駭客退散!站長、網管一定要知道的網站漏洞診斷術

  • 館長推薦 ★★★★★
? 快來將您對閱讀的熱情和對書籍的想法分享給所有讀友,每完成一篇讀者書評並審核通過者,即可獲得讀者書評點數,點數還可換電子禮券唷!
分享:

商品訊息

  • 追蹤分類 ? 追蹤分類後,您會在第一時間收到分類新品通知。
  • 作者:上野宣 追蹤作者 ? 追蹤作者後,您會在第一時間收到作者新書通知。
  • 出版社:碁峰資訊 追蹤出版社 ? 追蹤出版社後,您會在第一時間收到出版社新書通知。
  • 出版日:2017/8/31
  • ISBN:9789864764853
  • 適讀年齡:
  • 定價:480
  • 特價:85408
  • 紅利可抵: 12 ? 除單一商品售價低於50元或特價折扣低於3折(含)以下者,其餘商品均可使用紅利點數。
  • 到店取貨: ? 『金石堂』門市取貨免運費。
    『全家、OK、萊爾富、掌櫃』滿350元,免運費;350元以下,運費20元。
    宅配: ? 滿1,000元,免運費
    490元-999元,運費50元
    490元以下,運費65元
  • 配送地區: 全球、 香港OK、 台澎金馬
  • 付款方式: ATM、 信用卡、 LINE Pay、 街口帳戶支付、 貨到付款、 PayPal、 FamiPort、 取貨付款
  • 預計 2019/8/28 出貨 購買後進貨 查詢門市庫存 ? 若您欲在金石堂門市購買商品,請選擇欲查看庫存之門市。網頁之「庫存狀態」僅供參考,實際貨況以門市為準。 團體訂購

強力推薦

內容簡介

跟著做,您也能學會如何找出網站漏洞

本書是針對想開始著手進行漏洞診斷的人,對於執行漏洞診斷所需之基礎知識與技術進行詳盡解說的一本入門書。

本書的前半部份,針對於網頁應用程式是以什麼樣的機制來進行通訊的,而會引起什麼樣的問題,實施漏洞診斷需要什麼樣的HTTP相關知識等,進行說明。除此之外,還會對於網頁應用程式所會遭受到的攻擊為何、有哪些種類等,從基礎開始加以解說。

在後半的實踐篇部份,將以一個名為「BadStore」的虛擬購物網站來做實戰練習,藉此學習漏洞診斷的手法。我們將針對使用名為OWASP ZAP的自動工具來進行診斷的方式,以及使用名為Burp Suite的手動診斷輔助工具來進行診斷的方式來進行解說。在最終章節,我們將說明執行漏洞診斷時,所需要注意到的相關法規與準則。

在習得漏洞診斷的手法之後,各位便可對安全性進行客觀的判斷。除了網站應用程式的安全負責人、開發人員之外,對於經營者的各位而言,相信也是非常值得推薦的一本書。

問題發生之前,對於下述項目之中若有任何一項讓您感到擔憂的話,務必參閱本書!
.您對目前所採取的安全措施是否有信心?
.購物網站的搜尋功能是否安全?
.對於個人資訊之洩漏是否已採取防範措施?
.是否有具備帳號竊取防止措施?
.是否有具備防止惡意的寫入行為之防範措施?
.是否有在不知情的情況下傳送電子郵件給第三者?
.是否有具備防止密碼被截取之防範措施?
.不該被存取的資源是否已被存取?
.是否有確保安全的通訊路徑?
.商品的資訊是否有被改寫?

作者

上野宣(UENO・SEN)

株式會社Tricorder 代表取締役
曾於奈良尖端科學技術研究所大學專攻資訊安全,經歷過電子商務開發企業於東京證交所上市,2006年設立株式會社Tricorder。向企業及政府提供網路安全教育與訓練服務、平台/網頁應用程式之漏洞診斷服務。
身兼OWASP Japan分會負責人、資訊安全專門雜誌《ScanNetSecurity》編輯長、Hardening專案執行委員、JNSA ISOG-J WG1負責人、SECCON執行委員、安全集中營首席講師、獨立行政法人資訊處理推廣機構 安全中心研究員等職務。

目錄

《基礎篇》
第1|何謂漏洞診斷
說明何謂漏洞診斷。我們將針對網路及網頁應用程式的漏洞為何,以及如何去找出其漏洞的手法。

第2|診斷所需的HTTP基礎知識
針對網路上最為廣泛應用的通訊協定:HTTP進行解說。
我們將學習到名為HTTP的通訊協定之機制,以及以傳送訊息進行溝通之結構等。

第3|網頁應用程式的漏洞
針對網頁應用程式的漏洞進行解說。說明網頁應用程式遭受攻擊的方式,以及有哪些攻擊的種類。

第4|漏洞診斷的流程
說明網頁應用程式漏洞診斷的流程。我們將說明在實施診斷前需要做什麼準備,以及該如何進行漏洞診斷、其實施步驟為何。

第5|實作練習環境與其準備
針對漏洞診斷所需之診斷工具、網頁瀏覽器、實作練習環境的設定等進行解說。

《實作篇》
第6|以自動診斷工具實施漏洞診斷
介紹自動診斷工具「OWASP ZAP。我們將學習到如何使用自動診斷工具實施漏洞診斷之基礎程序、OWASP ZAP的基本操作、漏洞診斷的實施方法等。

第7|以手動診斷輔助工具實施漏洞診斷
介紹手動診斷輔助工具「Burp Suite。我們將學習到使用Burp Suite來實施漏洞診斷的步驟、漏洞診斷時的判斷標準、診斷清單的製作方法、Burp Suite 的基本操作、各種工具的使用方法、漏洞診斷的實施方法等。

第8|診斷報告書的製作
說明漏洞診斷實施後結果來製作、彙整診斷報告書之中,所該記載事項為何及各項漏洞的報告方式、風險評估的評比方式等進行解說。

第9|相關法規與準則
針對漏洞診斷相關法律、診斷時的規則及診斷結果的處置方式、安全相關標準與準則等來進行解說。

附錄「實作練習環境的設定(Oracle VM VirtualBox)
介紹使用可作為實作練習環境之免費軟體Oracle VM VirtualBox的設定方法。

序/導讀



隨著網頁應用程式的問世及盛行,也同時成為駭客攻擊的主要目標。不過,防守方也並非束手無策的待宰羔羊,用以製作安全的網頁應用程式之製作手法也因應地被確立出來了。只要依循安全的網頁應用程式的製作方式並加以實踐,的確可達到防範攻擊的目的,但遭到攻擊而受災的網站仍層出不窮。這些網站是否有依循真正安全的做法來執行呢?而且,是否有經過驗證嗎?

本書著墨於找出漏洞(Vulnerability)所需的手法,也就是針對「漏洞診斷」一事,來進行講解。「漏洞」乃為程式BUG的一種,而BUG之中可被拿來惡用者,則稱之為漏洞。此外,存在著此等脆弱性的部份,也被稱作「安全性漏洞」。所謂的「漏洞診斷」,乃用於確認並找出該系統的漏洞存在於哪裡的一種技術。也就是說,漏洞診斷是用來找出該系統中能夠作為濫用的BUG的一種技術。更進一步,透過漏洞診斷,還可找出安全功能上有所不足的部份等。此外,漏洞診斷也有人稱之為「安全診斷」。

目前,漏洞診斷作業多半都是由網路保全公司來實施的,故很容易被誤解為必須要由具備有名為漏洞診斷之特殊技術,且熟習此道的安全專家,才可實施漏洞診斷作業。然而實際上並非如此。只要知悉其手法,並學習執行方式,任何人都可以駕馭此等技術的。更進一步,若由熟知此系統規格的開發端來進行漏洞診斷,比起對該系統完全不熟悉的安全專家,甚至會有表現更加出色的可能性存在。

藉由本書,讀者可學習到執行網頁應用程式之漏洞診斷所需要的基礎知識、進行診斷所需要的工具,以及如何才能有效率地來找出漏洞之診斷手法、報告書的撰寫方法等。衷心希望本書能夠帶給網頁應用程式開發人員、欲對所委外開發的系統執行驗收檢查的業主、想要學習網頁應用程式漏洞診斷技術的學生等,眾多工作上、生活上與網路息息相關的人們帶來助益。

詳細資料

詳細資料

    • 編/譯者
    • 楊季方
    • 語言
    • 中文繁體
    • 規格
    • 平裝
    • ISBN
    • 9789864764853
    • 分級
    • 普通級
    • 開數
    • 18開17*23cm
    • 頁數
    • 320
    • 出版地
    • 台灣
    • 適讀年齡

訂購須知

下載『金石堂APP』並開啟推播設定,隨時掌握出貨動態:

Google play
App Store

    商品運送說明:

  • 本公司所提供的產品配送區域範圍目前僅限台灣本島。注意!收件地址請勿為郵政信箱。
  • 商品將由廠商透過貨運或是郵局寄送。消費者訂購之商品若無法送達,經電話或 E-mail無法聯繫逾三天者,本公司將取消該筆訂單,並且全額退款。
  • 當廠商出貨後,您會收到E-mail及APP出貨通知,您也可透過【訂單查詢】確認出貨情況。
  • 建議您可下載『金石堂APP』並開啟推播設定,即可收到出貨通知。
  • 產品顏色可能會因網頁呈現與拍攝關係產生色差,圖片僅供參考,商品依實際供貨樣式為準。
  • 如果是大型商品(如:傢俱、床墊、家電、運動器材等)及需安裝商品,請依商品頁面說明為主。訂單完成收款確認後,出貨廠商將會和您聯繫確認相關配送等細節。
  • 偏遠地區、樓層費及其它加價費用,皆由廠商於約定配送時一併告知,廠商將保留出貨與否的權利。

提醒您!!
金石堂及銀行均不會請您操作ATM! 如接獲電話要求您前往ATM提款機,請不要聽從指示,以免受騙上當!

預計 2019/8/28 出貨 購買後進貨 查詢門市庫存?

36