【電子書】Windows APT Warfare:惡意程式前線戰術指南(第三版)
全台第一本反守為攻的資安教戰守則!應讀者熱烈反應,第三版火熱上市!新增章節教你探索系統核心!囊括了近年第一線各國之國家級網軍曾使用過的奇技淫巧,從扎實的基礎逐步剖析攻擊原理與復現惡意利用。★內容由淺入深,務使讀者打下最穩固的基礎,讓所學更能應用在實戰上★編譯器原理、作業系統與逆向工程實務,一次網羅學習逆向工程的三大主題★全台第一本,從攻擊方角度剖析網軍在野行動所使用過的軍火細節,化被動為主動更能見招拆招!★軟體工程師、資安研究員、逆向工程愛好者、滲透測試人員、資安防護產品工程師、對駭客技巧有興趣者的必備好書本書是作者以自身逆向工程十年的經驗累積而成,其中結合了編譯器原理、作業系統與逆向工程實務三者混著介紹的書;坊間已經有了許多獨立介紹單一主題且非常深度的書,然而逆向工程實際上需要有這三個不同領域都非常扎實的基礎與脈絡才能融會貫通,作者因而催生了撰寫一本專為逆向工程有興趣的入門者撰寫書籍的想法。此書內容由淺入深,從基礎的C語言原始碼開始談及編譯器如何將它編譯,並且遵照可執行檔案格式(PE)封裝為靜態*.EXE檔案,接下來是作業系統如何解析*.EXE檔案並裝載為Process使其能真正的執行起來的完整流程。其中,除了介紹扎實的作業系統實現基礎外,並帶以各國網軍(如 CIA、海蓮花、APT41)曾玩轉這些基礎的惡意利用手段,使讀者能一窺網軍如何操作這些奇技淫巧來打擊防毒軟體。這本書的內容能讓無論是網軍、逆向工程愛好者甚至威脅研究員都能以紅隊視角打下對PE格式扎實的基礎!在第三版中,我們又加入了一個全新的章節名為「武器化的系統核心探險」。這個章節將圍繞在微軟現代系統核心的主要幾大防護支柱玩轉與介紹,內容整理並部分節錄自筆者於 HITCON 2023 年議程《現代內核漏洞戰爭 - 越過所有核心防線的系統/晶片虛實混合戰法》、與加拿大研討會 SECTOR 2023議程《Advancing BYOVD to A New Era - Lateral Movement on Microsoft Layer Kernel Virtualized Mitigation》探索了不僅止於核心利用與微軟虛擬化防護 VBS(Virtualization-based Security)透過 ROP 手段如何繞過並奪下系統核心執行權限的細節。本書線上資源下載https://github.com/aaaddress1/Windows-APT-Warfare
【電子書】究極Web資安心智圖學習法!嚴選12大主題 ×7張心智圖 ×7個實戰,核心技能無痛升級(iThome鐵人賽系列書)
【本書特色】 ★ 從開發者的視角了解常見的 Web 攻擊以及相應的防禦方式。 ☆ 以心智圖形式引導,逐步「了解攻擊,學習防禦」,並一起思考、融會貫通。 ★ 使用不同關鍵詞為核心主題,分享相關名詞與概念、認識流程與必備知識。 ☆ 設計給初學者的專案教學,搭配清楚的圖文步驟,協助快速上手實踐安全開發。 結合心智圖、實戰範例與思考提問打造一套真正內化的資安學習體驗【重點摘要】❏ 圖像資安學習:用心智圖統整重點,幫你理清觀念、加深記憶❏ 循序漸進引導:從基礎概念出發,搭配練習與實例,打造紮實底子❏ 新手友善入門:以非資安背景的視角出發,幫你減少學習焦慮❏ 激發資安思維:從開發者角度出發,透過實例與提問,理解資安背後的邏輯本書內容改編自第15屆iThome鐵人賽Security組優選系列文章《從自建漏洞中學習-一起填坑吧》。並在原始基礎上進行重整與補充,打造更適合初學者閱讀的資訊安全學習筆記。全書以心智圖作為知識整理與呈現的方式,幫助讀者在龐雜的資安主題中建立脈絡感,快速掌握核心概念與學習順序。本書不教如何繪製心智圖,而是運用圖像化的整理方式,將抽象的資安概念轉化為可理解的學習地圖。內容涵蓋資安基礎、常見攻擊手法、開發常見弱點與安全對策等,搭配範例與引導式提問,讓讀者思考每個知識點的意義與應用場景。這不只是一本Web資訊安全的入門書,更是陪伴學習的思考筆記。適合剛踏入資安領域的學習者、來自開發背景但對安全有興趣的工程師,或是正在尋找一條清晰起點的轉職者,一起從圖像、提問與實例中,慢慢建構屬於自己的資安學習路徑。【目標讀者】◘ 對資訊安全感興趣,期望建立基礎觀念的開發者◘ 希望跳脫教科書式學習、尋找實用路徑的資安學習者◘ 喜歡圖像整理、重視理解與脈絡的視覺型讀者
【電子書】一個人的藍隊:企業資安防護技術實戰指南(iThome鐵人賽系列書)
【本書特色】 ⬛一個人的藍隊,也能打造銅牆鐵壁 沒有專屬SOC團隊?經費不足、資源有限?本書專為這樣的環境設計,帶你從零開始掌握資安防禦策略,善用開源工具,在有限資源下構築強韌的安全防線。 ⬛從雜亂到有序,打造流暢的資安防禦體系 資安不是比誰的工具多!本書帶你從策略出發,理解不同防禦機制的核心概念,進而選擇最適合的資安工具。從即時監控、弱點掃描到威脅情資,交互運用有效整合關鍵防禦能力,打造有章法的安全營運。 ⬛Wazuh、OpenVAS 不只會用,更要用得對 這些強大的開源工具,你可能聽過、用過,但你真的發揮它們的最大價值了嗎?本書不只教你如何安裝與操作,更深入剖析運行原理、進階操作、整合方式,幫助你發揮最大效益。 本書專為資源受限的環境提供實戰導向的資訊安全解決方案,涵蓋防禦策略、威脅情報、弱點管理、安全監控,並解析Wazuh、OpenVAS等開源工具的應用技巧。透過詳細實作指南,幫助讀者建構有效且可落地的資訊安全防禦體系,無論你是新手、專業從業者,或獨自撐起企業資訊安全防線的「Blue Man」,本書都是不可或缺的實用指南。 在數位戰場之中,藍隊作為企業組織資安防護的關鍵角色,不少公司都會打造堅韌的防禦團隊或是採用SOC委外服務。而許多的中小企業,可能無法有足夠的資源去打造一個專屬的資安防禦團隊,沒辦法聘用多個不同職掌的資安人員,只能當個兼任的工程師,形成了一人多工的情況。別人是Blue Team的時候,而你是Blue Man,要如何能夠與之抗衡呢?本書內容改編自第15屆iThome鐵人賽Security組系列文章《一個人的藍隊》。針對中小企業與資源有限的環境,提出具體可行的解決方案,以實戰導向逐步介紹藍隊技術的核心概念與實作方法,涵蓋防禦策略、威脅情資、弱點管理、安全監控。
【電子書】資安密碼-隱形帝國:AI數位鑑識、社交工程攻防與現代密碼技術實戰
|專業推薦|本書是圖書市場上少數能讓一般讀者輕鬆上手的資安科普佳作,其親民的內容結構,將深奧的資訊科學轉化為人人可懂的實用智慧。以獨特的對話與敘事方式鋪陳,讀者彷彿身處故事情節中,隨主角一同探索假消息的辨識技巧、社交工程的防範要訣,以及人工智慧如何協助我們對抗數位威脅。── 張仁俊,國立臺北大學教務長、資訊工程學系特聘教授本書以淺顯易懂、貼近生活的小說型式,介紹常見的資安問題。透過本書,你將發現資安與我們的生活是如此地貼近,我們及人工智慧竟然就可架起阻擋駭客攻擊的第一道防線,資安演練竟然如同遊戲一樣有趣。── 許富皓,國立中央大學資訊工程學系教授本書透過情境闡述的方式讓讀者身歷情境,除了資安學院師生間的詼諧互動之外,學院夥伴更能應用所學來應對伏網盟的陰謀。透過本書,讀者不僅能夠了解資安、AI與密碼學在數位時代的基本應用,更能學習如何以防禦思維應對社交工程和攻擊者的威脅。── 周智禾,數位發展部資訊處處長|內容簡介|透過小說故事劇情的敘事口吻,講述著史考特、凱哥、傑森、蓋瑞一行人,在現代資安科技帝國大學-佛倫鉅鎖中,於資安與數位鑑識學習之路的精采歷程,伴著波尼教授、安潔教授與易杉校長的悉心指導與彼此的談笑風生中,共同面對著神祕的駭客犯罪組織「伏網盟」所帶來的嚴峻挑戰。從書中的章節編排、資安&鑑識議題的探討上,讀者能學習:真假消息的識別、社交工程攻擊與防禦策略、密碼安全、紅藍紫隊在資安中扮演的角色、生物辨識身分認證外,亦介紹了時下最新的人工智慧深度學習技術於資安上的應用。透過本書,您能藉由趣味的對話式敘事口吻來學習資安與數位鑑識技術,有別於枯燥乏味的理論內容;更能以平易近人的方式吸收豐富的資安知識。不僅適合初探資安領域的初學者來了解資安與數位鑑識的世界;對於具備資安相關背景的讀者,也可內容中來累積背景知識與實務操作的能力,是一本兼具娛樂性與教育性的讀物。|目標讀者|本書做為「數位神探」系列叢書,推薦給想深入了解目前資安&鑑識、人工智慧領域,提升數位偵探技巧的有志之士,從資安的角度,推敲琢磨裡認識可能遭遇的風險及可採取的防護措施。
【電子書】資安鑑識分析:數位工具、情資安全、犯罪偵防與證據追蹤
資安,簡單來說,是為了讓人們在使用數位服務時感到安全,也是現代科技的保護盾。隨著數位生活的深入,如何確保資料安全與真實性成為關鍵,本書介紹現代資安的核心面向,從數位證據的蒐集、鑑識流程到工具應用及網路安全問題,全面解析資安與數位鑑識在數位時代的角色。然而隨著科技快速發展,數位犯罪與資訊威脅也日益嚴重,本書透過實務案例和工具介紹,帶領讀者了解如何確保數位安全、識別威脅、並蒐集具法律效力的證據,適合對數位鑑識有興趣的讀者,提供詳盡的資安知識。❑ 證據取得從數位證據的定義、處理到儲存與管理,探討了證據在數位鑑識中的關鍵作用。透過詳細的證據處理程序,學習到數位證據的各種類型、映像檔製作與應用,以及證據保存的注意事項。❑ 鑑識工作著重在調查技術與還原事件真相。第二章至第五章深入介紹了數位鑑識的概念及應用,包括Windows和Unix系統的鑑識技術和證據萃取流程,並提供實例來強化理論和實務的連結。❑ 鑑識工具針對多種鑑識工具進行介紹和比較,涵蓋FTK、EnCase等專業工具的功能和操作,並進一步探討Linux和智慧型手機鑑識工具的應用,幫助讀者有效運用工具提升數位鑑識的效率。❑ 科技資安面對當前數位網路的危機,分析了網際網路、社交網路及雲端運算環境中的資安挑戰。透過實例說明瀏覽器、即時通訊等應用程式中的資安風險與鑑識技術,能更了解數位環境中的潛在危機和應對方法。
【電子書】SRE工作現場直擊:維運起點x實戰經驗x職涯規劃面面觀(iThome鐵人賽系列書)
本書改編自第 15 屆 iThome 鐵人賽DevOps 組冠軍系列文章《一窺 SRE 初心者的生活:讓警報為您的人生畫下如交響樂一般的新篇章》作為一本專為 SRE 新手設計的指南書籍,本書將帶領讀者深入了解 SRE 的日常工作、挑戰和成功經驗。除了技術解說之外,本書提供了業界第一手的實戰經驗以及職涯參考建議,並主要區分為以下五大單元。• 監控系統:講解監控系統的設計原則。• 日常維運:介紹 SRE 日常可能參與到的維運工作。• 重大 P0 事件:解釋重大的系統事件與處理過程。• 重要事件:說明那些因應特殊情境而交付予 SRE 的任務。• 職涯建議:分享以 SRE 作為職涯選項時會需要具備的能力和心態。【本書特色】本書所有內容皆以作者在公司的實際經驗作為分享核心,並以真實案例切入來作為每個篇章的主題。實戰經驗的好處在於不會淪為紙上談兵,因此本書可以確保讀者所收到的資訊都是實際業界可能面臨的狀況,也能進一步理解業界真正的運作模式。本書除了讓讀者更瞭解SRE 的工作內容之外,也會提供職涯上的參考,協助有興趣的讀者評估自身的職涯規劃,在職場上獲得更好的機會。無論是剛入門的新人,還是想要精進技能的專業人士,本書都是不可或缺的參考工具。【評審推薦】本書做為 SRE 初心者或有些經驗的工程師來說都會有所收穫,書中引用的案例通用性高,作者對情境與程序的描述也清楚具體,如果你正在苦惱不知如何開始了解 SRE,我想這會是一本合適的入門書籍,在此推薦給各位。商業思維學院|Gipi 游舒帆 院長演繹法的 SRE 資料已經很多了,說教意味濃厚的甚至帶給人距離感;歸納法的 SRE 資料則非常稀少。這也是這本書令人驚艷之處:接地氣的實務案例,彷彿在看一本故事書。尤其對於曾經身處同一產業的我來說,字字句句真的都是 SRE 血淚心得。敏捷魔藥師|葉秉哲 (William Yeh)
【電子書】從零開始OCS Inventory:打造資訊資產管理 × 資安CVE漏洞通報(iThome鐵人賽系列書)
♛ 第一本專門為 OCS Inventory 量身打造的本土實戰指南 ♛ 打造專屬於你的資安弱點通報機制 本書內容改編自第15屆iThome鐵人賽IT管理組佳作系列文章《OCS Inventory:開源資產管理解決方案》。不同於艱澀難以理解的官網手冊,帶領您一步一步從系統安裝到實際的應用情境,用系統性並循序漸進的方式教學,是您最適合入門的新手書。 近年來,隨著金管會積極推動強化上市(櫃)公司資通安全管理的措施,證交所及櫃買中心已訂定資通安全管控指引供公司參考。此外,公司治理評鑑指標也將導入ISO 27001等資訊安全管理系統作為加分項目。值得注意的是,ISO 27001:2022新版的控制措施增加了「組態管理」和「威脅情報」。 因此,本書將從資訊資產的「組態管理」開始,教您如何針對各式各樣的資訊設備進行組態盤點,以及如何自動化大量部署或更新等應用,從而大幅提升管理人員的管理效率。再藉由「組態管理」所盤點到的軟體資訊,延伸到與「威脅情報」的整合,可以識別目前企業所安裝的軟體中存在的漏洞並發送告警訊息。 值得一提的是,數位發展部底下的國家資通安全研究院也推出了一套資通安全弱點通報系統,用以協助公家機關落實資通安全管理法中的資產盤點與風險評估。也就是說,按照本書的教學,您也可以打造出一套專屬於自己的資通安全弱點通報解決方案。 重點摘要 ✦ 從零開始入門 搭配實際操作畫面,漸進式學習無負擔 ✦ 設備組態管理 支援多樣作業系統,隨時取得最新組態 ✦ 軟體弱點掃描 整合威脅情資蒐集,自動掃描軟體弱點 ✦ 遠端部屬軟體 代理程式自動派送,強化企業維運效率 本書可以學到哪些知識 ● 盤點伺服器與使用者設備的硬體規格及安裝了哪些軟體 ● 取得最新的 CVE 漏洞資料庫與現行已安裝的軟體進行比對 ● 透過 Grafana 客製化自己的 CVE Reporting ● 透過 Zabbix 監控 CVE 的數量並即時告警 ● 封裝與透過 GPO 軟體派送大量部署代理程式 ● 將已部署的代理程式進行版本升級或降級 ● 使用代理程式遠端部署或移除相關應用程式 ● 使用代理程式遠端執行 PowerShell 與 Windows 執行檔 ● 使用代理程式遠端部署檔案或資料夾 ● 安裝外掛程式來取得 Office 授權金鑰確認是否有人私自使用盜版的金鑰 ● 使用 IP Discovery 來檢索所有的連網設備與生成企業網絡地圖 ● 使用 SNMP Scan 來增強 IP Discovery 獲得更多的識別資訊 目標讀者 .想要導入ISO 27001的企業 .企業的資安專責人員 .企業的系統管理人員 .想了解組態管理的組織或個人 .對威脅情報有興趣的組織或個人 專業推薦 在廣大的企業環境中,IT 資產盤點永遠是難以被滿足的需求之一,除了功能滿足之外,還有經費不足等等各種內部問題。好在 Ivan 願意把他在 OCS Inventory 上的寶貴應用經驗分享成書,讓我們多出強大武器應對各種 IT 環境的難題,包含看板設計與安裝派送教學,甚至連整合 CVE 達成 VANS 的資安整合應用都做到了,簡直是 IT 單位必備良藥!──── 鄭郁霖 Jason Cheng(節省工具箱有限公司 技術總監/中華民國軟體自由協會 常務理事)
【電子書】Beyond XSS:探索網頁前端資安宇宙
☆★☆★☆原理說明 x 攻擊技巧 x 防禦手法 x 實際案例☆★☆★☆ ☆★☆★☆系統性學習網頁前端知識以及資安☆★☆★☆ ☆★☆★☆從資安角度重新學習網頁知識☆★☆★☆ 相信我,前端工程師所接觸到的前端,只是整個網頁前端的冰山一角。 曾經我以為自己很懂前端,做過了幾個專案,當了幾年的工程師,想說前端不就這樣嗎,直到我接觸了資安,才發現自己傻得可以。 從前端資安的角度切入,帶我看到了以前不會看到的東西,讓我更了解整個瀏覽器跟各種機制的運作,並且把這些知識再帶回前端,完整了自己的前端知識圖譜。 這是一本從網頁學習資安,也從資安學習網頁的書籍,無論是對網頁還是對資安有興趣,一定都能開拓視野並得到收穫。 &
【電子書】工控資安銳視角:石化場域 OT / ICS 學習筆記
工業控制系統安全解析深入OT技術與攻防實作本書專注於工業控制系統安全,內容涵蓋操作技術(Operational Technology, OT)的多個方面。OT是工業控制系統的核心,包括 ICS(工業控制系統)、PLC(可編程邏輯控制器)、DCS(分散式控制系統)、HMI(人機介面)與 SCADA(監控與資料收集系統)等眾多元素。本書從煉化廠的製程視角,探討工控系統的底層協定,並將場域模擬成靶機,利用 Python 程式進行靶機攻擊,進而反思藍軍的防禦概念。❑ 第一單元:工業控制這一單元將深入介紹工業控制系統的各個部分,從 OT 安全到具體的控制系統元件,如 ICS、DCS、SCADA 及 PLC。學習內容包括 PLC 階梯圖、AB 接點操作,並解釋各種專業術語的差異性以及如何使用 NodeMCU 進行模擬。此外,還將涉及到工控領域的通訊協定,包括 Modbus、OPC UA、S7Comm、IEC-104、DNP3 等協定的訊框分析。❑ 第二單元:煉製石化廠域本單元介紹煉製石化廠的操作過程,從蒸餾工場、裂解工場到油氣純化等 16 種不同的操作工場,以及油槽區的基礎知識。此部分同時探討工場的工業控制架構。❑ 第三單元:藍軍與紅軍在此單元學習 ICS 的網路入侵檢測技術及針對協定的攻擊方法,包括分析著名的網路攻擊案例。此外,還將介紹如何使用 Shodan 和鍾馗之眼 ZoomEye 等工具來偵測潛在的安全風險,並強調作為一名優秀藍軍的重要概念:知己知彼。❑ 第四單元:實作最後,本書透過從 Lab1 到 Lab10 的系列實驗,帶領讀者完成 STRIDE 模型的攻防學習,實際應用前面單元的理論知識。並且提供線上影片觀看,可以先預覽後,再對照本書進行實作。書本的文字說明結合影像,學習上會比較順手。透過這本書的學習,讀者能夠全面了解並掌握工業控制系統的安全操作與防護策略,為在高風險工業環境中的安全保護打下基礎。目標讀者a.石化資安專題的高中、大專學生b.從資訊安全到工控安全的跨領域學習者c.針對工控與資安領域的碩博士生d.有志進入油水電的資訊與程控人員e.對工控安全有興趣的人☑&本書為國立成功大學【石化資安實務專題】指定用書專業推薦&本書從普渡模型的解析、工控的通訊協定到著名的 ICS 攻擊事件,作者系統性地介紹了從底層協定到資安事件的整體知識。這本書不僅適合工控資安人員,也非常建議管理階層閱讀,以提升對工控系統安全的資安意識。因此,我推薦這本書給所有有志於進入關鍵基礎設施工作的專業人士,無論你是基層人員還是管理階層,都能從中學習工控安全基本知識,期盼這本書能協助更多人認識到工控資安的重要性,共同提升工控安全水平,實現企業永續。——許晋榮|台灣中油公司副總經理暨煉製事業部執行長工控安全是跨領域的人才,本書介紹了機電系應具備的 SCADA、DCS、PLC 等工控系統的運作基本原理,還結合了資訊安全的微軟 STRIDE 模型、KALI,ESP32 與 OpenPLC Runtime / Editor 等軟硬體整合的攻防框架,並用 Python 的 Scapy 工具進行實作,加上煉製工場的介紹,使讀者能夠在攻防模擬實驗中學習,同時體會煉化廠的規模。在十個工控模擬實驗中,讀者能夠親身體驗藍軍與紅軍的攻防對抗,極大地提升了學習的實戰性和趣味性。——李南逸 博士|國立成功大學計網中心教授兼網路與資安組組長工控系統(Industrial Control Systems, ICS)的安全議題涉及到許多層面,這些系統通常用於工業自動化和關鍵基礎設施中,如能源、製造、交通和水處理等。這些議題與民眾生活習習相關。因此,提升這些系統的安全性是至關重要的。此外,最令我印象深刻的是,書中設計了十個工控模擬實驗,帶領讀者完成 STRIDE 模型的攻防學習。這些實驗設計精巧,模擬了實際的攻擊場景,讓讀者能夠親身體驗駭客攻擊手段,進一步了解實際攻擊狀況。——蔡家緯 博士|國立台中科技大學 副教授兼網路工程組組長對於關鍵基礎設施來說,無論複雜度高低,都同樣重要,皆關乎民生的基礎設備。有別於 IT 領域的安全需求,在 OT 領域中,Safty 才是主要的議題。作者在書中介紹了工控領域常見的 SCADA、DCS、PLC 系統,並製作靶機以學習攻防技術。在十個工控模擬實驗中,透過軟硬體模擬成的 ICS 基本架構 Level 0 - 2,讓讀者能夠用駭客工具進行攻擊,深入理解攻防技巧。——劉奕賢 博士|國立成功大學電機工程學系助理教授 兼 資通安全研究與教學中心副主任未來,工控系統的安全威脅將越來越多樣化和複雜化。我相信透過《工控資安銳視角:石化場域OT/ICS學習筆記》,我們能夠全面了解並應對這些挑戰,這本書將會是一本重要的工具書。我推薦這本書給所有關注工控系統安全的專業人士和學術研究者。希望這本書能在工控系統安全領域產生深遠的影響,並促進國家關鍵基礎設施的安全提升。——郭文中 博士|國立雲林科技大學資工系教授在大林廠打拼 20 餘年,見過許多工場因人為因素所造成的工安事件,都是由一連串疏忽所導致不可逆的災害;工控是整個煉製的核心,隨著時間推移,有許多人力斷層造成了新舊世代青黃不接的問題。個人認為這本書除了能帶來工控安全上經驗的傳承,在作者有系統的梳理下,更是填補了工控系統安全知識的一大空白。——羅國暉|台灣中油煉製事業部大林煉油廠 副廠長暨資安長
【電子書】CI/CD安全防護大揭密:DevSecOps最佳實踐指南
本書涵蓋 DevSecOps 理論、策略與實踐 從觀念到實作,打造安全 CI/CD 管道流程 & 本書是台灣首本詳細探討 DevSecOps 的書籍,不僅解釋了 DevSecOps 的核心概念,也從人員、流程和技術的面向探討 DevSecOps 的實踐與挑戰。 & 書中詳細介紹了 DevSecOps 的所需知識與技能,為組織和個人提供了一條明確的成長和提升路徑。無論你是資訊安全的新手,還是經驗豐富的專家,本書都將是你不可或缺的指南。 & 【目標讀者】 • CISO/CTO/CIO • DevOps 人員 • DevSecOps 人員 • 開發、測試以及維運人員 • SRE 人員 • 資訊安全顧問 • 對 DevSecOps 感興趣人員 • 對敏捷軟體安全開發感興趣人員 • 想提升 CI/CD 安全性的人員 & 專業推薦 & 我極力推薦這本書給所有關心軟體開發安全的讀者。本書深入解析 DevSecOps 的各個層面,從基本概念、CI/CD 管道保護,到新興技術的安全開發。——勤業眾信 風險諮詢服務 資深執行副總經理 | Ike Chen 陳威棋 & 這本書無疑可以被稱作是 DevSecOps 領域的百科全書,為讀者提供了一個關於如何建立、執行並優化DevSecOps的全面指引。——AWS Security Hero/DevSecOps Taiwan 社長 | Ray Lin 林家瑋 & 本書含括面向完整,推薦給想要入門安全開發或深受安全開發議題困擾的讀者。又或者如果去年的你沒有讀到一本乾貨滿滿的資安書籍、或者今年你需要一本扎實的資安書籍醒腦,這本書都相當適合的喔!——恆逸教育訓練中心 資深講師 | Vincent Tang 唐任威 & &
【電子書】誰說資安寫不了情書
☆如何用資訊安全的觀念寫出情書☆ 誰說資訊從業人員寫不了情書。 那古老的密碼,流動於數據之間,只為了與誰相遇而存在。 不是陽光灑落的光芒,是妳微笑時,讓我忘了黑暗築起的高牆 不是月下拂過的清涼,是妳指尖的方向,撐起了讓我仍願意在此的嚮往 資訊人寫出的情書,是很資訊人的情書,本書的主人公Allen,在八個章節裡與各路資訊從業人員碰撞、合作、鼓勵及相互扶持讓他的資訊人生很人生。 本書包含資訊系統運作時的觀念、專有名詞介紹、debug時的盲點及致敬奇摩聊天室的情懷,和幻想未來可能會出現超越ChatGPT的AI對話系統。 踏入資訊領域可能像是踏入不歸路,但這條路不一定是枯燥煩悶,也可以是對未來充滿期待對自己充滿信心。 駭客の嘆息 如果,我留下足跡,卻無人發現,算不算可惜。 如果,我遇見了我的足跡,卻渾然不知,何以證明,是我的曾經? 消散的過往,此刻的心情 阻擋不住,歡與悲的交集 所以 我留下足跡 那日後迷惘時 可以回想的曾經 &
【電子書】26大企業紅藍隊攻防演練:從企業永續報告書精進資安網路攻防框架(iThome鐵人賽系列書)
以 26 個實際案例教你如何看懂資安攻防思維 有效辦識企業資安資源配置,建立資安敏感度! 本書內容改編自第 15 屆 iThome 鐵人賽 Security 組完賽作品《從永續報告書看資安》。內容以《哈佛商業評論》2022 台灣企業領袖 100 強的榜單中,精選 26 家企業所編製之永續報告書為藍本,分析其資安組織、資安作為,學習辨識其最有價值之資訊資產及其資訊資源配置。不僅以 CyberDefenceMatrix 矩陣方式分析各家企業做了什麼,從矩陣中還可以看出那些地方是未來加強的重點。 目前主管機關要求上市櫃企業應設立資安長,而資安長在管理企業資安時,常面臨不知道威脅來自哪裡,不知道要如何有系統的排查企業資安問題。所以本書引入洛克希德馬丁的 Cyber Kill Chain 攻擊七階段、Mitre AttCk 的攻擊十四階段、NIST CSF 防守五階段的框架,有系統但與個案脫鉤的介紹各階段的攻防思維重點,以便資安長可以按圖索驥,了解資安、戰勝威脅。 本書的 26 家企業,除了半導體產業、高科技產業之外,還包含了航運業、金控業、電信業、紡織業等多面向的行業別。不同產業所要保護的資訊資產,其實有很大的差異,這是在本書的形成過程中,深刻的體悟。有道是「資安即國安」:26 家企業中有不少是關鍵產業,其資安的良莠,對於台灣整體的經濟發展,具有舉足輕重的影響。 此外,書中精心設計了延伸閱讀,假設你是企業的資安人員,面對資安框架所提出的情境,你會如何下決策?這十分考驗在時間、金錢、人力有限的情況下,如何做出對企業最有利的決策。 目標讀者 ・企業資安長、資安人員 ・企業 ESG 永續報告書編製負責人員 ・大專院校資管或資工科系師生 ・對資安有興趣的組織或個人 本書特色 ❑ 從永續報告書了解企業在資安上的實務作為 ❑ 剖析各範例企業的資安組織及其優缺點 ❑ 應用資安框架模擬紅藍隊攻防演練 ❑ 每章對其個案提出延伸思考 專業推薦 本書透過介紹 26 家大型企業的實際案例,揭示了企業資安攻防的複雜性與挑戰性。每一個章節都透過詳細的分析和解說,展示了紅藍隊攻防在不同階段的應用與實施。同時亦深入介紹資安技術的層面,強調企業在數位經濟時代面臨的個人資料保護法挑戰。此外,本書還提供了一些延伸思考的章節,讓讀者能夠更深入地思考及探討資安問題。這些思考主題包括資訊安全的倫理問題、新興技術對資安的影響、資安教育及培訓等,將有助於讀者加深對資安防禦策略與實務的理解,並激發創新思維,提出更有效的解決方案。這是一本結合理論與實務,值得一讀再讀的資安實務寶典,必將在資安領域引領一波新的學習浪潮。—— 蕭幸金教授|國立臺北商業大學會計資訊系 本書匯集豐富的經驗和知識,以及各項常用的工具應用、操作,並提供了關於紅隊演練的全面指南。在眾多的資安解決方案中,以 CP 值及時效性來說,紅隊演練是最高級、也最高貴的。因為這等於是在企業資安設備軟、硬體到位後,資安藍隊人員也到位後,整備完成後的資安模擬考,呈現企業對於資安風險的控管能力,這樣的演練不僅是一種主動式的措施,更是一種預防性的策略。紅隊演練是確保組織能夠應對不斷變化的威脅的關鍵步驟之一。無論您是資訊安全專家、企業領導還是對資安感興趣的讀者,我們相信本書將對您有所幫助。—— 黃綱正、范瑋凌|凌煌科技有限公司創辦人 本作企圖透過公開透明的永續報告書,為各大企業及利害關係人分析前所未有的解決方案。不僅將多家企業的資訊安全實踐和風險進行了詳盡的彙編,還透過量化指標和質性的解讀,使讀者能夠深入了解每一篇報告背後的管理策略和高階長官的實際考量:企業的策略、價值和未來發展方向。本書的真正價值,不只是其深入廣泛的內容,更重要的是它將資訊安全提升到了戰略的層面。對於任何關心企業發展的人都是一本不能錯過的好書。真心推薦給大家!—— 劉家如(虎虎) 台灣在 2023年的惡意威脅數量急遽增長,每秒遭受近 1.5 萬次攻擊,高居亞太地區之冠。面對如此針對性攻擊的威脅,企業應調整資安維運策略,即時偵測並阻止駭客攻擊。本書中提到26 家企業的永續報告書中的資安實踐,結合知名資安框架 Cyber Kill Chain、Mitre ATTCK 和NIST CSF,以及紅藍隊的攻防思維。提供給讀者一本工具書,讓資訊人員作好資安的聯防機制,給企業的資安一個永續發展的未來。從企業風險建模的角度,我衷心推薦本書,希望台灣的永續報告書,在未來能夠百尺竿頭,更進一步,這就有賴本書的讀者,在各行各業的努力,也感謝作者的拋磗引玉。—— 陳威有|保險安定基金精算師 &
【電子書】使用Redmine管理企業MIS的那些鳥事
全台第一本繁體 Redmine 專書 從管理角度去思考 Redmine 的應用 市面上最完整的 Redmine 學習指引書 本書內容改編自第14屆 iThome 鐵人賽 IT 管理組冠軍系列文章《管理 MIS 的鳥事-使用 Redmine》。 本書在介紹 MIS 業務的管理,透過 Redmine 建構中小企業的 MIS 內部業務管理工具。平台上表單管理建構背後所代表的管理意涵,以及與 MIS 部門業務管理、ISMS(資訊安全管理系統)、ISO 27001:2022控制項要求的執行管理才是本系列文章想要跟大家分享與交流。 作者試著用不同的工具試圖建立一個幫助中小企業 MIS 的工具管理機制,概念中這個機制可以把 MIS 日常及計畫執行的所有紀錄透過管理工具可以有一個有秩序的管理,並用最簡單低成本的方法建立一個符合 MIS 業務的管理平台。工具很多,商業軟體和自由軟體都有,MIS 也可以自行寫程式開發,但作者希望建立的是一個不需要太多技術也能夠維護的管理平台。最後選擇用 Redmine 並實際在某一家企業的 MIS 建構出一個 MIS 內部作業的管理平台。 選擇 Redmine 其中有一個很重要的理由,作者對 MIS 部門希望以專案管理的概念去管理這個部門所有被賦予的任務和業務,Redmine 的設計符合這樣的特性。 【目標讀者】 a.中小企業的 MIS 主管與 IT 從業人員 b.企業 ISMS 資安管理人員 c.專案管理人員 &
【電子書】Windows APT Warfare:惡意程式前線戰術指南(第二版)
全台第一本反守為攻的資安教戰守則! 應讀者熱烈反應,第二版火熱上市! 新增章節教你探索WOW64模擬機,了解相關的攻擊技術和防禦策略! 囊括了近年第一線各國之國家級網軍曾使用過的奇技淫巧,從扎實的基礎逐步剖析攻擊原理與復現惡意利用。 ★內容由淺入深,務使讀者打下最穩固的基礎,讓所學更能應用在實戰上 ★編譯器原理、作業系統與逆向工程實務,一次網羅學習逆向工程的三大主題 ★全台第一本,從攻擊方角度剖析網軍在野行動所使用過的軍火細節,化被動為主動更能見招拆招! ★軟體工程師、資安研究員、逆向工程愛好者、滲透測試人員、資安防護產品工程師、對駭客技巧有興趣者的必備好書 本書是作者以自身逆向工程十年的經驗累積而成,其中結合了編譯器原理、作業系統與逆向工程實務三者混著介紹的書;坊間已經有了許多獨立介紹單一主題且非常深度的書,然而逆向工程實際上需要有這三個不同領域都非常扎實的基礎與脈絡才能融會貫通,作者因而催生了撰寫一本專為逆向工程有興趣的入門者撰寫書籍的想法。 此書內容由淺入深,從基礎的C語言原始碼開始談及編譯器如何將它編譯,並且遵照可執行檔案格式(PE)封裝為靜態*.EXE檔案,接下來是作業系統如何解析*.EXE檔案並裝載為Process使其能真正的執行起來的完整流程。其中,除了介紹扎實的作業系統實現基礎外,並帶以各國網軍(如 CIA、海蓮花、APT41)曾玩轉這些基礎的惡意利用手段,使讀者能一窺網軍如何操作這些奇技淫巧來打擊防毒軟體。這本書的內容能讓無論是網軍、逆向工程愛好者甚至威脅研究員都能以紅隊視角打下對PE格式扎實的基礎! 在第二版中,我們引入了一個全新的章節名為「重建天堂之門:探索WOW64模擬機至奪回64位元天堂勝地」。這個章節為讀者提供了一個深入研究Windows作業系統中WOW64模擬機制的機會。透過這一章節,讀者將學習到如何利用WOW64模擬機制來執行32位元應用程式,並了解相關的攻擊技術和防禦策略。 本書線上資源下載 github.com/aaaddress1/Windows-APT-Warfare &
【電子書】透視資安!資本市場必須了解的資安治理:從股東會年報探討公發公司資安現況(iThome鐵人賽系列書)
✦ 從股東會年報了解何謂「資安治理」 ✦ 精選25個實際案例,教你看懂公發公司的資安執行狀況! 本書內容改編自2022年 iThome 鐵人賽Security組優選獎《從公開發行公司股東會年報分析公發公司資安揭露情形》系列文章。內容以臺灣重要公開發行公司揭示的公開股東會年報為案例,藉以探討公發公司資通安全管理的現況。 目前臺灣主管公開發行公司的主管機關,政策上都會強力要求公開發行公司要做好公司治理。「公司治理」的概念主要是落實經營者所須負的責任,以保障關係人及維護股東權益為目標。同樣的,「資安治理」亦為公司治理的延伸,藉由強化管理公司的資通安全,讓公司免受外部駭客攻擊騷擾,進而保障公司及股東權益,最後達成公司治理的目標,故其重要性不可言喻。隨著有關單位對於「資安即國安」觀念的提升,以及外部威脅日益強大,產業若不能提供給投資大眾足夠的資安信任感,以及提升自身的資安防護,那未來就有可能面臨更嚴峻的挑戰。 本書以25個公開發行公司所揭露的股東會年報作為分析,從中探討目前公發公司資安的管理現況與優劣。在探討每個案例前,會先提供要點式說明,同時配合法令,將各案例之股東會年報有關資通安全管理部分列出,最後做出分析及建議。其中,本書所列舉的產業橫跨電子、資訊、金融證券、貿易、生技、營造、航運、鋼鐵、水泥、通訊、文創等等;藉由不同產業的面向,幫助讀者了解產業資通安全管理的揭露現況,同時也強化資安治理之觀念。 ▋透過本書你將學會 ☑ 了解何謂資通安全管理,以及資安治理的重要性。 ☑ 理解股東會年報在資通安全中所要表達的重點。 ☑ 了解法令所要求的重點,並將本書作為撰寫股東會年報的參考依據。 ☑ 提供公發公司未來在資安治理改進的方向。 ☑ 協助董事會強化資安治理。 ▋目標讀者 ・投資大眾、公發公司以及有興趣了解資安治理的讀者。 本書特色 實際案例分析:內容皆為各大公發公司公開資訊 重點歸納說明:迅速掌握案例的資安揭露情形 提供解決建議:藉由分析說明資安治理建議 如何有效表達:配合法令規定強化資安治理的內容 專業推薦 如果你已是企業資安從業人員,我強烈建議可以好好研讀本書精選案例,相信能從企業實際落實資安治理的方法和預算拿掐的比例中,找到屬於你企業的資安治理方針。如果你有意往資安領域發展,那就更不能錯過本書,你一定能從筆者妙筆生花的字裡行間,學習到運用資安思維和觀點,並對你未來想從事的工作,帶來相當大的幫助。—— 徐千洋|台灣駭客年會(HITCON)創辦人、iThome 鐵人賽評審 作者在本書彙集了25個案例,以淺顯易懂的文字敘述,分析每個案例所遇到的資安攻擊情形並連結內部管理,最後再以自身的專業歸納結論,讓讀者能循序漸進了解各公司的資訊安全現況及管理運作。—— 林瑞恩|台灣上櫃公司財會部經理 &
【電子書】【資安密碼系列】秘密不再是秘密:輕鬆認識密碼學-打造你的數位安全
思考在危機四伏的網路環境中守住個人的祕密、安全 傳遞資訊的必要性,而這也正是「密碼學」的意義 ! 資安科技生活能保有永恆以及唯一的「祕密」, 會是一切看似免費、公開,容易流於虛實難辨、 價值混淆的數位時代,最重要的課題 ! 電腦的出現,讓資訊科技裡的密碼研究與應用成為一門重要學科,密碼不再止於推理與狹隘的數字遊戲,而是與現代的科技生活息息相關。 網路的力量是雙面刃,它帶來了便利與可能性,但我們必須在使用中警惕。我們必須認識到網路的代價,並在享受便利時保護個人隱私。 作者利用故事的模式,鼓勵讀者一起來認識「密碼學」的起源與發展。 專業推薦 在本書中,作者以深入淺出的方式,引導讀者進入密碼的世界,讓讀者了解,密碼技術如何幫人們解決日常生活中所面臨的各種問題。對非相關專業人士而言,本書以故事模式導引讀者,輕鬆有趣、難易適中,讀者可獲取日常生活各種活動中,保護我們資訊與隱私的密碼技術及原理,十分值得推薦! 雷欽隆 國立臺灣大學電機系教授 這是一本非常適合廣大讀者閱讀的科學普通讀物。我們的生活已經離不開資訊科技與電腦網路了,了解一些資訊安全、電腦犯罪、數位鑑識的基本概念,有助於保障自己的權利。我極力推薦大家一起來閱讀這本好書。除了愉快的閱讀體驗與知識上的收穫之外,各位讀者可能也會跟我一樣,被作者投入的心血深深感動! 張仁俊 國立臺北大學教務長 資訊工程系特聘教授 &
【電子書】駭客入侵免驚,不是高手也會的WordPress資安防禦大全
☛ 個人資料成為數位時代的新石油,在駭客環伺之下, 你的網站是否做好準備了呢!? 隨著數位時代的來臨,網路安全議題儼然已成為當代人們不得不關注的問題。本書為專注於WordPress網站安全的實用指南,提供全面且易於操作的解決方案。從基礎到進階層面,涵蓋各種保護WordPress網站所需的知識和技巧。讓您無需成為資安專家,也能保護自己的網站! 本書內容由基本安全措施介紹起,如設置強大的密碼、控制訪問權限,以及進行網站安全檢測等,到探討高級安全配置,例如防火牆設置、即時安全監測等,進一步強化網站安全。藉由深入淺出的方式,讓讀者在短時間內掌握WordPress網站安全的重要概念,並能藉此對網站安全問題有更深刻的理解,且能應用所學確保自己網站的安全。 【精彩內容】 Web安全基礎 •安全基礎知識 •雙重驗證功能 •暴力攻擊防護 •密碼破解防護 安全體系配置 •伺服器安全 •本機電腦安全 •檔案保護配置 •資料庫防護 •備份解決方案 安全防護工具 •防火牆設置 •安全防護外掛程式 •系統漏洞掃描 •安全監控工具 •安全性記錄檔監視 *本書作者提供LINE群組,讓您的疑問可以直接與作者正面交流,並在第一時間獲得專業解答。 &
【電子書】密碼管理系統理論與實作:使用 Python 的 Crypto、Tkinter 與 Django 套件
✦ 實作特權帳密管理系統,解決特權帳密控管問題 ✦ 特權帳號與密碼是企業IT部門各項系統的命脈,同時也是資訊安全在管理上的弱點。近年來的入侵攻擊事件,就是利用公司的系統漏洞沒有即時修補,再加上內控不嚴謹所造成的系統帳密被盜用,不僅影響到公司的商譽,還有可能造成難以估計的財損。為了解決特權帳密控管問題,本書將透過現行 Python 所提供的套件(Crypto, Django, Tkinter),研發特權帳密的控管機制並將其實作。 全書分成4章,分別帶領讀者進入密碼學的領域進行編程,除了有密碼學理論進行對照,還用時下最廣泛使用的程式語言 Python,進行密碼系統的開發。 |密碼學的數論基礎與 ISO27001| 總覺得密碼學是難以探究的學門嗎?其實只要有高中的數學程度與耐心,在實作後與理論相呼應,學苟知本會更扎實;此外,依據 ISO27001 的附錄A.10 密碼學的控制措施,可以了解特權帳密管理的必要性。 |使用 PyCryptodome 在 Python 中實現加密演算法程式| PyCryptomdome 提供了所有加解密的函式庫,即使對理論不清楚,也可以進行實作。Python 易學易懂,有許多函式庫與社群支持,相關技術可以藉由網路搜尋,相輔相成加速開發。 |Tkinter 搭配 Crypto 實作加解密的應用介面| Tkinter 是視窗程式的開發套件,可實作使用者端的 UI,是 Python 用來開發應用程式的熱門函式庫。本書在每個範例程式碼都有說明與解釋,確定資料流後,完成實作上的輸入與輸出。 |用 Django 來 Web化密碼管理系統| Django 是網頁應用程式的框架,MVC(Model-View-Controller)的架構。本書實作的密碼管理系統,結合了 SQLite 資料庫,將密碼管理系統架在網路上,實現 Web化。 本書特色 🔑從基礎數論到密碼學 密碼學的基礎就是數論,每個理論都有數學作為對照,協助讀者了解基本原理。 🔑特權帳密管理系統實作 Crypto 套件提供豐富的加解密演算法,確定加解密流程後,用 Tkinter 設計 UI介面,並透過 Django套件將應用程式 Web化。 🔑ISO27001管理機制 依照 ISO27001(資訊安全管理國際標準)的「存取控制」、「密碼」、「作業的安全」等相關條文進行實作,以符合管理需求。 & 目標讀者 ☑ 製作密碼學專題的高中、大專學生 ☑ 針對密碼學研究領域的碩博士生 ☑ 業界資訊安全研發人員 ☑ 對密碼學理論與實作有興趣的人 & |本書「實作範例檔」,請至博碩官網下載| &
【電子書】加密‧解謎‧密碼學
想保護資訊安全,必須了解密碼學。 如果你喜歡解謎解鎖,更歡迎來到密碼學的世界! & 什麼是密碼? 密碼是按照特定的法則編成,用於通訊的雙方轉換明文、密文的一種符號系統。作為一種資訊混淆的方法,加密的過程就是將可識別的資訊,變成不可識別的資訊。 在密碼學中,加密前的原始資訊稱為明文(Plaintext),加密後的資訊稱為密文(Ciphertext)。把明文轉換為密文的過程稱為加密(Encrypt),把密文恢復成明文的過程稱為解密(Decrypt)。大部分的加密和解密過程都涉及一個只有加密/解密雙方才知道的祕密資訊。唯有掌握了這個祕密資訊,才能正確地解密密文。密碼學中將這個祕密資訊稱為金鑰(Key)。所謂破解,或稱密碼分析(Cryptanalysis),是指在不知道金鑰的情況下,從密文中得到與明文相關的一些資訊,恢復出一部分甚至是完整的明文。 從人類的歷史來看,密碼最早是用於戰爭時的祕密通訊。出於保密的需求,每一場戰爭的背後,都有密碼的身影。可以說,密碼的戰爭決定了人類歷史的進展,而密碼學是保護資訊安全的最後防線。 & 本書作者為密碼學博士、阿里巴巴集團數據技術及產品部高級安全專家,他從生活中的實例出發,深入淺出地引領讀者走進精彩的密碼世界。 這本書會分享:從男女生互相告白的密碼信如何破解,到身分證號碼中隱藏的祕密,從古典密碼(西元前400年的古希臘時期開始)、電腦的編碼方式,到二次大戰時期德軍使用的恩尼格碼(Enigma)密碼,以及圖靈(Alan Turing)如何加以破解,一直到現代密碼學當中的公鑰加密、RSA數位簽章等等最新的進展。 這些進展看似零碎,但其背後所蘊含的密碼設計者與破解者的思路演進,以及所蘊含的數學原理,就讓作者娓娓道來吧! 密碼與我們的日常生活密切相關,資安的基本素養,也必須從了解密碼學開始。當然了,加密和解謎永遠是最原始、最刺激的遊戲! & 本書特色: 1.深入淺出、循序漸進,一般中學的數學程度就能理解的密碼學。非常燒腦,但也有滿滿的收穫! 2.密碼學的一小步,資訊安全的一大步。密碼,幾乎遍及通訊領域的每一個角落,密碼安全也關係到現代生活的各個層面——數據速朽,唯安全永恆。 3.如果你充滿好奇心、喜歡解謎解鎖,歡迎來到密碼學的世界。如果你是資安領域的學習者,可以快速找到未來行業的發展方向,少走點冤枉路。如果你關心個人隱私,也可以了解守護每個人安全的密碼之奧祕。 &
【電子書】加密‧解謎‧密碼學:從歷史發展到關鍵應用,有趣得不可思議的密碼研究
想保護資訊安全,必須了解密碼學。 如果你喜歡解謎解鎖,更歡迎來到密碼學的世界! & 什麼是密碼? 密碼是按照特定的法則編成,用於通訊的雙方轉換明文、密文的一種符號系統。作為一種資訊混淆的方法,加密的過程就是將可識別的資訊,變成不可識別的資訊。 在密碼學中,加密前的原始資訊稱為明文(Plaintext),加密後的資訊稱為密文(Ciphertext)。把明文轉換為密文的過程稱為加密(Encrypt),把密文恢復成明文的過程稱為解密(Decrypt)。大部分的加密和解密過程都涉及一個只有加密/解密雙方才知道的祕密資訊。唯有掌握了這個祕密資訊,才能正確地解密密文。密碼學中將這個祕密資訊稱為金鑰(Key)。所謂破解,或稱密碼分析(Cryptanalysis),是指在不知道金鑰的情況下,從密文中得到與明文相關的一些資訊,恢復出一部分甚至是完整的明文。 從人類的歷史來看,密碼最早是用於戰爭時的祕密通訊。出於保密的需求,每一場戰爭的背後,都有密碼的身影。可以說,密碼的戰爭決定了人類歷史的進展,而密碼學是保護資訊安全的最後防線。 & 本書作者為密碼學博士、阿里巴巴集團數據技術及產品部高級安全專家,他從生活中的實例出發,深入淺出地引領讀者走進精彩的密碼世界。 這本書會分享:從男女生互相告白的密碼信如何破解,到身分證號碼中隱藏的祕密,從古典密碼(西元前400年的古希臘時期開始)、電腦的編碼方式,到二次大戰時期德軍使用的恩尼格碼(Enigma)密碼,以及圖靈(Alan Turing)如何加以破解,一直到現代密碼學當中的公鑰加密、RSA數位簽章等等最新的進展。 這些進展看似零碎,但其背後所蘊含的密碼設計者與破解者的思路演進,以及所蘊含的數學原理,就讓作者娓娓道來吧! 密碼與我們的日常生活密切相關,資安的基本素養,也必須從了解密碼學開始。當然了,加密和解謎永遠是最原始、最刺激的遊戲! & 本書特色: 1.深入淺出、循序漸進,一般中學的數學程度就能理解的密碼學。非常燒腦,但也有滿滿的收穫! 2.密碼學的一小步,資訊安全的一大步。密碼,幾乎遍及通訊領域的每一個角落,密碼安全也關係到現代生活的各個層面——數據速朽,唯安全永恆。 3.如果你充滿好奇心、喜歡解謎解鎖,歡迎來到密碼學的世界。如果你是資安領域的學習者,可以快速找到未來行業的發展方向,少走點冤枉路。如果你關心個人隱私,也可以了解守護每個人安全的密碼之奧祕。 &
【電子書】人手一本的資安健診實作課:不是專家也能自己動手做!(Win10 / Win11適用)
找出問題,提前防範! 在個人電腦上建立具備韌性的自我防禦網 資訊安全,是指對於企業或個人有價值數位資產的保護,達成機密性、可靠性、可用性的目標。資安健診則如同健康檢查;尤其是在 IT(資通訊)環境中,通常富含大量且有價值的數位資產。 以「Windows 桌機」為主要資安對象,輔以「伺服器及網路(含封包)分析」來做資安,是本書創新的嘗試!過往資訊人員導入許多資安系統,是為了保護資訊資產;但組織中最能夠產生資訊資產的不是伺服器而是使用者的電腦,而社交工程或變臉詐騙、APT 先進持續攻擊的對象也是以使用者為主。所以本書的初始設定,就是為了讓每個人都能自行或者是在單位資訊人員的協助下,進行資安健診。 本書分成「網路拓撲和封包分析」、「更新與防毒」、「伺服器與資料庫資安」3 個領域,讓讀者快速檢視自己在職場上所缺少的資安 Knowhow,並教你使用「Windows內建工具」及「網路下載小工具」來進行資安健診,強化資安體質。 目標讀者 ・Win10 / Win11平台的使用者 ・對資安有興趣的組織或個人 ・大專院校資管或資工科系師生 ・負責單位ISO27001的網管或資安人員 本書特色 ❑ 善用 Win10 內建指令,資料收集自動化 以前處理辦公室的資通安全稽核,多採用截圖方式,電子化程度偏低。故本書撰寫之初,就確立透過Win10 提供的系統工具,自動產生資安健診所需資訊。 ❑ GCB 政府組態設定 政府組態設定是行政院技術服務中心為作業系統、伺服器、網通設備的資訊安全設定提供很完整的規範,而且時時在更新。但是一方面這些設定數量龐大,二方面設定後可能影響系統現有運作。所以我們必須結合眾多資訊人員的力量,來作好依循政府組態設定的工作。 ❑ 分析網路封包 書中會介紹 Wireshark 的網路封包分析,並且加上封包的地區標誌(例如來自中國或東歐的封包就需要特別注意)。另外也會介紹封包分析的進階練習網站。 ❑ 提供本書讀者雙向互動機制 資安攻擊行為,會進行長期的潛伏,只要及時阻斷就能避免對企業產生重大損失。本書提供和資訊人員互動的 Google 表單,可以將本書中所操作的資安健診資料提出詢問,透過互動來防範資安危機,資安情資也可以透過互動而彼此提醒。 透過本書你可以學會 —— 網路的架構|監聽與分析封包|分析網路設備的紀錄檔|檢視惡意程式或檔案|防範加密勒索攻擊 &
【電子書】OAuth 2.0 從入門到實戰:利用驗證和授權守護 API 的安全
♛ 台灣第一本 OAuth 2.0 專書 ♛ 帶你一次了解 OAuth 2.0 與 OpenID Connect 的完整流程! Web 平台已是現今網路生態不可或缺的一部分。當建立新的應用程式時,可能會想要取得使用者在其他平台上的資訊,但這個過程充滿了許多資安風險。身為程式與架構的開發團隊,該如何使用正確的技術,來保護應用程式和使用者呢? 本書將會介紹目前最穩定的兩個協定:OAuth 2.0 與 OpenID Connect 的完整流程以及實作。此外,本書在一開始也會介紹身分驗證與授權的基本元素,讓讀者能夠輕鬆理解協定設計的基本原理,而不再是一知半解。 漸進式學習主題 ● 了解身分驗證概論以及 Web 基礎 基礎是非常重要的,在 OAuth 2.0 上更是如此。從身分驗證概論、HTTP 協定的特性、演算法的基礎,接著延伸到身分驗證的實作,這些都是後續理解協定須具備的前置技能。 ● OAuth 2.0 與擴充協定的介紹 本書將整理官方協定,並按適合初學者學習的順序來安排章節。其中包括 OAuth 2.0 的四種基本授權流程、原生應用程式與瀏覽器應用程式的授權流程,以及 OpenID Connect 的三種身分驗證流程,已涵蓋大多數的身分驗證與授權情境。讀者可依實務遇到的情境來選擇適合的流程參考。 ● OAuth 2.0 實戰練習 了解協定後,接著以實作來證明協定的可行性。應用程式的部分,OAuth 2.0 會以 Facebook 為例,OpenID Connect 會以 LINE Login 為例來說明實作的過程;授權伺服器端則是以開源的服務 Hydra 為例,來介紹實際身分驗證與授權中心會需要處理的任務為何。 本書特色 ☑ 參考公開標準和協定撰寫成章 ☑ 循序介紹 OAuth 2.0 基本原理 ☑ 豐富前導知識及相關補充主題 ☑ 身分驗證系統實作經驗分享 目標讀者 ・網頁前端工程師 ・網頁後端工程師 &
【電子書】生活資安五四三!:從生活周遭看風險與資訊安全【第二版】(iT邦幫忙鐵人賽系列書)
這是一本大多數人都可閱讀的資安書籍 & 「認識資安,建立資安風險意識,就跟認識行車用路安全一樣,人人都有瞭解的必要。不論是現實生活或是虛擬網路世界的背後,認識資安帶來的風險與背後的關鍵,可以讓你生活少掉許多麻煩!是現代人需具備的必要本領。」 & 本書內容改編自第11屆iT邦幫忙鐵人賽,Security組優選系列文章──《生活資安五四三!從生活周遭看風險與資訊安全》──是第一本從生活面向來談資安的書籍,目的就是希望讓一般人都能了解資安的那些事。 & 這次推出【第二版】,不僅將原書中所提資安議題作最新資訊的補充,同時還有全新章節,希望透過更加多元的資安新聞面向,讓你對資安議題不是只有認識,還能進一步思考。 & 降低「門檻」:為何一般人容易對資安感到熟悉又陌生?那是因為普遍資安書籍都是給專業從業人員閱讀,但資安其實跟大家的日常生活息息相關,大家也都常在新聞報導看到這些資訊。 & 角度「多元」:從現實生活場景的ATM操作、實體店家信用卡支付,到手機、電腦使用與上網,以及新聞事件,從多個角度讓大家認識到各方面的資安與風險。同時從電影、影集、小說、網紅與Podcast等途徑切入,讓大家都可以藉由自己熟悉的興趣或管道來接觸資安。 & 「一次」掌握:資安領域面向相當廣,但這些給一般人的資安資訊往往散落在各處,本書從多個面向與角度切入,並結合許多你可能沒有特別注意的資安新聞,讓你一次就能得到不同收穫。 & 對資安風險先要有「認識」:去ATM領錢,知道要保護提款卡與密碼,你就已經有資安意識,那麼你知道什麼是弱密碼嗎?為何不要在多個雲端帳戶使用相同的帳密?你真的有妥善的備份觀念嗎?手機的安全更新也有年限你知道嗎? & 認識資安風險目的是為了「自保」:當企業也都在扭轉資安思維,並且開始重視資安,但你要知道,整個環境並不會一下就改變,因此資安就成為現代個人必須掌握的技能。 &
【電子書】數位神探系列-資安密碼-隱形帝國:數位鑑識學院尋探之旅
【目標讀者】 & 本書為「數位神探」系列叢書,推薦給想深入了解目前最新資安&鑑識研究領域,提昇數位偵探技巧的有志之士,或是對目前物聯網、無人機、區塊鏈等新興資訊科技應用的使用者,從資安的角度,認識可能遭遇的風險及可採取的防護措施。 & 好書推薦 & 本書以故事、圖例讓讀者彷彿也身入其境,成為一名資安鑑識學院的學生,由淺入深帶領讀者進入資訊安全、數位鑑識的世界,讓毫無相關資訊背景的人,也能跟著主角的腳步,慢慢從資安鑑識學院成長為一名數位神探。對於生活在資訊化時代的你,已身處大數據、5G、雲計算、人工智能及行動支付等虛實兼容的生態中,必須先有充分的「資訊安全」保障,才能發揮「資訊運用」的美意,本書將會是我推薦給你,能夠帶著你了解資訊安全的首選書之一。--中央警察大學副校長、教授、博士蘇志強 & 這是一本介紹資訊安全的書,而資訊安全是現今科技領域中非常重要的一環,但在書中你卻可感受到佛倫鉅鎖-現代魔法學校的魔法魅力與學習互動,福爾摩斯抽絲剝繭,巨細靡遺的分析推測,終極警探打擊智慧犯罪的鬥智鬥力,及駭客任務中的未來與科技。--國立中央大學資訊工程系、教授、博士 許富皓 & 在這資訊應用快速發展中,人人都應該具備危機意識。你應該也會常常聽到駭客攻防與網路資訊戰的各式情節。當你接觸到了人工智慧、5G 行動網路、網路犯罪以及詐騙等議題,你會對於如何保護資料安全及個人隱私充滿疑慮。那你還等什麼呢?向你推薦這樣一本充滿美意且內容豐富飽滿的「資安書」,我一定也會在我的書櫃中放上一本。--國立嘉義大學資訊工程系、教授、博士 王智弘 &
【電子書】Windows駭客程式設計:勒索病毒(第二冊)原理篇(第二版)
感謝讀者支持,作者修訂精簡第二版嘉惠更多朋友! 要寫出一個勒索病毒,需要多強的程式功力?相信大家的心裡已浮現出技術高強的駭客身影。 然而,當這個模擬勒索程式完成後,撇開永恆之藍等漏洞的使用,我們赫然發現,裡面所使用的程式知識,卻沒有想像中非常地高深,或是遙不可及。 基本的記憶體管理、目錄和檔案處理、較為進階的加密知識、基礎資料結構,行程與執行緒、同步問題、網路通訊,還有Windows圖型介面,其中還包括文字字型、Edit、RichEdit、ComboBox、ListBox、ProgressBar等元件使用,資源的使用,計時器、剪貼簿等運用……幾乎是學習Windows程式所有需要的基本知識,都涵括在內了。 換句話說,只要您將這兩冊勒索病毒程式設計讀完,就可以將大部分Windows程式設計中需要學習的知識全都學習到位。 最特別的是,我們在最後製作了模擬漏洞及針對這個模擬漏洞的蠕蟲,讓大家了解蠕蟲的工作原理,同時也體驗一下蠕蟲快速傳播的可怕威力,對蠕蟲這一支惡意程式有更深入的體驗和了解。 這個勒索程式是個相當完整的專案,非常適合學習,不像一般Windows程式設計,每部份最多只有短短的範例,本書的每個單位的每個範例,最終可以組合成一個大型而完整的勒索程式。希望大家別錯過了這麼完整又龐大又全面的專案學習,只此一本,就可以讓你的功力大增,千萬不要錯過。 &
【電子書】物聯網時代的15堂資安基礎必修課
了解如何檢測物聯網裝置的安全,認識駭客的入侵手法 本書是IoT安全研究人員的真實經驗分享,您可從中學到如何藉由測試IoT系統、裝置和協定來降低風險。藉由本書的說明,您將可以了解如何檢測物聯網設備是否安全,以及入侵者如何執行執行VLAN跳躍、破解MQTT身分驗證、攻擊UPnP、開發mDNS投毒程式及進行WS-Discovery攻擊等攻擊手法的細節。 本書會深入介紹嵌入式IoT設備和RFID系統的破解手法,同時還能學到: ‧如何撰寫一支可作為NSE模組的DICOM服務掃描器 ‧透過UART和SWD介面攻擊微控制器 ‧對韌體進行逆向工程及分析搭配使用的行動APP ‧使用Proxmark3開發NFC的模糊測試工具 ‧利用干擾無線警報系統、重播IP攝影機影片及控制智慧跑步機,展示如何入侵智慧居家系統 使用容易取得的軟硬體,可以自行實作練習 本書使用容易取得,且價格實惠的軟體工具和硬體裝置,實作練習無負擔,有關本書的程式範例亦可自Github下載取得,適合資安研究員、IT團隊成員,想研究駭客技術者,作為破解IoT生態的參考指南。
【電子書】資安這條路:領航新手的 Web Security 指南,以自建漏洞環境學習網站安全(iT邦幫忙鐵人賽系列書)
本書內容改編自第 12 屆 iT 邦幫忙鐵人賽 Security 組佳作網路系列文章 ──《資安這條路 ─ 以自建漏洞環境學習資訊安全》。這是一本專為資安新手寫的教戰指南,以鮮明的圖文、表格讓新手快速掌握資安知識。從基礎的 Linux 指令及知識、網路基礎概論、程式語言 PHP 與資料庫查詢語言 MySQL 基礎,到常見的網站漏洞分析,並以 Docker Compose 建立漏洞環境實戰演練,帶領讀者從理論到實作理解網站資安,一次學會網站安全的原理及應用! ☑ 入門者上手的第1本資安筆記! 本書整理了詳細的資安必備知識,包含網站基礎知識,如通訊封包、網頁架構、後端程式碼、資料庫查詢語言,以及網站常見的安全漏洞,並透過 Docker 與 Docker-Compose 自建漏洞環境,練習網站弱點,以及附上資安學習筆記模板,讓入門者簡單上手、減少學習門檻! ☑ 以 Docker 與 Docker-Compose 練習環境為主,方便快速更好學! Docker可以幫助我們自動化建立應用程式並快速在任何地方執行(如雲端環境或內部機器環境),具有方便與快速的特性,因此本書的練習環境以 Docker 與 Docker-Compose為主。 ☑ 揭露各種攻擊手法,從解析中學會防護做法! 完整介紹常見的身分驗證相關弱點、輸入輸出驗證的相關弱點,讓你了解漏洞成因、攻擊手法與預防方式。 【適合讀者】 ✦新手入門者 ✦對網站安全有興趣的人 ✦想了解網站安全學習路徑圖的人 本書特色 給你入門資訊安全的完整Know How! 以網站安全為基礎,帶你進入資安領域! ★手把手帶你認識資訊安全基礎 ★解析常見的網站安全漏洞弱點 ★自建漏洞環境進行練習與實戰
【電子書】WebSecurity 網站滲透測試:Burp Suite 完全學習指南(iT邦幫忙鐵人賽系列書)
動手實作!探索網頁安全與滲透測試, 從強大的安全測試工具Burp Suite入門。 「每一行寫下的Code,都讓我覺得自己札實的向前邁進了一步;每學會了一個新的攻擊手法,都讓我感受到成為駭客的夢不再是遙不可及。」 ──── 摘錄自序言 本書改編自第12屆IT邦幫忙鐵人賽,Security組佳作系列文章《Web滲透測試 - Burp Suite 完整教學》。本書宗旨在於對Web Security的測試工具Burp Suiter進行操作教學以及功能說明。 Burp Suite是許多資安人員耳熟能詳的工具,也無疑是資安圈Web安全測試中最受歡迎的工具。但大家真的了解Burp所能做到的事情嗎?本書將針對Burp的各項功能進行詳盡的介紹及教學,手把手的帶著大家動手熟悉Burp的操作使用,希望能藉由本書能讓大家徹底了解Burp這個Web安全測試工具。 內容亦不會限於純粹的工具操作介紹,遇到相對應的功能背後需要具備的知識時,也會加以說明介紹,畢竟技術的原理與知識才是在執行滲透測試時最重要的核心,工具則可用來協助或加速去完成我們的測試想法與思路,讓大家不會是一個只會操作工具的工具人。筆者本身於業界執行過許多滲透測試專案,也會於本書中分享實務上的小技巧與經驗。 本書特色 ※從入門到精通 熟悉Burp中各項功能,例如Target、Proxy、Intruder、Scanner和Repeater,成為專業的網站滲透測試人員。 ※從觀念到實作 扎實理解網頁安全測試中所需的知識與原理,正確的學習如何使用工具檢測WEB應用程式中的風險。 ※從自動到手動 了解Burp當中各項自動化測試功能的原理與設定,並學會如何善加利用手動方式挖掘與驗證漏洞。 ※從舊版到新版 涵蓋新舊版本Burp Suite的功能差異說明與介紹,提供給具有不同需求的測試人員。
【電子書】企業資安裁罰案件分析:深度解析27個實際案件,靈活運用資安策略(iT邦幫忙鐵人賽系列書)
台灣第一本,從資本市場的角度, 結合內控、稽核、法遵、風控的角度, 介紹企業資安現況的專書! & ☛以台灣企業實際案例做分析 ☛依金管會三大局處做出明確的分類 ☛篩選出企業資安被裁處的部分做解析 ☛讓企業能有效且快速的掌握金管會對於資安的要求 & 本書內容改編自第12屆iT邦幫忙鐵人賽Security組冠軍系列文章──《資安裁罰案件分析》,也是第一本從資本市場的角度,來探討企業資安的書籍。本書主要藉由金管會證期局、保險局以及銀行局,針對所屬監理企業裁罰的結果,整理出資安相關的部分,並加入法遵、稽核、風險等控管等觀念,深入解析當前企業所需注意的資安重點。也讓企業能藉由實際發生的案案例,了解資本市場資安的現況,並且達到提升資安的目的。 & 本書重點: ♦針對金管會三大局處:證期局、保險局、銀行局所裁罰的案件,做出分門別類,讓讀者能迅速了解當前不同型態產業對於資安的要求。 ♦將資安部分從各裁罰案中篩選而出,並搭配事實及法令依據,讓讀者能夠很快了解資安裁罰的重點。 ♦在案件說明中,加入《提示》,方便讀者了解相關資安及資本市場用語。 ♦每篇裁罰案分析的結尾,皆設有《總結》,讓讀者能在最後掌握每個案件的資安重點以及裁罰結果。 &
【電子書】Windows APT Warfare:惡意程式前線戰術指南
全台第一本反守為攻的資安教戰守則! & 囊括了近年第一線各國之國家級網軍曾使用過的奇技淫巧,從扎實的基礎逐步剖析攻擊原理與復現惡意利用。 & ★內容由淺入深,務使讀者打下最穩固的基礎,讓所學更能應用在實戰上 ★編譯器原理、作業系統與逆向工程實務,一次網羅學習逆向工程的三大主題 ★全台第一本,從攻擊方角度剖析網軍在野行動所使用過的軍火細節,化被動為主動更能見招拆招! ★軟體工程師、資安研究員、逆向工程愛好者、滲透測試人員、資安防護產品工程師、對駭客技巧有興趣者的必備好書 & 本書是作者以自身逆向工程十年的經驗累積而成,其中結合了編譯器原理、作業系統與逆向工程實務三者混著介紹的書;坊間已經有了許多獨立介紹單一主題且非常深度的書,然而逆向工程實際上需要有這三個不同領域都非常扎實的基礎與脈絡才能融會貫通,作者因而催生了撰寫一本專為逆向工程有興趣的入門者撰寫書籍的想法。 & 此書內容由淺入深,從基礎的C語言原始碼開始談及編譯器如何將它編譯,並且遵照可執行檔案格式(PE)封裝為靜態*.EXE檔案,接下來是作業系統如何解析*.EXE檔案並裝載為Process使其能真正的執行起來的完整流程。其中,除了介紹扎實的作業系統實現基礎外,並帶以各國網軍(如 CIA、海蓮花、APT41)曾玩轉這些基礎的惡意利用手段,使讀者能一窺網軍如何操作這些奇技淫巧來打擊防毒軟體。這本書的內容能讓無論是網軍、逆向工程愛好者甚至威脅研究員都能以紅隊視角打下對PE格式扎實的基礎! & 本書線上資源下載 github.com/aaaddress1/Windows-APT-Warfare
【電子書】改變歷史的加密訊息(iT邦幫忙鐵人賽系列書)
把生活和工作的經驗向下扎根,讓資訊安全變得有趣 本書內容改編自第11屆iT邦幫忙鐵人賽資訊安全組佳作《改變歷史的加密訊息》,採用以「報導式」的方式導讀資訊安全事件。以「生活化」、「大眾化」,還有作者擁有的強項「數位典藏」和「歷史敘事」,能讓讀者閱讀後,理解原來資訊安全,能透過生活和工作,讓資訊安全變得有趣,這與技術實戰其實是有異曲同工的作用。 本書特色 ●深入淺出的報導式導讀資訊安全事件。 ●生動有趣的生活式撰寫資訊安全事件。 ●典藏歷史的敘事式分析資訊安全事件。
【電子書】力抗暗黑:Azure資安天使的逆襲(iT邦幫忙鐵人賽系列書)
鮮少的Azure資安中文書,透過電玩改編融入資安25+的安全技法,讓你更快入坑不停歇 ◎各技法篇章的暗黑電玩劇情,讓資安不無聊 ◎各篇章技術情境與基礎架構更有概念性了解 ◎各篇章透過簡易實驗示範,讓你一步步走出自己的活路 本書內容改編自第11屆iT邦鐵人賽Security組冠軍系列文章《麻瓜不敗!白魔法藍天煉金術》,安全的相反邊就是不安,在看我們與惡的距離時,閃過人性的黑暗,資安的相反邊儼然連結到駭客、暗網,都恰恰活躍在網路的世界。而自己也把玩Azure幾個年頭,一時興起與暗黑破壞神做了連結而誕生本書,內容列出的安全示範雖然只是Azure安全的一小塊,但萬事起頭難,希望透過網路、身分、平台、主機與資料各個視角,而有一些小小概念基礎,之後無論Azure、AWS、GCP等其他雲端平台安全,都能有清楚的安全基準,進而實踐出屬於公司企業或個人的雲端平台安全道路。 本書重點 ◎初始篇章:網路安全 網路拋開細節定義,其實就是外對內或內對外相互傳遞回應交換的過程,洪流攻擊之廣,不僅僅只是國內,跨國更是常見,故選用DDoS及FrontDoor作為全域性安全角色,而Bastion、NSG、ASG及Firewall都視為生活日常必需品,不要輕忽了最基本的安全性。 ◎初始篇章:身分安全 除了在原萃的角色存取指派的基礎之外,對於雲端平台原有的服務上再塗上一層薄薄的加值服務,讓你的零信任機制可以更為落實,搭配應用程式防護,無論是防範未然或是事後追查,都有更全面的保障。 ◎中間章程:平台安全 一切服務根基發展好壞與否,都與無名英雄居住平台有強烈連結,透過兩大支柱:「合規原則」讓平台面對到多元的企業情境,都能符合最適的健全體質;而另個強勢主力「資訊安全中心」除了自家雲端平台IaaS與PaaS,也照顧到其他雲與企業間的混合,不只有智慧偵測,主動的安全控制更是價值所在。最後搭配監視告警的IT日常,讓作業更完善。 ◎中間章程:主機安全 主機端點防護,自己腦中第一時間閃過防毒,然而現今世界早已無法因應,能越早預先準備、入侵偵測、自動化調查回應等一連串的循環,才可能如此從容面對。而最後的一哩路,人為或天災讓主機保不住了,能否在損失風險最低的情勢下,核心服務仍可提供,已失去的至少不會洩密釀災。 ◎最終對決:資料安全 最終付出一切代價,就是為了擁有商業價值的東西得以保全,無論資料型態為何,都希望從原始碼製作,到新技術容器媒介,再到資料庫與儲存體,都可以讓每項關卡有庇護所保護著,而本身的加密工廠也受到重重保護,讓非法者拒於門外。
【電子書】Web開發者一定要懂的駭客攻防術:告訴您駭客的手法,同時告訴您如何進行防禦
網頁系統(Web)的生態已讓人難以想像,原以為網際網路是由專家精心設計而成,它所處理的一切事物都充滿理性,事實上,它的發展過程是高速而隨性的,現今,人們在網際網路的所作所為已遠遠超出原創者的預想。& & 維護網站安全似乎成了艱鉅任務。網站是一種獨特的應用軟體,能夠即時向數百萬名使用者發布訊息,這些使用者也包括積極活動的駭客們。大公司時常會遭受資安危害,每週都有新的資料外洩事件,面對這種情況,孤獨的Web開發人員要如何保護自己呢?本書會提供開發人員必須知道的重要威脅,並按部就班說明防禦攻擊的實際步驟。& & 本書將告訴您駭客是如何攻擊您的網站,同時告訴您如何進行防禦措施。每個安全漏洞都以一個專章進行探討,並以真實世紀的案例作為說明,告訴您如何漏洞所在以及如何進行修補。熟習本書所介紹的攻防手法,可以幫助您開發出更加安全、滴水不漏的系統,成為一位更加優秀的開發人員。& & 透過本書,您將可以了解:& .如何預防SQL注入攻擊、惡意JavaScript和偽造的跨站請求。& .如何利用認證機制以及存取權限的管理更有效地保護帳號。& .如何鎖定使用者帳戶,防止依靠猜測密碼、竊取會話或升級權限的攻擊。& .加密的實作方法& .如何管理古老系統中的漏洞& .如何預防訊息洩露造成的漏洞洩漏& .如何防堵惡意廣告和拒絕服務之類的攻擊手法& &
【電子書】突破困境:資安開源工具應用(iT邦幫忙鐵人賽系列書)
完全採用自由與開源軟體實作的資訊安全提升策略 讓你可以直接使用在現有環境的入門指南 & ♚提升服務的可用與容錯能力 ♚確保資料的正確與備份能力 ♚加強裝置的運作與檢測能力 & 本書改編自第11屆iT邦鐵人賽Security組佳作《突破困境:資安開源工具應用》,也是第一本完全採用自由與開源軟體套件組成企業資安應用的本土專書。 & 這是一本由實際經驗所累積而成的應用範例,針對了各種不同資安面向的角度,佐以相對應的自由與開源軟體,來協助企業逐步打造安全提升的基石,更重要的是這些皆為立即可以進行安裝與使用的軟體,只要願意捲起袖子動手實作,隨時可以體會到這些軟體所為我們帶來的改變。 & 在介紹每一套自由與開源軟體之後,同時一併介紹作者所知的對應商業產品,方便讀者在評估商業產品時的資訊蒐集。 & 【實用技巧】 ♞監視裝置與服務運作 自動化監視設備與服務是否正常運作,以歷史數據趨勢判斷問題發生頻率與原因收斂,並且在發生障礙時立即告警,讓管理員可以提早進行應變準備。& & ♞事件記錄收集與分析 將所有裝置的記錄統一收容存放,並針對不同的記錄產製方式提供擷取工具,最終依據內容分析做出相對應圖表與表格,協助管理者快速判斷問題脈絡。 & ♞重要資料遠端備份 讓企業的重要資料文件簡單快速複寫到本地、異地與雲端進行存放,提供加密傳輸與加密儲存,讓資料機密確保無虞,並且能夠在災難來臨時從容還原檔案資料。 & ♞密碼管理與安全驗證 系統管理員握有大量的帳號密碼,在此提供功能齊全且方便的管理軟體,整合雙因素驗證集中使用,並搭配自動填入方案,避免複製貼上帶來的密碼外洩與輸入麻煩的兩大問題。 & ♞網路位址管理與自動更新 可以在面對為數眾多的裝置與人員時,使用IP管理系統正確管理IP清單與更新,是達成資安管理的重要前提之一。 &
【電子書】資訊安全生活、行動智慧應用與網駭實務
「資安」,現在正夯,那是因為:科技的趨近完美、完整,沒有「安全」與「保障」的背書加持,總是少了那內心的「放心」,也就是「安全感」。那不就是我們掛在嘴邊的「安全」。資訊科技發達與文明交互作用的熱潮下有了經常掛在嘴邊的「資安即國安」口號,在「資安」加持下也成就了世界潮流與科技的最佳保護傘。這些「資安」歷史、 發展、追逐、互動、攻防與省思盡在我們呈現給您的書中,重點大綱如下: & 安全系統基礎篇關於資訊安全基礎原理,述說著人類祕密的源頭和資訊安全的根本原理與歷史發展,得以從中理解密碼學的奧秘,以便挖掘隱藏在祕密背後的真實面貌。 & 資通與社交平台安全篇談論在現代網際網路底下應具備的合理觀念,透過多種反例使讀者瞭解資訊犯罪的樣貌,進而建立良好與正確的資訊素養。同時廣納熱門安全議題如:雲端運算與巨量資料上的應用、4G至5G行動網路的應用、行動裝置應用與社交網路服務等。 & 網路與多媒體安全篇介紹隱藏在人類網路生活背後的技術與其安全議題,例如:憑證中心處理過程、VPN網路協定、PGP資料加密、網路安全交易SET/SSL等。 & 駭客攻防安全篇收納與駭客相關的安全主題,自經典的電腦病毒至近期時興的搶灘遊戲,類型包含網頁、加解密、鑑識、逆向工程等,從解謎式的玩樂中理解漏洞與弱點,進而加強自身的資安能力。 &
【電子書】Windows駭客程式設計:駭客攻防及惡意程式研發基礎修行篇
❖踏得更穩,才能跳得更高❖ 「我學會C/C++了,但是我還是看不懂惡意程式。」 「我想了解惡意程式,那我要先學些什麼呢?」 我們接到太多類似的問題,我們赫然發覺,有些人是不知道怎麼跳,有些人是一口氣跳得太高。 踏得愈穩,跳得更高的道理,我們大家都懂,那麼,去了解惡意程式,要從何開始呢? 這本書就是為了這個目的而寫的。我們將需要的軟體,安裝程序及基本操作以圖一步步地講解,貫徹「手把手教學」的宗旨。並將最重要的幾個基本知識,以大量的實際可執行的範例講解讓大家了解,不像坊間許多書本僅僅以文字說明。 本書適用對象: ◆未來勵志朝Windows駭客之路邁進者 ◆欲報考資工碩班者 ◆想學網路程式設計或遊戲開發者(尤其是多執行緒) ◆想了解電腦科學基本原理者
【電子書】Kali Linux滲透測試工具(第三版):花小錢做資安,你也是防駭高手
專為繁體中文環境而編寫的Kali工具書 這是一本專為繁體中文環境而編寫的Kali工具書,本書根據入門學習與滲透作業實務需要編寫。透過淺顯易懂的實例,解說如何活用弱點掃描工具,提昇測試作業效率,為架構安全的網路環境做最完善的準備。 專為駭客打造的Linux系統 Kali是一套專為滲透測試所發行的Linux版本。預載了500套左右的資安相關程式,涵蓋了漏洞分析、Web程序、密碼攻擊、無線攻擊、漏洞利用、嗅探/欺騙、逆向工程、壓力測試、數位取證等,這些工具除了是駭客必備之外,也是滲透測試工作不可或缺的輔助程式。 模擬駭客攻擊的測試手法,用實戰標準評估資安防護的程度 本書所講的漏洞主要著眼於資訊系統漏洞,因為資訊系統漏洞可以直接進行測試及評估,評估方式與駭客攻擊極為相似,滲透測試手法幾乎等同駭客攻擊,最能模擬真實的網路攻擊型態,以評估組織的資訊防護機制。 本書特色: .以2019.2、2019.3版Kali為藍本而寫編 .支援多國語系作業及繁體中文輸入作業 .佐以實用Linux指令,減低入門學習障礙 .精挑常用滲透工具,提升實務作業效率 .內容兼具入門學習及滲透作業實務需要 .利用實例語法說明,工具應用清楚易懂 .設定及啟動OpenVAS,活用弱點掃描工具 .安裝及設定Nessus,強化漏洞挖掘火力 .配合最新版Metasploit修訂專章內容 .專為網站滲透提權的「一句話木馬」介紹 .因應網路變化,強化Wi-Fi及IPv6內容 .新增藍牙設備的滲透測試作業專章 .更豐富的暴力密碼破解內容與實例
【電子書】Windows駭客程式設計:勒索病毒加密篇
揭開隱藏在視窗底下的封鎖危機 若想要了解駭客,研究電腦病毒是一個不錯的方式。病毒的設計,充滿了駭客天馬行空的想像及創意。尤其是歷史悠久的病毒,那更是經過好幾代不斷地精心修改,簡直可以說是千錘百鍊的藝術品。 這麼多病毒,為何選擇勒索病毒?其實,是它的鮮紅色的畫面吸引了我的注意。勒索病毒至今已有30年歷史,到目前仍困擾許多人們,其獨特之處值得作為研究的對象。本書將逐步重現勒索病毒的全貌,其中駭客的思路和創意,相信會帶給讀者相當大的啟發,並希望透過閱讀之後都能獲得滿滿的收獲。 製作出一隻勒索病毒,需要多少知識?翻開這本書,你想知道的答案都在裡面。
【電子書】e科技的資安分析與關鍵證據
本書主要的目標是希望讀者可以在電腦與網路的快速發展和普及應用下,了解依賴傳統證據為主的鑑識方法,已經不足以對抗科技導向的資訊犯罪案件,現今人們交流的資料大都已電子化,稍有不慎都將導致資訊犯罪案件不斷出現。因應新型態的高科技犯罪,本書大綱如下: 1.證據取得 首先說明如何利用數位科技與嚴謹的檢查程序,從電腦/網路系統或其他硬體儲存媒體設備中,找尋與犯罪行為連結的實體或邏輯證據。且對於證據力的儲存與管理該注意哪些事項,以便確保從證據的蒐集、分析到最後呈現於法庭上完整的數位證據管理鏈。 2.鑑識工作 著眼於在不同作業系統平台(Windows/Unix/Linux)上該如何進行所需要的鑑識工作,包含數位鑑識軟體簡介、基礎操作方式等。期能因應在重要系統的資安入侵事件發生後,能在第一時間記錄入侵點,以保留最後的數位證據。 3.手機鑑識 介紹手機目前的發展狀況、操作手機鑑識時應注意的流程及要點、手機資料的萃取方式及分析手機的鑑識軟體,以提升在面對手機等可攜式裝置的鑑識能力。 4.科技資安應用 介紹網路的數位證據如何辨別及蒐集,並針對熱門的網路社群應用該如何進行鑑識工作做說明。並討論雲端運算、雲端列印等重要的網路相關服務,更加地熟知科技資安的重要性。
【電子書】資安專家的nmap與NSE網路診斷與掃描技巧大公開
nmap的運用領域包括網路問題診斷、網路安全稽核、滲透測試、駭客攻防,結合腳本引擎(nmap script engine)後,還可以自動完成諸如身分驗證、封包廣播、暴力破解、DoS等各式各樣複雜的網路掃瞄任務。 藉由本書,您將可以了解: .網路掃描的基本觀念與注意事項 .隱蹤掃描的技巧 .活用nmap script engine(NSE)自動完成網路掃描 .隨書附贈500多支可立即使用的腳本
【電子書】打造安全無虞的網站-使用ModSecurity
相信大多數的程式設計師都曾有過類似的經驗,在專案時程的壓力下,通常程式在撰寫完成後,經過簡單的功能測試後即會將程式上線,大多沒有辦法充份的測試功能面以外的狀況,更別說是針對安全的測試。在此情況下,經常會造成上線的網頁程式存在潛在的資安問題,最常見的即是因為程式未能適當的過濾輸入參數而造成的資料庫隱碼攻擊(Sql injection)的漏洞,造成線上資料庫損毀或資料庫內的資料外洩。 LAMP相信是開源碼社群中網站解決方案的首選,挾其優異的效能及穩定性,早已為各界所肯定,也是目前應用最廣的網站解決方法,但此方案並未提供安全上的防護。因此在本書中,將為讀者介紹如何使用開源碼社群中,最富盛名的網頁防火牆軟體,名稱為ModSecurity來為Apache網站伺服器加上網頁防火牆的功能,來增強網站伺服器的安全防護能力。 本書特色 ★按圖施工,保證成功 ★零預算的資安解決方法 ★為網站伺服器加上金鐘罩 ★大量案例實作,全面解析
【電子書】職業駭客的修練-機械碼與底層的把玩藝術
就是這一本,讓你從程式設計師晉身為職業駭客。 這是一本寫給程式設計師的,也是寫給想成為職業駭客的書。因此,本書採用程式設計師最熟悉的開發環境Visual Studio作為反組譯的工具。本書會以C語言的程式為例,編譯後再反組譯,一步一步教會您如何解析機器碼對應的組合語言,找出程式的關鍵之處,透過特定的手法來破解程式,例如略過密碼檢查、修改遊戲金幣等等。此外,考量到駭客的實際工作環境,也會對於Windows PE進行初步的介紹。
【電子書】你的手機中毒了!:搶救上網變慢、異常耗電、APP閃當、簡訊發不了的隱藏危機
◆2012年,美國FBI警告在旅館使用wifi若跳出軟體更新視窗,該小心是否為惡意人士所為。 ◆2013年,手機病毒全球數量較往年增加163%,新增病毒達80餘萬個。 ◆2014年2月,有民眾檢舉,位於台北捷運忠孝復興站內的某旅遊大型廣告上的QRcode竟會連向色情網站,並下載可疑apk程式。 ◆2014年4月,北市刑大資訊室指出,歹徒運用line進行小額詐騙的受害人數,近3個月有674人,總金額達177萬元。 ◆2014年5月,提供企業滲透測試服務的DECVORE指出,近來服貿核四議題投票簡訊,乃中國某駭客集團針對iOS手機發出。 ◆2014年6月,CM Security安全實驗室在安全月報上指出,全台五月份約有2萬支Andriod手機遭受病毒感染。 以上手機個資安全受到威脅的新聞,多不勝舉,再再顯示出: 你不是在一個安全的環境下使用手機。 本書特色 ◎海豚男有趣四格漫,甩開防毒硬知識,提高警覺舉一反三輕鬆辦到! ◎手機優化安全設定全程圖解,看圖滑滑點點,安全彈指完成! ◎防護效率最高、最省電、最不擾人的防毒軟體實測評鑑! ◎正確無慮的排毒觀念與步驟! 或許有人會認為手機的「資安防護」「病毒預防」或「防止入侵」等,是專家才要懂、才會懂的事, 但實際上,手機是貼身之物, 個資會洩漏當然是惡意駭客所為,但絕大部分都是自己某個不經意的操作才會讓其得逞, 所以最有效的防護方法,只能自己做,專家代替不了你。 本書邀請到人氣部落格插畫家海豚男,畫出18則有趣四格漫畫, 讓您輕鬆瞭解到是做了什麼事才讓手機個資洩露, 再告訴您駭客使用的手法原理,讓你舉一反三,面對各種可疑狀況都能提高警覺。 並且詳述預防方法,講操作就必有圖解,讓你看圖做,簡單幾步就完成安全設定。 當然手機防毒軟體是一定要裝的, 但是你是否知道曾經有過病毒偽裝成防毒軟體App的案例呢? 而且哪個牌子能在最安全的前提下,能有最不擾人、最不耗電的表現? 這些我們都逐一實測,告訴您答案。
【電子書】你的手機中毒了!搶救上網變慢、異常耗電、APP閃當、簡訊發不了的隱藏危機
◆2012年,美國FBI警告在旅館使用wifi若跳出軟體更新視窗,該小心是否為惡意人士所為。 ◆2013年,手機病毒全球數量較往年增加163%,新增病毒達80餘萬個。 ◆2014年2月,有民眾檢舉,位於台北捷運忠孝復興站內的某旅遊大型廣告上的QRcode竟會連向色情網站,並下載可疑apk程式。 ◆2014年4月,北市刑大資訊室指出,歹徒運用line進行小額詐騙的受害人數,近3個月有674人,總金額達177萬元。 ◆2014年5月,提供企業滲透測試服務的DECVORE指出,近來服貿核四議題投票簡訊,乃中國某駭客集團針對iOS手機發出。 ◆2014年6月,CM Security安全實驗室在安全月報上指出,全台五月份約有2萬支Andriod手機遭受病毒感染。 以上手機個資安全受到威脅的新聞,多不勝舉,再再顯示出: 你不是在一個安全的環境下使用手機。 本書特色 ◎海豚男有趣四格漫,甩開防毒硬知識,提高警覺舉一反三輕鬆辦到! ◎手機優化安全設定全程圖解,看圖滑滑點點,安全彈指完成! ◎防護效率最高、最省電、最不擾人的防毒軟體實測評鑑! ◎正確無慮的排毒觀念與步驟! 或許有人會認為手機的「資安防護」「病毒預防」或「防止入侵」等,是專家才要懂、才會懂的事, 但實際上,手機是貼身之物, 個資會洩漏當然是惡意駭客所為,但絕大部分都是自己某個不經意的操作才會讓其得逞, 所以最有效的防護方法,只能自己做,專家代替不了你。 本書邀請到人氣部落格插畫家海豚男,畫出18則有趣四格漫畫, 讓您輕鬆瞭解到是做了什麼事才讓手機個資洩露, 再告訴您駭客使用的手法原理,讓你舉一反三,面對各種可疑狀況都能提高警覺。 並且詳述預防方法,講操作就必有圖解,讓你看圖做,簡單幾步就完成安全設定。 當然手機防毒軟體是一定要裝的, 但是你是否知道曾經有過病毒偽裝成防毒軟體App的案例呢? 而且哪個牌子能在最安全的前提下,能有最不擾人、最不耗電的表現? 這些我們都逐一實測,告訴您答案。
【電子書】Word精用密技字典
出色的文件來自於靈活運用Word各式功能,只要你想得到的、不知如何下手的,皆可在本書中查找到解決方案。從基本的文書編輯、段落設計、表格製作,甚至是進階排版、列印輸出、製作精美圖表等等,也可以在本書中一一學到。與他人共同進行文件合作,不僅提高工作效率及生產力,另外有復原功能隨時監控,避免遺失執行中的工作。
【電子書】站長親授!WordPress 3.0部落格架站十堂課
只有在這本書中,你才能看到集結台灣十餘位老練WordPress站長們的多年功力大爆發!(Vista、艾德、Pseric、MUKI、阿正老師、高登、阿湯、Elvis、簡睿、香腸、阿祥......等)「全新WordPress 3.0架站專書,不只是部落格」:2010年中,世界上最知名、最普及的部落格架設工具:WordPress,升級到了WordPress 3.0。這次的更新,除了在部落格架設功能上的增強外,更重要的意義在於讓WordPress更趨近於一個成熟的「內容發佈平台(CMS)」,形象化的說,你現在不僅可以用WordPress 3.0架設出部落格,也可以很簡單的架設出購物網站、商品網頁、影音相簿、遊戲平台、小組論壇、各種檢索資料庫,讓WordPress成為依據需求彈性建立網頁內容的利器。「強化版面設計、特效修改技巧」:本書從前作「WordPress部落格架設與經營:站長親授的十堂課」的基礎出發,將更進一步的傳授進階且實用的架站技巧,包含版面設計觀念、特效修改技巧,以及讓部落格超越部落格的獨門心法。在世界上已經有許多網頁設計師直接利用WordPress接案架站,製作出各式各樣的網頁,相信讀完本書的你也可以做得到。「架站實務經驗、常見疑難排解、網站安全維護」:此外,這次在架站的基本功上也將有更深入的探討,包含最好上手的架站流程資訊、目前最頂尖的外掛程式、連結最新的社群SEO功能,並且加上你在市面上其它書籍看不到的:「架站安全防禦技巧」、「網站優化密技詳解」,透過本書,你將可以架設出最優秀的部落格或網站。主力作者群:Vista: http://blog.vista.tw/ 艾德: http://edblog.net/ Pseric: http://www.freegroup.org/ MUKI: http://blog.mukispace.com/ 阿正老師: http://blog.soft.idv.tw/ 高登: http://gordon168.tw/ ㄚ湯: http://steachs.com/ Elvis: http://moonpoet.com/ 簡睿: http://jdev.tw/blog/ 香腸: http://sofree.cc/ 阿祥: http://www.axiang.idv.tw/
【電子書】Word 真.密技字典
你是否曾在使用Word時,發生無法順利排除的突發狀況?你知道有些不順的操作步驟,其實可以透過修正設定,讓你編輯文件更為得心應手嗎?Word作為輔助每個人學習及工作的重要工具,除了依照原本系統設定的使用方法外,其實還隱藏著許多便捷好用的功能,留待使用者根據自身需要調整。本書搜集了各類關於Microsoft Office Word 2007的各類便捷密技:文書編輯、圖文設計、表格製作、列印輸出……Word強化技巧全公開!
