善你的電腦與網路安全 .如何利用加密技術來保護你的文件 .如何進行檔案權限的管理,以防止蠕蟲和病毒的感染 .如何制定一個全面的風險管理計畫 網路安全是這個時代人人必備的基礎知識,熟讀本書,可以讓你了解如何保護自己,不必遭受惡意的侵害與無妄之災。
全球最強雲端平台實作:用AWS完成安全穩定快速的系統
全球最強雲端平台實作:用AWS完成安全穩定快速的系統 雲端運算產業的發展已經進入第二十年,雲端運算身為基礎設施已經開始大規模支援各行各業的發展。本書在參考軟體工程的思想和NIST CSF(National Institute of Standards and Technology Cybersecurity Framework,美國國家標準與技術研究院網路安全框架)的基礎上,將雲端運算安全能力建設對應到NIST CSF中,從雲端運算安全能力建設的角度由淺入深地複習雲端運算安全產業實踐的基本常識、雲端安全能力建構的基礎實驗與雲端運算產業安全的綜合實踐。我們希望本書能夠對雲端運算相關產業的安全能力建設造成參考作用。雲端運算的普及對雲端安全從業者的數量和品質提出了極大的需求,本書的問世是產業之幸。它對雲端安全的基礎知識、基礎實驗、前端實踐、發展趨勢等內容做了綜合、全面的介紹,不僅能幫助所有安全技術領域的人員迅速掌握基本理論,並且能獲得雲端安全實操經驗,縮短從入門到精通的時間,可以說這本書是對CSA CCSK雲端安全知識很好的教材。
Web應用系統安全|現代Web應用程式開發的資安對策
雖然有許多關於網路和IT安全的資源可供參考,但是到目前為止,有關現代Web應用系統安全的細部知識仍普遍不足,而本書具備的攻擊性和防禦性安全觀念,可供軟體工程師輕鬆學習和應用。 本書從三個面向探討Web應用系統的安全性:偵察、攻擊與防禦。讀者可從中學到有效研究和分析現代Web應用系統的方法,包括針對無法直接存取的應用程式;還會學到使用最新的駭客技術入侵Web應用系統,最後,說明如何發展緩解措施,以提高Web應用系統的防護力,有效防禦駭客攻擊。 本書精采內容包括: .探討困擾現代Web應用系統的常見漏洞 .學習駭客攻擊Web應用系統的基本技術 .描繪及記錄無法直接存取的Web應用系統之結構 .開發和部署可繞過常見防禦方法的客製化漏洞利用工具 .開發和部署緩解手段,保護Web應用系統免受駭客攻擊 .將撰寫安全程式碼的最佳作法整合到軟體開發生命週期中 .學會實用技巧,提高Web應用系統的整體安全性
資安這條路:領航新手的 Web Security 指南,以自建漏洞環境學習網站安全(iT邦幫忙鐵人賽系列書)
本書內容改編自第 12 屆 iT 邦幫忙鐵人賽 Security 組佳作網路系列文章 ──《資安這條路 ─ 以自建漏洞環境學習資訊安全》。這是一本專為資安新手寫的教戰指南,以鮮明的圖文、表格讓新手快速掌握資安知識。從基礎的 Linux 指令及知識、網路基礎概論、程式語言 PHP 與資料庫查詢語言 MySQL 基礎,到常見的網站漏洞分析,並以 Docker Compose 建立漏洞環境實戰演練,帶領讀者從理論到實作理解網站資安,一次學會網站安全的原理及應用! ☑ 入門者上手的第1本資安筆記! 本書整理了詳細的資安必備知識,包含網站基礎知識,如通訊封包、網頁架構、後端程式碼、資料庫查詢語言,以及網站常見的安全漏洞,並透過 Docker 與 Docker-Compose 自建漏洞環境,練習網站弱點,以及附上資安學習筆記模板,讓入門者簡單上手、減少學習門檻! ☑ 以 Docker 與 Docker-Compose 練習環境為主,方便快速更好學! Docker可以幫助我們自動化建立應用程式並快速在任何地方執行(如雲端環境或內部機器環境),具有方便與快速的特性,因此本書的練習環境以 Docker 與 Docker-Compose為主。 ☑ 揭露各種攻擊手法,從解析中學會防護做法! 完整介紹常見的身分驗證相關弱點、輸入輸出驗證的相關弱點,讓你了解漏洞成因、攻擊手法與預防方式。 【適合讀者】 ✦新手入門者 ✦對網站安全有興趣的人 ✦想了解網站安全學習路徑圖的人 本書特色 給你入門資訊安全的完整Know How! 以網站安全為基礎,帶你進入資安領域! ★手把手帶你認識資訊安全基礎 ★解析常見的網站安全漏洞弱點 ★自建漏洞環境進行練習與實戰
WebSecurity 網站滲透測試:Burp Suite 完全學習指南 (iT邦幫忙鐵人賽系列書)
動手實作!探索網頁安全與滲透測試, 從強大的安全測試工具Burp Suite入門。 「每一行寫下的Code,都讓我覺得自己札實的向前邁進了一步;每學會了一個新的攻擊手法,都讓我感受到成為駭客的夢不再是遙不可及。」 ──── 摘錄自序言 本書改編自第12屆IT邦幫忙鐵人賽,Security組佳作系列文章《Web滲透測試 - Burp Suite 完整教學》。本書宗旨在於對Web Security的測試工具Burp Suiter進行操作教學以及功能說明。 Burp Suite是許多資安人員耳熟能詳的工具,也無疑是資安圈Web安全測試中最受歡迎的工具。但大家真的了解Burp所能做到的事情嗎?本書將針對Burp的各項功能進行詳盡的介紹及教學,手把手的帶著大家動手熟悉Burp的操作使用,希望能藉由本書能讓大家徹底了解Burp這個Web安全測試工具。 內容亦不會限於純粹的工具操作介紹,遇到相對應的功能背後需要具備的知識時,也會加以說明介紹,畢竟技術的原理與知識才是在執行滲透測試時最重要的核心,工具則可用來協助或加速去完成我們的測試想法與思路,讓大家不會是一個只會操作工具的工具人。筆者本身於業界執行過許多滲透測試專案,也會於本書中分享實務上的小技巧與經驗。 本書特色 ※從入門到精通 熟悉Burp中各項功能,例如Target、Proxy、Intruder、Scanner和Repeater,成為專業的網站滲透測試人員。 ※從觀念到實作 扎實理解網頁安全測試中所需的知識與原理,正確的學習如何使用工具檢測WEB應用程式中的風險。 ※從自動到手動 了解Burp當中各項自動化測試功能的原理與設定,並學會如何善加利用手動方式挖掘與驗證漏洞。 ※從舊版到新版 涵蓋新舊版本Burp Suite的功能差異說明與介紹,提供給具有不同需求的測試人員。
企業資安裁罰案件分析:深度解析27個實際案件,靈活運用資安策略(iT邦幫忙鐵人賽系列書)
台灣第一本,從資本市場的角度, 結合內控、稽核、法遵、風控的角度, 介紹企業資安現況的專書! & ☛以台灣企業實際案例做分析 ☛依金管會三大局處做出明確的分類 ☛篩選出企業資安被裁處的部分做解析 ☛讓企業能有效且快速的掌握金管會對於資安的要求 & 本書內容改編自第12屆iT邦幫忙鐵人賽Security組冠軍系列文章──《資安裁罰案件分析》,也是第一本從資本市場的角度,來探討企業資安的書籍。本書主要藉由金管會證期局、保險局以及銀行局,針對所屬監理企業裁罰的結果,整理出資安相關的部分,並加入法遵、稽核、風險等控管等觀念,深入解析當前企業所需注意的資安重點。也讓企業能藉由實際發生的案案例,了解資本市場資安的現況,並且達到提升資安的目的。 & 本書重點: ♦針對金管會三大局處:證期局、保險局、銀行局所裁罰的案件,做出分門別類,讓讀者能迅速了解當前不同型態產業對於資安的要求。 ♦將資安部分從各裁罰案中篩選而出,並搭配事實及法令依據,讓讀者能夠很快了解資安裁罰的重點。 ♦在案件說明中,加入《提示》,方便讀者了解相關資安及資本市場用語。 ♦每篇裁罰案分析的結尾,皆設有《總結》,讓讀者能在最後掌握每個案件的資安重點以及裁罰結果。 &
極黑駭客專用的OS:Kali Linux2無差別全網滲透
駭客專用的作業系統Kali 沒有攻不破的系統,沒有駭不了的網站 最完整齊全的工具,看你想要多黑! 駭客當然要熟悉Linux,但專門為駭客所設計的Linux,非Kali Linux莫屬了。Kali Linux是一個網路安全攻擊工具集合,它可以透過對裝置的探測來攻破裝置的安全性,而且其功能完備,包含目前所有熱門的駭客工具。你可以在任何經典的網路安全圖書中找到它,甚至可以在大量的電影影集中看到它的身影,電腦「駭客帝國」就有使用到Kali的工具。本書最重要的觀念就是安全滲透,而滲透的核心就是主被動掃描,當掃描到漏洞之後,就是駭客大展身手的時刻了。 除了駭客工具之外,本書也完整說明了網路封包的基本概念,並且搭配ARP缺陷、HTTPS的原理等。最紅的Wireshark也當然不會錯過。本書也針對密碼破解有詳細實作,更有無線網路的滲透方法。如果攻不破,毀了你也是可以,這當然就是DOS的心態,本書當然也針對了資料連結層、網路層、傳輸層及應用層中的協定漏洞,並講解了如何利用這些漏洞來發起拒絕服務攻擊。 ▌本書重點 被動掃描三大工具詳解。Maltego、sn0int和ZoomEye。 程式漏洞的成因與分析。 Metasploit 工具中提供的Meterpreter 模組實例解析。 新型免殺技術和MSFPC 的使用講解。 Metasploit 的圖形化操作介面——Armitage。 Kali Linux 2 中的社會工程學工具套件。 在新型的作業系統中如何利用SEH 實現滲透。 ARP 缺陷部分以及Wireshark 的操作 暴力破解密碼 利用Kismet破解無線網路 ▌適合讀者群 本書的適合讀者群如下: 網路安全滲透測試人員; 運行維護工程師; 網路系統管理員和企業網管; 資訊相關科系的師生; 網路安全裝置設計與安全軟體開發人員; 安全課程教育訓練人員。
CYBERSEC 2021 臺灣資安年鑑
資安絕地大反攻:新一代主動式資安防禦概念來了! & 【本書簡介】 ◎代理經銷:白象文化 掌握近期企業重大資安事故,有助於企業了解即將面對的各種挑戰以及如何因應
嵌入式網路處理器安全系統建置設計寶典
「關鍵語法與物件導向觀念解說」「範例引導教學,功能逐一詳解!」在現今的社會中,資訊的普及和快速傳播跟網路的竄起有著密不可分的關係,因此網路安全工程師便成了各企業不可或缺的人才之一。但知識的無窮無盡和科技的快速進步使得培養網路安全工程師的進行困難,需要在學校打好基礎,才能在進入業界後一展所能。一個優秀的網路安全工程師應具備的背景知識主要有五方面:嵌入式系統(Embedded System)、封包處理(Packet Handling Process)、網路處理器(Network Processor)、網路安全(Network Security)以及團隊合作(Team Work),這些知識和技術自然也不是一朝一夕便能熟悉。本書則在介紹整個網路系統市場的歷史與趨勢,並以Intel IXP 425網路處理器為主,介紹其相關的軟硬體架構與開發介紹,提供一個初步的網路處理器經驗和求職技巧。本書特色:※網路處理器緣由※網路安全產品市場發展狀況※Intel IXP 425 軟硬體架構與開發※網路安全重要工具於IXP425
改變歷史的加密訊息(iT邦幫忙鐵人賽系列書)
把生活和工作的經驗向下扎根,讓資訊安全變得有趣 本書內容改編自第11屆iT邦幫忙鐵人賽資訊安全組佳作《改變歷史的加密訊息》,採用以「報導式」的方式導讀資訊安全事件。以「生活化」、「大眾化」,還有作者擁有的強項「數位典藏」和「歷史敘事」,能讓讀者閱讀後,理解原來資訊安全,能透過生活和工作,讓資訊安全變得有趣,這與技術實戰其實是有異曲同工的作用。 本書特色 ●深入淺出的報導式導讀資訊安全事件。 ●生動有趣的生活式撰寫資訊安全事件。 ●典藏歷史的敘事式分析資訊安全事件。
力抗暗黑:Azure 資安天使的逆襲(iT邦幫忙鐵人賽系列書)
鮮少的Azure資安中文書,透過電玩改編融入資安25+的安全技法,讓你更快入坑不停歇 ◎各技法篇章的暗黑電玩劇情,讓資安不無聊 ◎各篇章技術情境與基礎架構更有概念性了解 ◎各篇章透過簡易實驗示範,讓你一步步走出自己的活路 本書內容改編自第11屆iT邦鐵人賽Security組冠軍系列文章《麻瓜不敗!白魔法藍天煉金術》,安全的相反邊就是不安,在看我們與惡的距離時,閃過人性的黑暗,資安的相反邊儼然連結到駭客、暗網,都恰恰活躍在網路的世界。而自己也把玩Azure幾個年頭,一時興起與暗黑破壞神做了連結而誕生本書,內容列出的安全示範雖然只是Azure安全的一小塊,但萬事起頭難,希望透過網路、身分、平台、主機與資料各個視角,而有一些小小概念基礎,之後無論Azure、AWS、GCP等其他雲端平台安全,都能有清楚的安全基準,進而實踐出屬於公司企業或個人的雲端平台安全道路。 本書重點 ◎初始篇章:網路安全 網路拋開細節定義,其實就是外對內或內對外相互傳遞回應交換的過程,洪流攻擊之廣,不僅僅只是國內,跨國更是常見,故選用DDoS及FrontDoor作為全域性安全角色,而Bastion、NSG、ASG及Firewall都視為生活日常必需品,不要輕忽了最基本的安全性。 ◎初始篇章:身分安全 除了在原萃的角色存取指派的基礎之外,對於雲端平台原有的服務上再塗上一層薄薄的加值服務,讓你的零信任機制可以更為落實,搭配應用程式防護,無論是防範未然或是事後追查,都有更全面的保障。 ◎中間章程:平台安全 一切服務根基發展好壞與否,都與無名英雄居住平台有強烈連結,透過兩大支柱:「合規原則」讓平台面對到多元的企業情境,都能符合最適的健全體質;而另個強勢主力「資訊安全中心」除了自家雲端平台IaaS與PaaS,也照顧到其他雲與企業間的混合,不只有智慧偵測,主動的安全控制更是價值所在。最後搭配監視告警的IT日常,讓作業更完善。 ◎中間章程:主機安全 主機端點防護,自己腦中第一時間閃過防毒,然而現今世界早已無法因應,能越早預先準備、入侵偵測、自動化調查回應等一連串的循環,才可能如此從容面對。而最後的一哩路,人為或天災讓主機保不住了,能否在損失風險最低的情勢下,核心服務仍可提供,已失去的至少不會洩密釀災。 ◎最終對決:資料安全 最終付出一切代價,就是為了擁有商業價值的東西得以保全,無論資料型態為何,都希望從原始碼製作,到新技術容器媒介,再到資料庫與儲存體,都可以讓每項關卡有庇護所保護著,而本身的加密工廠也受到重重保護,讓非法者拒於門外。
駭客廝殺不講武德:CTF強者攻防大戰直擊
世界頂尖駭客高手齊聚一堂,線上線下互相攻防, 從Catch The Flag生死大戰,讓你知道,你自以為幸福快樂又安全的網路,是多麼的不堪一擊! & CTF(Catch The Flag)是電腦史上最著名的安全攻防大戰,由全世界最強的暗黑高手所組成的團隊,互相進行接化發攻防戰。這些厲害到沒有天理、喪盡天良的駭客,可以幾秒鐘就癱瘓成千上萬台防密嚴實的主機,你能想到的安全防護措施,在他們眼中都如同吃飯般容易攻陷,你想了解他們的攻防手段嗎?你想成為他們的一員嗎?本書由獲得多次世界大賽冠軍的Nu1L團隊撰寫,真槍實戰的把駭客每天都在用的技術完整傳授,從Web各種服務,伺服器的基礎、進階、擴充開始,一直到Windows、Linux的漏洞,再加上對各種程式語言的深度了解,如Java, C/C++/C#,CTF的成員就是強的可怕,史上第一本針對這些人的技術,知識,工具大解密,更可以幫助你加強了解網路安全的重要。 & 本書主要針對CTF入門者,融入了CTF比賽的各方面,讓讀者可以進行系統性的學習。本書包含13章內容,技術介紹分為線上賽和線下賽兩部分。線上賽包含10章,涵蓋Web、PWN、Reverse、APK、Misc、Crypto、區塊鏈、程式稽核。線下賽包含2章,分別為AWD和靶場滲透。第13章透過Nu1L戰隊成員的故事和聯合戰隊管理等內容來分享CTF戰隊組建和管理、營運的經驗。 &
突破困境:資安開源工具應用(iT邦幫忙鐵人賽系列書)
完全採用自由與開源軟體實作的資訊安全提升策略 讓你可以直接使用在現有環境的入門指南 & ♚提升服務的可用與容錯能力 ♚確保資料的正確與備份能力 ♚加強裝置的運作與檢測能力 & 本書改編自第11屆iT邦鐵人賽Security組佳作《突破困境:資安開源工具應用》,也是第一本完全採用自由與開源軟體套件組成企業資安應用的本土專書。 & 這是一本由實際經驗所累積而成的應用範例,針對了各種不同資安面向的角度,佐以相對應的自由與開源軟體,來協助企業逐步打造安全提升的基石,更重要的是這些皆為立即可以進行安裝與使用的軟體,只要願意捲起袖子動手實作,隨時可以體會到這些軟體所為我們帶來的改變。 & 在介紹每一套自由與開源軟體之後,同時一併介紹作者所知的對應商業產品,方便讀者在評估商業產品時的資訊蒐集。 & 【實用技巧】 ♞監視裝置與服務運作 自動化監視設備與服務是否正常運作,以歷史數據趨勢判斷問題發生頻率與原因收斂,並且在發生障礙時立即告警,讓管理員可以提早進行應變準備。& & ♞事件記錄收集與分析 將所有裝置的記錄統一收容存放,並針對不同的記錄產製方式提供擷取工具,最終依據內容分析做出相對應圖表與表格,協助管理者快速判斷問題脈絡。 & ♞重要資料遠端備份 讓企業的重要資料文件簡單快速複寫到本地、異地與雲端進行存放,提供加密傳輸與加密儲存,讓資料機密確保無虞,並且能夠在災難來臨時從容還原檔案資料。 & ♞密碼管理與安全驗證 系統管理員握有大量的帳號密碼,在此提供功能齊全且方便的管理軟體,整合雙因素驗證集中使用,並搭配自動填入方案,避免複製貼上帶來的密碼外洩與輸入麻煩的兩大問題。 & ♞網路位址管理與自動更新 可以在面對為數眾多的裝置與人員時,使用IP管理系統正確管理IP清單與更新,是達成資安管理的重要前提之一。 &
零信任網路:在不受信任的網路中建構安全系統
利用防火牆隔離的方式來保護網路,其實不如想像般可靠,在防火牆後面的主機沒有自我防禦能力,一旦位於所謂「信任區域」的主機遭受入侵,資料中心也會隨之遭殃。本書向您推薦零信任模型,它將所有主機都視為直接面對網際網路般不安全,整個網路都有受到威脅和惡意攻擊的可能。 本書將告訴您零信任模型何以能讓我們專注於建構具強大身分驗證、授權和加密的系統,如何為使用者劃分不同存取權限,又同時兼顧良好的使用體驗。同時將帶領您了解零信任網路的架構,以及如何利用現有技術來建構零信任網路。 .利用零信任模型將安全嵌入系統作業之中,而不是將它布置於表層之上 .剖析形成零信任網路的代理員和信任引擎等重要概念 .使用既有技術為網路中的參與者建立彼此的信任 .將邊界安全網路裡的正式作業環境遷移到零信任網路 .探討在用戶端(Google)和伺服器端(PagerDuty)的零信任建構案例
資訊生活安全、行動智慧應用與網駭實務
「資安」,現在正夯,那是因為:科技的趨近完美、完整,沒有「安全」與「保障」的背書加持,總是少了那內心的「放心」,也就是「安全感」。那不就是我們掛在嘴邊的「安全」。資訊科技發達與文明交互作用的熱潮下有了經常掛在嘴邊的「資安即國安」口號,在「資安」加持下也成就了世界潮流與科技的最佳保護傘。這些「資安」歷史、 發展、追逐、互動、攻防與省思盡在我們呈現給您的書中,重點大綱如下: & 安全系統基礎篇關於資訊安全基礎原理,述說著人類祕密的源頭和資訊安全的根本原理與歷史發展,得以從中理解密碼學的奧秘,以便挖掘隱藏在祕密背後的真實面貌。 & 資通與社交平台安全篇談論在現代網際網路底下應具備的合理觀念,透過多種反例使讀者瞭解資訊犯罪的樣貌,進而建立良好與正確的資訊素養。同時廣納熱門安全議題如:雲端運算與巨量資料上的應用、4G至5G行動網路的應用、行動裝置應用與社交網路服務等。 & 網路與多媒體安全篇介紹隱藏在人類網路生活背後的技術與其安全議題,例如:憑證中心處理過程、VPN網路協定、PGP資料加密、網路安全交易SET/SSL等。 & 駭客攻防安全篇收納與駭客相關的安全主題,自經典的電腦病毒至近期時興的搶灘遊戲,類型包含網頁、加解密、鑑識、逆向工程等,從解謎式的玩樂中理解漏洞與弱點,進而加強自身的資安能力。 &
Flag`s創客‧自造者工作坊資安衛士破解駭客戲法
Python、C++ 搭配硬體一起用, 重現 IoT 駭客手法讓你懂! 網際網路的快速發展, 讓資訊安全成為不能輕視的問題, 而物聯網 (IoT) 的出現與全面應用, 無疑又為網路資安增添更多隱憂。 隨著物聯網裝置的進步, 不僅資訊蒐集能力越來越強, 提供的功能也更加完善, 然而享受便利生活的同時, 仍須正視這些貼近我們生活的裝置, 可能成為資安的缺口。因為有一種人可能正伺機而動, 他們就是 … &IoT 駭客&。 IoT 駭客除了擁有一般駭客的高超程式技巧、網路技術, 更是對晶片、傳輸介面、硬體裝置、通訊協議等技術有深入的了解, 不僅能利用網頁弱點、韌體漏洞來攻陷 IoT 設備, 也能反過來利用自製的 IoT 裝置作為攻擊手段, 是新型態的駭客, 也是資安領域中相當大的威脅。 正所謂知己知彼, 百戰百勝, 本套件以 &白帽 IoT 駭客& 的角色來破解駭客手法。使用雙程式開發環境:Python、C++, 搭配雙主控板重現 IoT 駭客常見手法, 透過實作了解背後原理, 並找出防範手段。 注意:本產品實驗教學請務必實作於自己私有環境與設備, 違者將觸犯刑罰法律刑責甚重, 切勿以身試法。 本產品除實驗手冊外, 實驗過程中有任何問題或是建議都可以在 Facebook 粉絲專頁《旗標創客‧自造者工作坊》中留言, 即有專人為您服務。 本產品 Windows / Mac / Linux 皆適用 (部分實驗實測僅為 Windows 適用) 本書特色 ◎ 內附完整硬體設備一次到位 ◎ 範例程式搭配硬體, 重現 IoT 駭客常見手法 ◎ 駭客基本手法:暴力破解法-試試密碼強度 ◎ 硬體實作與防範:Bad USB-偽裝鍵盤輸入惡意指令 ◎ 鍵盤無線盜錄器-我輸入什麼你都知道 ◎ Wi-Fi 駭客起手式:Wi-Fi 癱瘓器 ◎ 公共釣魚熱點-眼見不為憑 ◎ 列舉相關法律條文, 實作不觸法 ◎ 雙程式開發環境, Python、C++ 搭配使用 & 組裝產品料件: Pro micro 相容控制板 × 1個 D1 mini 相容控制板 × 1個 USB Host Shield 模組 × 1個 MicroUSB 傳輸線 × 1條 5mm 紅色 LED × 2個 麵包板 × 1個 杜邦線 × 1排
資訊系統安全技術管理策略:資訊安全經濟學
隨著 「互聯網 +」 戰略的積極推進,資訊化大潮汹湧而至,無論是互聯網企業還是傳統企業都越來越依賴網路方式獲得資訊和交流資訊,資訊系統對企業的日常運行和管理、提高生產營運效率等都起著至關重要的作用。然而,企業在享受資訊技術帶來的便利和效益同時,其網路環境和技術的複雜性也使得保護資訊資產和資訊系統面臨前所未有的挑戰。 目前,各類接入互聯網的資訊系統受到的安全威脅越來越大,駭客攻擊水準越來越高,資訊安全問題日益突出, 給各行業組織帶來聲譽和財務上巨大的損失。 例如,2017年5月永恆之藍勒索病毒波及150個國家的大學、政府機構、國有企業等,造成的損失超80億美元。根據世界經濟論壇發布的《2017年全球風險報告》,大規模網路安全破壞位居當今世界面臨的五大最嚴重風險之列。 安全技術雖然可以在一定程度上保障資訊系統,但其技術本身也存在著潛在的漏洞和風險。駭客不僅利用技術弱點攻擊單個電腦系統,還利用網路連接的特性攻擊和它相連的電腦。一些實證和理論研究表明,越來越多的駭客入侵是有目的的,但他們做出攻擊的決策也取決於系統的安全性。 面對嚴峻的資訊系統安全形勢,組合運用防火牆、入侵檢測(IDS)、防病毒、安全日誌、人工調查、加密、數據備份等多種安全技術提升資訊系統安全水準, 已經成為資訊系統應用中的關鍵問題之一。 此外,企業的資訊安全預算已經成為其資本結構的重要組成部分,如何在有限的資金條件下達到最優的資訊系統安全技術管理水準也是企業和學術界關注的焦點問題。
駭客自首:極惡網路攻擊的內幕技巧
本書結構 本書共12 章,可以分為三大部分。 ■基礎篇(第1 章):主要介紹一些軟體漏洞相關的基本概念,以及常用工具及漏洞分析方法,最後向讀者推薦一些相關的學習網站和書籍,方便讀者做進一步地學習和交流。 ■實戰篇(第2~11 章):是本書最主要的部分,根據不同的漏洞類型挑選不同的經典案例,用不同的漏洞分析技巧,介紹比較高效的分析方法,剖析各種常見的軟體漏洞類型、原理、利用和修復的實戰技術。同時,緊接目前熱門的行動網際網路安全問題,增加了Android 平台的漏洞分析,以保持內容與時俱進。 ■展望篇(第12 章):對未來的軟體漏洞發展趨勢做出預判,相信未來的主要戰場會更集中在行動終端、雲端運算平台、物聯網三大方向上,並對現有的這些方向的漏洞案例進行簡介。 適合讀者群:電腦相關科系學生,資訊安全愛好者,軟體安全及行動安全相關的從業人員,軟體發展與測試人員、駭客等。&&&&&&&&&&&&&&&&&&&&&&&&&&&&& & 本書特色 ►以各種類型的經典漏洞實戰講解 ►分析各種系統及軟體漏洞的成因及攻擊方法 好評推薦 過去幾年,我們見證了行動互聯網的興起、軟體漏洞戰場從PC端向行動端的遷移。本書從這個視角出發,結合實例、深入淺出、涵蓋全面,是學習軟體漏洞的絕佳之選。作者在騰訊安全應急回應中心是負責軟體漏洞的處理和研究,有著豐富的實戰經驗。強烈推薦!--騰訊安全平台部總監& lake2 安全性漏洞的挖掘與分析是隱秘且難度較高的一門技術,系統性的學習資料更是少。本書以近年來報告出的經典漏洞為藍本,分析並講解常見的各種系統及軟體漏洞的成因及攻擊方法,透過對這些精彩漏洞實例的全面講解,相信讀者對軟體漏洞技術會有更加全面的認識,被漏洞挖掘者的聰明與智慧折服。--軟體安全專家& 豐生強 一本關於二進位漏洞分析最全面的力作,本書結合新的經典漏洞與新型分析方法,深度剖析不同類型的安全性漏洞,相信能夠幫助那些希望從事安全行業的人員,為其提供更好的幫助。--阿里安全威脅情報中心安全專家& instruder 隨著互聯網的蓬勃發展,安全性漏洞也逐年爆發。如何快速分析漏洞成因是安全研究人員必備技能。本書涵蓋各種各樣的漏洞類型,覆蓋PC端和行動端,極具實戰性和全面性,兼具實用性和時效性,是安全研究人員提高漏洞分析能力的利器。--阿里巴巴行動安全專家& dragonltx
Bash資安管理手冊
如果你希望戰勝不懷好意的駭客,速度與效率是網路安全管理的關鍵。在緊急狀況中,能夠熟練地運用命令列介面是一項可貴的技能,因為沒有其他工具的可用性、靈活度與使用彈性堪與命令列介面相比。本書將告訴你如何在命令列使用bash shell完成資料收集與分析、入侵偵測、逆向工程與管理等工作。 本書將傳授你利用指令列工具收集資料、分析日誌與監控網路的技術與知識。滲透測試人員則可從本書中了解如何利用Linux系統的內建功能來實現攻擊性操作。 資安人員、網管與學生可從本書中學到: .基礎:防禦與進攻的原則、指令列與bash的基礎知識與正規表示式。 .防禦性安全操作:資料收集與分析、即時日誌監控與惡意軟體分析 .滲透測試:腳本混淆、遠端操作 .安全管理:使用者、群組與權限;裝置與軟體庫存
e 科技的資安分析與關鍵證據:數位鑑識
本書主要的目標是希望讀者可以在電腦與網路的快速發展和普及應用下,了解依賴傳統證據為主的鑑識方法,已經不足以對抗科技導向的資訊犯罪案件,現今人們交流的資料大都已電子化,稍有不慎都將導致資訊犯罪案件不斷出現。因應新型態的高科技犯罪,本書大綱如下: 1.證據取得 首先說明如何利用數位科技與嚴謹的檢查程序,從電腦/網路系統或其他硬體儲存媒體設備中,找尋與犯罪行為連結的實體或邏輯證據。且對於證據力的儲存與管理該注意哪些事項,以便確保從證據的蒐集、分析到最後呈現於法庭上完整的數位證據管理鏈。 2.鑑識工作 著眼於在不同作業系統平台(Windows/Unix/Linux)上該如何進行所需要的鑑識工作,包含數位鑑識軟體簡介、基礎操作方式等。期能因應在重要系統的資安入侵事件發生後,能在第一時間記錄入侵點,以保留最後的數位證據。 3.手機鑑識 介紹手機目前的發展狀況、操作手機鑑識時應注意的流程及要點、手機資料的萃取方式及分析手機的鑑識軟體,以提升在面對手機等可攜式裝置的鑑識能力。 4.科技資安應用 介紹網路的數位證據如何辨別及蒐集,並針對熱門的網路社群應用該如何進行鑑識工作做說明。並討論雲端運算、雲端列印等重要的網路相關服務,更加地熟知科技資安的重要性。
Wireshark:網路封包搜捕分析的超端利器
Wireshark主要效能-檢測網路問題/監測資訊安全/網路通訊協定除錯■ 內容全面、系統、深入本書介紹了Wireshark的基礎知識、捕捉篩檢程式和顯示篩檢程式的使用、對資料封包進行匯出或重組等。然後,介紹了使用Wireshark對各種協定的詳細分析。最後,還詳細分析了作業系統啟動過程的資料封包。■ 接近實際,專業說明本書按照Wireshark 專業使用流程,對其功能進行詳細說明,幫助讀者掌握最高效的資料封包截取、分析技術,以解決各種複雜的網路問題。同時,針對圍繞巨量資料封包處理問題,本書詳細介紹相關技術,如抓取篩檢程式、顯示篩檢程式、運算規則等功能。■ 直觀說明網路通訊協定對於網路資料封包有關的網路通訊協定,本書給以最直觀的說明。首先分析協定的工作原理以及相關資料封包的組成,然後對照Wireshark資料封包視圖進行逐筆比對,幫助讀者以最直觀的形式學習和掌握各個網路通訊協定。適用:Wireshark初學者、 想全面學習Wireshark者、網路系統管理員、專業的安全滲透測試人員、大專院校的學生本書特色:◆ 支援各種常見格式,更可在多種作業系統上執行◆ 開放原始碼支援網路通訊協定更新迅速◆ 支援許多網路通訊協定解密◆ 提供強大的資料抓取功能和豐富的資料分析方式
職業駭客的告白: 軟體反組譯、木馬病毒與入侵翻牆竊密(暢銷回饋版)
知己知彼,百戰不殆《孫子.謀攻篇》 & 職業駭客的告白 秋聲: 「拿起這本書的各位請注意,我們都是駭客。」 改編自真人真事 職業駭客首度現身揭密 驚悚程度更勝小說電影 揭露駭客業界不為人知的祕辛 「我現在才知道,原來駭客是用這麼簡單的方式打敗我們。」 -台灣資深資訊安全技術顧問 「唯有駭客才懂駭客。」 -2015台灣HITCON駭客年會 「其實電腦並沒有漏洞,漏洞在於人的身上。」 -駭客名言 一次搞懂「技客(Geeker)」、「駭客(Hacker)」、「怪客(Cracker)」。 所謂的駭客就是精於技術的人,真正的駭客是不入侵別人電腦,不是討厭的破壞者。 駭客技術並不是本科系的專利,像我這種非本科系同時也不是什麼特別聰明的人(有智力測驗結果以資證明),也是一樣按部就班地來慢慢學習。也就是說,成功靠努力,而不是靠運氣。再說,現在這個時代裡頭幾乎每人家裡都有一台電腦,因此要跑程式對各位讀者來說根本就不是什麼大問題,重點是只要按照方法辛勤地努力成功就會是你的了。 只要記住一件事情,在資安或駭客技術裡頭,學歷也好經歷與經驗也罷,那幾乎全都沒什麼用處,只有能力這玩意兒在駭客技術當中才是百分之百的真正王道。 & &
資安專家談Wireshark|Wireshark與Metasploit整合應用
Wireshark是一套應用廣泛(包括資安領域)的網路分析工具,它可以幫助您鉅細靡遺的檢視網路,豐富的功能與支援讓Wireshark成為無價的資安工具,但也因此讓新手卻步。本書可以幫助您快速上手,學會如何利用Wireshark和相關工具 (如TShark)、認識Metasploit這個著名的滲透測試框架,以及利用Lua讓Wireshark發揮更大的威力。 本書涵蓋攻擊與防禦技術與工具的探討,可以幫助您: .了解Wireshare及相關工具的基礎操作 .學習如何使用Lua腳本來擴充Wireshark的功能 .利用Wireshark進行攻擊與防禦技術的研究 .透過Kali Linux進行滲透測試的實戰演練 .利用Docker建置一個模擬真實商業網路的虛擬環境 .利用MitM技術抓取封包的技巧 .修改原始碼來強化您的工具集
打造安全無虞的網站-使用ModSecurity
相信大多數的程式設計師都曾有過類似的經驗,在專案時程的壓力下,通常程式在撰寫完成後,經過簡單的功能測試後即會將程式上線,大多沒有辦法充份的測試功能面以外的狀況,更別說是針對安全的測試。在此情況下,經常會造成上線的網頁程式存在潛在的資安問題,最常見的即是因為程式未能適當的過濾輸入參數而造成的資料庫隱碼攻擊(Sql injection)的漏洞,造成線上資料庫損毀或資料庫內的資料外洩。 LAMP相信是開源碼社群中網站解決方案的首選,挾其優異的效能及穩定性,早已為各界所肯定,也是目前應用最廣的網站解決方法,但此方案並未提供安全上的防護。因此在本書中,將為讀者介紹如何使用開源碼社群中,最富盛名的網頁防火牆軟體,名稱為ModSecurity來為Apache網站伺服器加上網頁防火牆的功能,來增強網站伺服器的安全防護能力。 本書特色 ★按圖施工,保證成功 ★零預算的資安解決方法 ★為網站伺服器加上金鐘罩 ★大量案例實作,全面解析
資安風險評估指南第三版
從駭客的角度思考,找出系統潛藏的漏洞 如何判斷網路是否安全?最好的方法,就是使用與駭客相同的手法發動攻擊,找出並嘗試利用弱點。 資安專家克里斯.麥克納布將在本書中示範常見的漏洞利用技巧,讀者可以用本書的技巧測試自身所在的環境是否存有這樣的漏洞。 系統越來越複雜,可攻擊的漏洞也隨之增加,本書提供降低網路風險的處理程序,每一章都會列出攻擊者使用的技術摘要清單,以及可以即刻派上用場的防範對策。 從本書可學到如何有效地測試下列系統組件: .常見的服務,如SSH、FTP、Kerberos、SNMP和LDAP。 .微軟的系統服務,包括NetBIOS、SMB、RPC和RDP。 .SMTP、POP3和IMAP等電子郵件服務。 .提供網路安全存取的IPSec和PPTP服務。 .提供安全傳輸的TLS協定及其功能。 .微軟IIS、Apache和Nginx等網頁伺服器軟體。 .Rails、Django、微軟ASP.NET和PHP等應用程式框架。 .資料庫伺服器、儲存協定及鍵值對儲存等資料儲存技術。
資訊安全保衛戰
在雲端運算理念下提出一個組織的整體安全框架,從組織的策略、業務出發,結合安全標準和業界最佳實作,形成系統的資訊安全建設方法路徑,打贏資訊安全保衛戰。 隨著新一代資訊技術的快速發展帶來好處的同時,我們也面對前所未有的資訊安全威脅。如何在有效利用資訊技術的同時,積極應對和及時識別、規避風險,打好資訊安全保衛戰,是我們大家必須面對的,也是本書寫作的目的。 本書主要讀者群涵蓋企業的CEO和企業管理人員,企業的CIO和從事資訊化、資訊安全建置的IT人;其次是諮詢公司的業務和IT諮詢人員以及企業資訊安全專案實施人員;對於大專院校的師生們進一步有系統地認識企業資訊安全建置、企業IT的實際情況,企業和社會資訊安全建置想法是一本絕佳的參考書;最後,對於從事企業資訊安全的服務提供者也是一個很好的值得借鏡的參考書,因為只有深刻了解企業的需求、資訊安全建置的系統思維,才能實施好企業資訊安全專案。
誰說手機防毒要用買的?自己寫Android全防位防護服務
透過對一款手機安全衛士開發案例的詳細解析,講解一個完整的Android實際專案的開發過程。該項目涵蓋了市場上主流手機衛士的主要功能,同時,也是對Android應用程式開發知識的綜合應用,涵蓋手機防盜、通訊衛士、軟體管理、處理程序管理、流量統計、手機防毒、系統最佳化、進階工具、設定中心等。 除透過對案例的解析,並將程式碼中關鍵部分逐一講解,幫助Android應用開發人員快速掌握相關概念和知識,在實際開發中能快速而輕鬆地積累實戰專案經驗
電腦史記之駭客列傳:從Kevin Mitnick到@GeoHOT
連上網路,差上電源,世界將在你眼前嶄露最徹底的坦誠, 它將告訴你一切所想要知道的祕密。 洞悉世界超級駭客的思維模式與行為 見識現代神偷離經叛道的洞見與實踐的智慧 最讓我們束手無策的也許是那些躲藏在網路背後、無所不在、無孔不入的網路駭客;即使是最優秀的工程師也不敢說自己的程式沒有可供駭客利用之處。若單純是以電子技術水準來說,只有駭客,才是這方面最優秀的。因為我們在補漏洞,他們在發現漏洞,而且他們永遠比我們快一步。—— 比爾.蓋茲
The Browser Hacker,s Handbook駭客攻防聖經
瀏覽器遠比你想的還脆弱, 保障自身的資訊安全,您準備好了嗎?瀏覽器已成為當今世代的作業系統,而且伴隨著IT產業前所未見的漏洞規模。本書是由瀏覽器駭客專家團隊所撰寫,目的是提供教程方法,以便了解瀏覽器的漏洞,同時學習如何在潛在攻擊的威脅下防禦網路和重要系統。這本全方位指南將揭示駭客鎖定目標瀏覽器的準確方式,並利用其弱點建立一個灘頭堡,以便針對網路發動進一步的攻擊。記得透過本書反擊回去。閱讀本書後,將學會下列技術:★利用Firefox、Internet Explorer、Chrome,以及其他瀏覽器的常見漏洞。★進行安全性評估時,透過瀏覽器作為支點侵入目標網路。★對目標瀏覽器施加持續性的控制,藉以取得敏感性的重要資料。★利用瀏覽器插件和套件的漏洞,這是瀏覽器兩個最脆弱的進入點。★使用跨協定的通訊與利用(IPC/IPE),從上鉤的瀏覽器進一步攻擊內部網路。【連結browserhacker.com,可下載本書各章節的範例】
Android Hacker,s Handbook駭客攻防聖經
“The best defense is a good offense” & 本書結構 & 本書應該按照章節順序進行閱讀,但是對於正在鑽研Android 或者進行Android裝置安全研究的讀者來說,也可以將本書做為一本參考資料。本書一共分為13 章,幾乎涵蓋了安全研究人員第一次接觸Android 所需要瞭解的所有內容。是從一些廣泛的話題開始,以深度的技術細節收尾。這些章節逐步具體化,最終將討論一些安全研究的高階話題,如發掘、分析和攻擊Android 裝置。本書盡可能地引用來自外部的各類詳細說明文件,從而專注於闡述裝置root、逆向工程、漏洞研究以及軟體漏洞利用等技術細節。 & ◆ 第1章 介紹Android行動裝置的生態系統。首先回顧Android系統發展的歷史,然後介紹通用軟體的構成、Android裝置的市場流通情況以及供應鏈當中的各大關鍵角色,最後從較高層面上總結和討論Android生態系統發展遭遇的挑戰,以及安全研究面臨的困難。 & ◆ 第2章 闡述Android系統的基礎知識。首先引入系統安全機制的基礎核心概念,然後深入關鍵安全元件的內部機制。 & ◆ 第3章 介紹獲取Android裝置完全控制權的動機與方法。首先講授適用於眾多裝置的通用技術,而後逐一詳細分析十幾個公開的漏洞利用。 & ◆ 第4章 涉及Android應用相關的安全概念和技術。討論了Android應用開發過程中常見的安全錯誤,並介紹如何使用正確的工具和流程來找到這些問題。 & ◆ 第5章 討論行動裝置可能遭受攻擊的形式,並解釋用來描述這些攻擊的關鍵術語。 & ◆ 第6章 講述如何使用模糊測試技術來發現Android系統中的軟體漏洞。從介紹模糊測試宏觀流程入手,重點描述如何使用這些流程,更佳幫助我們發現Android系統中的安全問題。 & ◆ 第7章 介紹如何分析在Android系統中發現的缺陷和安全漏洞。本章涵蓋了Android系統中不同類型與層次程式碼的偵錯技術,最後以基於WebKit引擎的瀏覽器中一個未修補的安全問題為案例進行深入分析。 & ◆ 第8章 關注如何利用Android裝置中發現的記憶體破壞漏洞,涵蓋了編譯器和作業系統的內部機制原理,例如堆積的實作、ARM體系架構規範等。章節最後詳細分析了幾個公開的漏洞利用。 & ◆ 第9章 介紹高階利用技術ROP(Return Oriented Programming)。進一步講述ARM體系架構,並解釋為何、如何使用ROP技術,最後對一個獨特的漏洞利用進行了更為細緻的分析。 & ◆ 第10章 深入Android作業系統內核的內部工作原理,涵蓋如何從駭客的角度來對內核進行開發和偵錯,本章最後還會教會你如何利用數個已公開的內核漏洞。 & ◆ 第11章 將帶你返回使用者空間,來討論一個特殊且重要的Android智慧手機元件——無線介面層(RIL)。在闡明RIL的架構細節之後,教你如何通過與RIL元件的互動,對Android系統中處理簡訊的模組進行模糊測試。 & ◆ 第12章 關注目前存在於Android系統中的安全保護機制,介紹了這些保護機制是何時被發明並引入Android系統,以及是如何運作的,最後總結繞過這些保護機制的方法。 & ◆ 第13章 深入探索通過硬體層面來攻擊Android和其他嵌入式裝置的方法。首先介紹如何識別、監視和攔截各種匯流排級別的通訊,並展示如何利用這些方法來攻擊那些難以觸及的系統元件。最後列出了如何避免遭受這些常見硬體攻擊的訣竅。
資訊安全與智慧、行動網路安全應用實務
【安全系統基礎篇】第1章~第6章介紹資訊安全基礎概念,說明人類秘密的根源及資訊安全這門學問的基礎與發展,使讀者能具備數字與密碼學習的基礎,藉此得以對秘密背後所隱藏事實真相的瞭解更具備紮實的根基。密文的解析與瞭解不再是如此的陌生與遙不可及的夢,紮實的基礎不但可窺見了別人宣稱的秘密,當然也可創造/鞏固自己的秘密。 & 【資通與社交平台安全篇】第7章~第12章則談到在現代網際網路的世界中所應具備的安全概念與應用,並討論網路犯罪議題,讓讀者能具備良好的資訊素養與正確的觀念。同時也納入近幾年熱門的安全議題,例如:雲端運算與巨量資料上的應用、4G行動網路的應用、行動裝置應用與社交網路服務等,探討各種不同應用上的安全性和該如何防範。 & 【網路與多媒體安全篇】第13章~第17章介紹與大家生活息息相關,實務上網路安全議題,例如:憑證中心處理過程、VPN網路協定、PGP資料加密、網路安全交易SET/SSL、網路駭客等。除了具體點出資安議題的潛藏危機,亦從實務的角度解說建立資安系統的防護方法與解決之道。可從中了解安全電子交易機制、VPN中的安全機制、駭客手法等安全課題,進而提昇系統安全性,強化自我系統的防護。另外,本篇亦介紹了從古至今早存在我們的活動空間,然在近十年有了新形式詮釋的資訊隱藏的議題,這裡所整理的重點得以讓讀者瞭解這另類的秘密通訊方式。
實戰網路安全監控|入侵偵測與因應之道
用積極的方式維護資訊安全網路安全並不光是防堵而已,頑強的攻擊者最終會擊敗傳統防禦。最有效率的電腦安全戰略是整合網路安全性監控(NSM):資料的收集與分析,協助偵測與回應入侵。本書將告訴您如何使用NSM為您的網路添加強固的保護:無需有經驗。為免花費過多與作出缺乏彈性的解決方案,他教您如何利用開放源碼軟體與安全無虞的工具程式佈署、建置與執行NSM操作。您將學到如何:.決定在何處佈署NSM平台與監控網路所使用的數量.佈署獨立或分散式NSM安裝.使用命令列與圖形化封包分析工具程式及NSM console.詮釋來自伺服器端與用戶端入侵的網路證據.整合威脅智能到NSM軟體裡,找出經驗老道的敵手沒有萬無一失的方式可以保證攻擊者絕對無法入侵您的網路。不過當他們進來時,您應該要有所準備。本書將告訴您如何建置安全的網路,進行防禦、牽制與控制入侵,避免機密性資料外洩。
你的手機中毒了!搶救上網變慢、異常耗電、APP閃當、簡訊發不了的隱藏危機
◆2012年,美國FBI警告在旅館使用wifi若跳出軟體更新視窗,該小心是否為惡意人士所為。 ◆2013年,手機病毒全球數量較往年增加163%,新增病毒達80餘萬個。 ◆2014年2月,有民眾檢舉,位於台北捷運忠孝復興站內的某旅遊大型廣告上的QRcode竟會連向色情網站,並下載可疑apk程式。 ◆2014年4月,北市刑大資訊室指出,歹徒運用line進行小額詐騙的受害人數,近3個月有674人,總金額達177萬元。 ◆2014年5月,提供企業滲透測試服務的DECVORE指出,近來服貿核四議題投票簡訊,乃中國某駭客集團針對iOS手機發出。 ◆2014年6月,CM Security安全實驗室在安全月報上指出,全台五月份約有2萬支Andriod手機遭受病毒感染。 以上手機個資安全受到威脅的新聞,多不勝舉,再再顯示出: 你不是在一個安全的環境下使用手機。 本書特色 ◎海豚男有趣四格漫,甩開防毒硬知識,提高警覺舉一反三輕鬆辦到! ◎手機優化安全設定全程圖解,看圖滑滑點點,安全彈指完成! ◎防護效率最高、最省電、最不擾人的防毒軟體實測評鑑! ◎正確無慮的排毒觀念與步驟! 或許有人會認為手機的「資安防護」「病毒預防」或「防止入侵」等,是專家才要懂、才會懂的事, 但實際上,手機是貼身之物, 個資會洩漏當然是惡意駭客所為,但絕大部分都是自己某個不經意的操作才會讓其得逞, 所以最有效的防護方法,只能自己做,專家代替不了你。 本書邀請到人氣部落格插畫家海豚男,畫出18則有趣四格漫畫, 讓您輕鬆瞭解到是做了什麼事才讓手機個資洩露, 再告訴您駭客使用的手法原理,讓你舉一反三,面對各種可疑狀況都能提高警覺。 並且詳述預防方法,講操作就必有圖解,讓你看圖做,簡單幾步就完成安全設定。 當然手機防毒軟體是一定要裝的, 但是你是否知道曾經有過病毒偽裝成防毒軟體App的案例呢? 而且哪個牌子能在最安全的前提下,能有最不擾人、最不耗電的表現? 這些我們都逐一實測,告訴您答案。
網路安全概論與實務--開源碼架構之網路安全防禦解密
零預算的資安解決方案!! 以資訊安全原理為基礎,開放原始碼之資安軟體為輔, 結合理論與實務,涵蓋網站伺服器、資料庫系統等重要資安議題。 隨著網際網路的廣泛應用,再加上電子設備的進步與成本下降,越來越多的使用者依賴電子設備進行相關業務與通訊等行為,並將與自身相關的資訊儲存在各種網路環境中,駭客覬覦這無限的商機,也形成各種惡意程式的橫行。 為避免遭受惡意攻擊、資料竊取等風險,各企業組織架設防禦設備,期望阻擋或偵測攻擊行為。商業資安設備或軟體通常所費不貲,中小企業或是使用者無法負擔高額防禦成本,卻仍希望有防護能力。另一方面,開放原始碼(Open Source)挾其穩定、免費及豐沛資源的優勢,早已在網路服務應用上佔有重要的地位。由於許多開放原始碼的資安軟體已研發與改版多年,其功能性、可使用性與穩定度日趨成熟,甚至與商業版不相上下,因此常是中小企業與組織的首選。本書特色在於以資訊安全原理為基礎,開放原始碼之資安軟體為輔,理論與實務並重,提供給技術人士低成本的資安防禦知識與技術,亦可作為學校資訊安全與網路安全之教材。 書中實作均實際在系統實作測試過,透過STEP BY STEP的引導,希望能讓讀者按圖索驥,達到「按圖施工,保證成功」的目標。本書共分15章,除了第一章為資訊安全理論的介紹外,其餘各章節均搭配實作解說,涵蓋網站伺服器、資料庫系統、郵件系統,以及防毒軟體等。
資訊安全概論與實務(第三版)
*國內資訊安全經典/暢銷第三版 完全針對資訊安全主題所設計,廣泛且精要地探討相關內容,並納入最新作業系統之資訊安全技術。 本書想寫給三種類型的讀者: 第一種是在大專與技職院校修習資訊安全課程的學生,這本書可以當作是教科書或參考書。 第二種是從事資訊安全相關工作的專業人士,這本書非常強調實務,相信能帶來許多幫助。 第三種是要報考資訊安全專業證照的朋友,這本書對準備CISSP、SSCP、CompTIA、Security+或是CEH考試,取得一張理想的國際證照很有助益。 學習架構: 本書分成四篇,細分十六章。 第一篇「認識問題」: 除了簡介資訊安全之外,主要在討論資訊安全所面對的問題,包括資訊犯罪、惡意程式、駭客攻擊,以及最新議題的個人資料保護法與資訊安全等。第四章比較詳細地介紹駭客手法,讓讀者瞭解在實務上攻擊事件是如何發生的。 第二篇「安全架構」: 廣泛地討論資訊安全的背景理論,包括存取控制、安全模型、密碼學與網路模型等。每一個課題的背後都有深奧的理論,但本書的目標是以最精簡的內容讓學習者對各項課題建立觀念。 第三篇「縱深防禦」: 進一步說明在實務上要如何架構有深度的防禦體系,除了分章討論防火牆、入侵偵測系統,以及防毒軟體等防禦工具,我們在第十二章更逐項檢視資訊環境,確保沒有脆弱的環節。 第四篇「全面管理」: 跳脫技術層面,從管理的角度探討如何建立一個安全的組織。這一篇的核心是資訊安全管理系統(ISMS),也涵蓋了實體安全、營運安全、風險管理、資訊服務管理、緊急應變計畫,以及雲端資訊安全。
電腦、網路與行動服務安全實務
網路時代的優勢在於知識的無界限傳遞,創造無限的想像空間與人類生活的全新商機,藉此亦改變人類原有的生活文明發展。而智慧型手機的應用越發成長,滿足使用者更多元的需求。不論網路安全亦或資訊安全的稱呼皆表示數位科技在安全的絕對必然性。因為唯有安全才能保障資料於網路傳遞的正確性,資料於數位電腦儲存的完整性,並可抵禦所有可能人為∕自然的破壞。想當然爾,能夠達成安全的基礎即是密碼的理論基礎與悠久的內涵發展。在這樣的需求下,此本書的來由亦因應而生。藉由安全機制的認識,才能實現PKI網路世界的人/事/物的信賴,也能享受科技帶來的高度文明成果。本書分四大部分,「資訊安全基礎」介紹建構資訊安全與應用所需的基礎知識與概念及資訊犯罪所面對的法律規範與議題;「資訊安全應用」探討各項資訊安全設定的應用,如雲端、通訊以及社交網路…等廣為大眾所使用的科技應用與加強安全性;「資訊安全實務」討論目前網路安全應用與解決之道並佐以實務上的應用,如:PGP資料加密、網路安全交易SET/SSL、電腦病毒、電腦系統安全防護、Snort與Nessus網路安全工具等。「資訊安全進階學習」則為將較艱深、繁雜的數學公式與相關應用程式,並收錄於CD中提供讀者學習。
