內容簡介
/ N4 t8 l/ v. B4 {. B 本書內容改編自第 12 屆 iT 邦幫忙鐵人賽 Security 組佳作網路系列文章 ──《資安這條路 ─ 以自建漏洞環境學習資訊安全》。這是一本專為資安新手寫的教戰指南,以鮮明的圖文、表格讓新手快速掌握資安知識。從基礎的 Linux 指令及知識、網路基礎概論、程式語言 PHP 與資料庫查詢語言 MySQL 基礎,到常見的網站漏洞分析,並以 Docker Compose 建立漏洞環境實戰演練,帶領讀者從理論到實作理解網站資安,一次學會網站安全的原理及應用!" Z; o: U v2 z' F( R
? 入門者上手的第1本資安筆記!( ?, k& q% ~3 z! P, y6 K
本書整理了詳細的資安必備知識,包含網站基礎知識,如通訊封包、網頁架構、後端程式碼、資料庫查詢語言,以及網站常見的安全漏洞,並透過 Docker 與 Docker-Compose 自建漏洞環境,練習網站弱點,以及附上資安學習筆記模板,讓入門者簡單上手、減少學習門檻!
$ M) P$ i" I2 H+ S3 E$ n& r- f8 P ? 以 Docker 與 Docker-Compose 練習環境為主,方便快速更好學!
- m7 `. A" B0 O8 b Docker可以幫助我們自動化建立應用程式並快速在任何地方執行(如雲端環境或內部機器環境),具有方便與快速的特性,因此本書的練習環境以 Docker 與 Docker-Compose為主。/ d+ n6 q, |: X! `
? 揭露各種攻擊手法,從解析中學會防護做法!) r* |2 n( A& \) D
完整介紹常見的身分驗證相關弱點、輸入輸出驗證的相關弱點,讓你了解漏洞成因、攻擊手法與預防方式。7 p% L2 J, A6 a- p ~1 O$ W r% u
【適合讀者】
. i, H# t) u9 A. h2 p ?新手入門者6 e+ u3 A* j: P2 J4 I# l
?對網站安全有興趣的人
- h5 n& c$ |" Y0 w ?想了解網站安全學習路徑圖的人
4 i# ?% n* Q, m* X# j 本書特色1 A* q% U# v7 e. P
給你入門資訊安全的完整Know How!
2 o- Y( P1 F* M$ {8 c 以網站安全為基礎,帶你進入資安領域!
* e4 \; i3 o; o6 o3 R ★手把手帶你認識資訊安全基礎
" F" ^$ F# |5 Z5 g U! P7 [ ★解析常見的網站安全漏洞弱點& q5 e6 R/ C) D8 x
★自建漏洞環境進行練習與實戰
5 [' }! Y8 h) S0 H2 i 專業推薦- E% P$ }. ~- n) }
「學習資安的路上是孤獨的,因為資安需要完整的背景知識、攻防技術,還要有能練習攻防的環境。飛飛在本書的分享,從環境建置、背景知識、網站安全、到 Lab 實作環境,讓新手可以簡單入門學習。」──── Allen Own / DEVCORE 戴夫寇爾 執行長. I3 Q; N' u+ f8 u; F" D* q
「科學沒有平坦的道路,資安學習的旅途也是。但是當有一本書能如教練般引領你開始這段旅程,一切將豁然開朗。本書肯定會是你資安旅途上的第一盞明燈。」──── 沈家生 / Leukocyte-Lab CEO& i6 F. b% _+ B2 s
「本書由系統面開始,以圖例的方式手把手介紹,給學習者在系統環境面有一個通盤的介紹。接著一一帶入經典、新穎的攻擊手法及其危害影響,除了讓學習者知悉攻擊原理,也能了解網路安全的最新變化,尤其每一個攻擊講解的後續都會給予一個對應的防禦建議,這樣的學習方式讓資安的路踏實了。」──── 李榮三 / 逢甲大學資訊工程系 教授、逢甲大學資通安全研究中心 主任
6 O" \% |+ ~: }7 }7 [. i; C1 O8 M7 Y 「本書讀起來容易理解毫不艱澀;因為將漏洞很好的分類,能讓讀者系統化地學習;佐以清晰易懂的流程圖,讀者更容易理解原理;納入一些目前在網站安全中比較複雜但是主流的技術,也適合讀者不斷精進。對於安全實務技術有興趣的讀者,這本書絕對是讓你入門並精進網站安全與漏洞領域的首選書之一,我推薦給大家。」──── 鄭欣明 /國立臺灣科技大學資訊工程系 副教授、中央研究院 資訊科技創新研究中心 合聘副研究員、教育部資安人才培育計畫 AIS3 主持人5 O7 o1 V/ F! y* ]; R- K
「這本書以圖文並茂的方式,由淺入深帶領讀者進入資訊安全的世界。即使是毫無資安相關背景的人,也能跟隨作者的編排,簡單明瞭地讀懂書中內容。」──── 魏國瑞 / 三甲科技 AAAsec 營運總監8 W$ V( C. O0 H3 Z
(以上依姓名筆劃排序)
& p/ m2 ]4 X$ F- }( g8 x! P 作者介紹
! Z" O" k- d& g+ o( z6 J+ [* Y% { 作者簡介
& O, D' n" V1 M- b+ k7 i6 q0 Z 林子婷(飛飛 Fei Lin)
0 f+ c) L9 Y0 y7 }8 y 擅長滲透測試、物聯網漏洞挖掘和資安教育訓練,多場工作坊的經驗,喜歡以初學者的角度出發,設計資安課程,期待將資安技術帶給每個有興趣的人。: e( i% D/ H! R
經歷# ~! w/ ?' s; |2 R4 R1 p
盧氪賽忒股份有限公司 資安顧問& ~9 l0 B# ]8 Y, a
三甲科技股份有限公司 資安工程師7 t3 w$ {* k$ {8 P1 I2 h, X) a
HITCON GIRLS WebPT 組長
2 G; N( _5 Q$ c$ i* y 逢甲大學黑客社 社長; a- _3 ^5 ]9 x. H9 p4 y) z
臺灣科技大學資安研究社 社長
O4 s, |! O( n$ [# X( [ 目錄
! K& |! _5 e6 ]' n1 k w) d- o Chapter 01:Linux 基礎指令與知識2 H/ E2 b1 O( J8 J. b. X- f/ Z6 b
1-1 學習基本指令的目的/ g# q5 Q# K' p( B; u
1-2 了解基礎指令(以 Linux 為例)' H4 k* Q# r$ E+ `
1-3 學習基礎指令的管道
5 q- S* F) b! ? 1-4 使用 VirtualBox
# T' U2 h- Y& W 1-5 使用 WSL% `5 |0 L* X+ \. a6 m$ J
1-6 LAB:練習基礎指令
' F- {4 B5 r2 m 1-7 常用指令統整
7 [# T+ A& d5 U5 y8 w& j. V- J 1-8 Linux 權限$ W( Q) G( E2 x' Y6 Z& G9 y& V
1-9 其它常見指令" N, z! s: X0 C0 a. Y z/ m) W1 A
1-10 Linux 重要的操作符號
5 M) `1 |8 S, k* `$ x Chapter 02:Docker
$ T8 M$ W" j0 D* M 2-1 為什麼使用 Docker 作為練習環境
; Q8 u: L2 G* J) o g 2-2 為什麼使用 docker-compose 作為輔助
& ~# `; d, [, m4 r0 i 2-3 LAB:安裝 Docker$ X# H, Q$ ^- h. h6 i. q& |7 l/ M
2-4 LAB:安裝 docker-compose
C9 Q3 P. J5 ]2 y4 z( M0 u 2-5 常見的 Docker 指令; s4 n0 n$ _% ^
2-6 常見的 docker-compose 指令
7 A6 N( i, a5 r# j5 H5 d 2-7 撰寫 docker-compose.yml
" d9 C- Y' c/ [4 r& Z# {- B Chapter 03:網站基礎知識
# H$ F9 E1 B# ] 3-1 網頁瀏覽器
( q$ r, m3 s+ U/ U* R 3-2 網站伺服器
1 I( s1 k$ k/ c$ [3 t: K: u 3-3 前端與後端的差異- }. [8 l. B9 G% J( n2 T. G
3-4 靜態與動態網頁的差別
# X h$ v4 a) ]3 j) m 3-5 網頁前端的基礎架構, ^4 @, A4 m. F. y @
3-6 HTML 的基礎語法
, @$ B5 C; o2 S# ^& I 3-7 LAB:開啟開發人員工具
M5 n( R% ^' }, u5 Y1 g' I 3-8 JavaScript 的基礎語法
# Z0 |; P' ]" e' x. ^# |3 o 3-9 LAB:使用 GitHub Page 練習建立個人網頁, D; y) E+ [+ q) X! u
3-10 本章節提醒% ?; x9 E# [( u0 o- m K4 W
Chapter 04:網路基礎概論打基礎: B" m9 Z0 i4 v
4-1 為什麼要學網路基礎概論
. _$ ?1 C J+ _* ^; g 4-2 網路基礎概論的範疇" p) }, Q6 C' f( i, a! D8 w7 O
4-3 DNS 網域名稱系統(Domain Name System), m" z+ ]* ~) N2 @
4-4 URL 統一資料定位符4 v% g! }3 s# D2 P1 n# s
4-5 了解網頁文件的傳輸協定 - HTTP
3 Z0 g: q" F. A/ S1 H# ~; O: h& } 4-6 Cookie & Session
e V3 Q/ F: D 4-7 了解網頁伺服器9 O. L; u) n* _: I2 }8 I
4-8 了解應用程式伺服器
% A- Z; a/ [7 ~4 a% w( ? 4-9 LAB:利用 curl 練習8 f9 P3 q2 @% ~% `; `: A d
Chapter 05:PHP 與 MySQL J# [) {2 n& o7 i; X) f
5-1 PHP" D6 j- s$ ?2 k& J: v& b, l; R& e
5-2 MySQL
+ m1 p4 I9 Z& K 5-3 LAB:透過 Docker 練習 PHP 與 MySQL
5 q c. @# B/ [( u Chapter 06:常見的身分驗證相關弱點
. `3 w/ {1 X4 L 6-1 脆弱密碼
. }- R; C% @ w6 ~6 K 6-2 任意檔案上傳0 W y }1 M8 v$ Z& y
6-3 權限控管
5 N; m6 H# Q5 W2 V" j) G, P Chapter 07:輸入輸出驗證相關弱點
1 S9 ~+ b+ ^, d( k P5 b! o* \" Q! g8 v 7-1 Cross-Site Scripting(XSS)
/ C% Q( F7 N$ L# P, L* K 7-2 SQL Injection
7 X; M. }) |9 \5 v; M, h 7-3 Code Injection( LFI、RFI)* t5 L! h* h0 X, E
7-4 Command Injection6 {9 Q) Y; g+ ~6 `- Y1 o+ @
7-5 XXE Injection. i# d, I! `) i
7-6 Server-Side Template Injection(SSTI)3 q+ f+ k1 _, B+ s0 _0 X; ^
7-7 Insecure Deserialization(不安全的反序列化)( q) G2 p& [8 d6 c9 ?
7-8 SSRF5 c9 A0 j3 L3 B; k& i- ~
7-9 HTTP Splitting CRLF Injection
1 l# b$ t* E- D0 y 7-10 HTTP Smuggling/ E! s+ s3 d+ \7 |/ s
7-11 Web Cache Poisoning
4 b' r% j1 l4 J8 p Chapter 08:Session 相關漏洞1 x2 p2 C- N- m4 q+ o0 B T
8-1 Session Hijaking
/ Z% a9 I8 m- z" S 8-2 Session Fixation 固定8 h, X% h& o% P2 ^% J2 D
8-3 Session Prediction 預測
. J7 O7 A. a- r9 A 8-4 CSRF
/ R2 \4 Z+ |- S% v+ T8 z- |0 ? Chapter 09:使用者端相關弱點
8 @ Y* Z1 ]7 x, E: }5 e3 K 9-1 DOM XSS
% Y- l% h# u0 U1 _# @ 9-2 開放重定向 Open Redirect
0 L% @+ h8 f6 C* r 9-3 點擊劫持 Clickjacking(UI redressing)- U+ \6 y& F/ q: ?( S& G4 \
9-4 WebSocket3 J0 a# I" o8 V; K4 _7 ^
Chapter 10:Web 伺服器軟體
! \9 X* j# R3 _: X, a2 |% R' S 10-1 Apache
2 T, J' t7 \& ^0 v$ [- N 10-2 Nginx
' Y0 Z w# e( V7 c Chapter 11:自建漏洞實戰' s$ ?! u' j. K/ `/ d, [3 u
11-1 環境建構: P7 G: G$ v) A! ~3 o
11-2 XSS
8 B/ K+ ?) z+ q- V* R2 y 11-3 SQL Injection$ f% a# n% _; g+ V
11-4 File Inclusion7 R' d" w9 o. E3 z! [/ {2 B: v
11-5 Command Injection6 d% w+ q# {; `* V
11-6 HTTP Request Redirection
5 o f0 N' h0 g" F 11-7 Insecure Deserialization
& h4 I4 D6 [0 Q8 G5 I 11-8 XML External Entity Injection(XXE); z8 e3 Y- u m7 W: z+ L3 o
11-9 HTTP Response Headers Injection' d/ H% b$ T5 U/ w8 e/ Z* f W
11-10 Clickjacking
: G+ K8 \' |# c- C9 S8 q/ S
6 C/ V/ H( a' A/ d) }
; x6 I: D4 O) Y' i
~4 X& \' m5 f; Z+ o
+ b; \9 A/ A7 _: l
剩余 2% 内容需要支付 3.00×2共享币 后可完整阅读并提供下载链接
共享资料赚共享币,鼓励用户共享优质资料
|
