main menu
首頁 登入 常見問題 信用卡優惠 我的訂單 出版社 英文電子書 英文電子書輔助分類 英文實體書 英文實體書輔助分類 聯絡我們 條款及細則
hkbookcity logo
精確搜尋
登入     購物車
繁體 English 简体 French

駭客退散!站長、網管一定要知道的網站漏洞診斷術
 
作者: 上野宣 
譯者: 楊季方
書城編號: 1298313

原價: HK$160.00
現售: HK$152 節省: HK$8

購買此書 10本或以上 9折, 60本或以上 8折

購買後立即進貨, 約需 7-12 天

 
 
出版社: 碁峰資訊
出版日期: 2017/09
頁數: 320
尺寸: 17x23
ISBN: 9789864764853

商品簡介
跟著做,您也能學會如何找出網站漏洞

本書是針對想開始著手進行漏洞診斷的人,對於執行漏洞診斷所需之基礎知識與技術進行詳盡解說的一本入門書。

本書的前半部份,針對於網頁應用程式是以什麼樣的機制來進行通訊的,而會引起什麼樣的問題,實施漏洞診斷需要什麼樣的HTTP相關知識等,進行說明。除此之外,還會對於網頁應用程式所會遭受到的攻擊為何、有哪些種類等,從基礎開始加以解說。

在後半的實踐篇部份,將以一個名為「BadStore」的虛擬購物網站來做實戰練習,藉此學習漏洞診斷的手法。我們將針對使用名為OWASP ZAP的自動工具來進行診斷的方式,以及使用名為Burp Suite的手動診斷輔助工具來進行診斷的方式來進行解說。在最終章節,我們將說明執行漏洞診斷時,所需要注意到的相關法規與準則。

在習得漏洞診斷的手法之後,各位便可對安全性進行客觀的判斷。除了網站應用程式的安全負責人、開發人員之外,對於經營者的各位而言,相信也是非常值得推薦的一本書。

問題發生之前,對於下述項目之中若有任何一項讓您感到擔憂的話,務必參閱本書!
.您對目前所採取的安全措施是否有信心?
.購物網站的搜尋功能是否安全?
.對於個人資訊之洩漏是否已採取防範措施?
.是否有具備帳號竊取防止措施?
.是否有具備防止惡意的寫入行為之防範措施?
.是否有在不知情的情況下傳送電子郵件給第三者?
.是否有具備防止密碼被截取之防範措施?
.不該被存取的資源是否已被存取?
.是否有確保安全的通訊路徑?
.商品的資訊是否有被改寫?


隨著網頁應用程式的問世及盛行,也同時成為駭客攻擊的主要目標。不過,防守方也並非束手無策的待宰羔羊,用以製作安全的網頁應用程式之製作手法也因應地被確立出來了。只要依循安全的網頁應用程式的製作方式並加以實踐,的確可達到防範攻擊的目的,但遭到攻擊而受災的網站仍層出不窮。這些網站是否有依循真正安全的做法來執行呢?而且,是否有經過驗證嗎?

本書著墨於找出漏洞(Vulnerability)所需的手法,也就是針對「漏洞診斷」一事,來進行講解。「漏洞」乃為程式BUG的一種,而BUG之中可被拿來惡用者,則稱之為漏洞。此外,存在著此等脆弱性的部份,也被稱作「安全性漏洞」。所謂的「漏洞診斷」,乃用於確認並找出該系統的漏洞存在於哪裡的一種技術。也就是說,漏洞診斷是用來找出該系統中能夠作為濫用的BUG的一種技術。更進一步,透過漏洞診斷,還可找出安全功能上有所不足的部份等。此外,漏洞診斷也有人稱之為「安全診斷」。

目前,漏洞診斷作業多半都是由網路保全公司來實施的,故很容易被誤解為必須要由具備有名為漏洞診斷之特殊技術,且熟習此道的安全專家,才可實施漏洞診斷作業。然而實際上並非如此。只要知悉其手法,並學習執行方式,任何人都可以駕馭此等技術的。更進一步,若由熟知此系統規格的開發端來進行漏洞診斷,比起對該系統完全不熟悉的安全專家,甚至會有表現更加出色的可能性存在。

藉由本書,讀者可學習到執行網頁應用程式之漏洞診斷所需要的基礎知識、進行診斷所需要的工具,以及如何才能有效率地來找出漏洞之診斷手法、報告書的撰寫方法等。衷心希望本書能夠帶給網頁應用程式開發人員、欲對所委外開發的系統執行驗收檢查的業主、想要學習網頁應用程式漏洞診斷技術的學生等,眾多工作上、生活上與網路息息相關的人們帶來助益。

目錄
《基礎篇》
第1|何謂漏洞診斷
說明何謂漏洞診斷。我們將針對網路及網頁應用程式的漏洞為何,以及如何去找出其漏洞的手法。

第2|診斷所需的HTTP基礎知識
針對網路上最為廣泛應用的通訊協定:HTTP進行解說。
我們將學習到名為HTTP的通訊協定之機制,以及以傳送訊息進行溝通之結構等。

第3|網頁應用程式的漏洞
針對網頁應用程式的漏洞進行解說。說明網頁應用程式遭受攻擊的方式,以及有哪些攻擊的種類。

第4|漏洞診斷的流程
說明網頁應用程式漏洞診斷的流程。我們將說明在實施診斷前需要做什麼準備,以及該如何進行漏洞診斷、其實施步驟為何。

第5|實作練習環境與其準備
針對漏洞診斷所需之診斷工具、網頁瀏覽器、實作練習環境的設定等進行解說。

《實作篇》
第6|以自動診斷工具實施漏洞診斷
介紹自動診斷工具「OWASP ZAP。我們將學習到如何使用自動診斷工具實施漏洞診斷之基礎程序、OWASP ZAP的基本操作、漏洞診斷的實施方法等。

第7|以手動診斷輔助工具實施漏洞診斷
介紹手動診斷輔助工具「Burp Suite。我們將學習到使用Burp Suite來實施漏洞診斷的步驟、漏洞診斷時的判斷標準、診斷清單的製作方法、Burp Suite 的基本操作、各種工具的使用方法、漏洞診斷的實施方法等。

第8|診斷報告書的製作
說明漏洞診斷實施後結果來製作、彙整診斷報告書之中,所該記載事項為何及各項漏洞的報告方式、風險評估的評比方式等進行解說。

第9|相關法規與準則
針對漏洞診斷相關法律、診斷時的規則及診斷結果的處置方式、安全相關標準與準則等來進行解說。

附錄「實作練習環境的設定(Oracle VM VirtualBox)
介紹使用可作為實作練習環境之免費軟體Oracle VM VirtualBox的設定方法。

上野宣 上野宣(UENO・SEN)
株式會社Tricorder 代表取締役
曾於奈良尖端科學技術研究所大學專攻資訊安全,經歷過電子商務開發企業於東京證交所上市,2006年設立株式會社Tricorder。向企業及政府提供網路安全教育與訓練服務、平台╱網頁應用程式之漏洞診斷服務。
身兼OWASP Japan分會負責人、資訊安全專門雜誌《ScanNetSecurity》編輯長、Hardening專案執行委員、JNSA ISOG-J WG1負責人、SECCON執行委員、安全集中營首席講師、獨立行政法人資訊處理推廣機構 安全中心研究員等職務。

* 以上資料僅供參考之用, 香港書城並不保證以上資料的準確性及完整性。
* 如送貨地址在香港以外, 當書籍/產品入口時, 顧客須自行繳付入口關稅和其他入口銷售稅項。

 

 

 

  我的賬戶 |  購物車 |  出版社 |  團購優惠
加入供應商 |  廣告刊登 |  公司簡介 |  條款及細則

香港書城 版權所有 私隱政策聲明

顯示模式: 電腦版 (改為: 手機版)