資安這條路:領航新手的 Web Security 指南,以自建漏洞環境學習網站安全(iT邦幫忙鐵人賽系列書)
林子婷(飛飛)
- 出版商: 博碩 年度曬書季 99元 起
- 出版日期: 2021-11-01
- 定價: $680
- 售價: 7.8 折 $530
- 語言: 繁體中文
- 頁數: 320
- 裝訂: 平裝
- ISBN: 9864348981
- ISBN-13: 9789864348985
-
相關分類:
Penetration-test
立即出貨(限量) (庫存=4)
買這商品的人也買了...
-
和艦長一起 30 天玩轉 GitLab(iT邦幫忙鐵人賽系列書)$500$390 -
突破困境:資安開源工具應用(iT邦幫忙鐵人賽系列書)$550$429 -
Python 滲透測試實戰$474$450 -
軟體架構原理|工程方法 (Fundamentals of Software Architecture: A Comprehensive Guide to Patterns, Characteristics, and Best Practices)$680$537 -
駭客廝殺不講武德:CTF 強者攻防大戰直擊$1,000$790 -
前端三十:從 HTML 到瀏覽器渲染的前端開發者必備心法(iT邦幫忙鐵人賽系列書)$550$349 -
Windows APT Warfare:惡意程式前線戰術指南$600$300 -
完全自學!Go 語言 (Golang) 實戰聖經 (The Go Workshop: Learn to write clean, efficient code and build high-performance applications with Go)$880$695 -
CQRS 命令查詢職責分離模式 (Command Query Responsibility Segregation)$500$349 -
JavaScript 爬蟲新思路!從零開始帶你用 Node.js 打造 FB&IG 爬蟲專案(iT邦幫忙鐵人賽系列書)$620$434 -
30天與 Docker 做好朋友:跟鯨魚先生一同探索開發者的大平台(iT邦幫忙鐵人賽系列書)$600$396 -
跟著 Docker 隊長,修練 22天就精通 - 搭配 20小時作者線上教學,無縫接軌 Microservices、Cloud-native、Serverless、DevOps 開發架構$880$695 -
WebSecurity 網站滲透測試:Burp Suite 完全學習指南 (iT邦幫忙鐵人賽系列書)$600$468 -
你所不知道的必學前端 Debug 技巧:即學即用!讓你 Debug 不求人 (iT邦幫忙鐵人賽系列書)$620$434 -
Web 應用系統安全|現代 Web 應用程式開發的資安對策 (Web Application Security)$580$458 -
打造高速網站從網站指標開始:全方位提升使用者體驗與流量的關鍵$600$300 -
突破困境!企業開源虛擬化管理平台:使用 Proxmox Virtual Environment (iThome鐵人賽系列書)$620$483 -
從自學到成功轉職軟體工程師:自主學習讓我重拾人生的發球權(iT邦幫忙鐵人賽系列書)$520$405 -
不只是工程師才要懂的 App 資訊安全:取得資安檢測合格證書血淚史(iT邦幫忙鐵人賽系列書)$600$468 -
The Hacker Playbook 3 中文版:滲透測試實戰 (紅隊版)$650$507 -
ASP.NET Core 6 實戰守則:超易懂的跨平台開發入門教學 (iT邦幫忙鐵人賽系列書)$600$468 -
ASP.NET Core 工程師不可不知的 10大安全性漏洞與防駭方法$690$483 -
今晚來點 Web 前端效能優化大補帖:一次搞定指標 × 工具 × 技巧,打造超高速網站(iThome鐵人賽系列書)$650$507 -
人手一本的資安健診實作課:不是專家也能自己動手做!(Win10 / Win11適用)$560$436 -
一個人的藍隊:企業資安防護技術實戰指南(iThome鐵人賽系列書)$650$507
資訊安全書展|中文簡體2書75折 英文2書85折 詳見活動內容 »
-
CYBERSEC 2026 臺灣資安年鑑 ─ AI 代理改寫資安戰局 掌握10大關鍵風險$179$161 -
CYBERSEC 2025 臺灣資安年鑑 ─ 全球地緣政治衝突激化,國家級駭客鎖定企業$179$161 -
CYBERSEC 2024 臺灣資安年鑑 ─ AI 資安 2024 徹底剖析生成式 AI 資安攻防態勢$179$161 -
CYBERSEC 2022 臺灣資安年鑑 ─ 零信任資安時代來臨:信任邊界徹底瓦解,安全需源自反覆驗證$179$161 -
CYBERSEC 2021 臺灣資安年鑑 ─ 資安絕地大反攻:新一代主動式資安防禦概念來了!$179$161 -
5折
未來數位科技活用大全:從 AI 協作、程式設計、資訊安全到大數據分析, 2/e$600$300 -
79折
混合雲安全架構|零信任原則的安全設計方法與實作 (Security Architecture for Hybrid Cloud: A Practical Method for Designing Security Using Zero Trust Principles)$780$616 -
79折
駭客的 Linux 基礎入門必修課, 2/e (Linux Basics for Hackers : Getting Started with Networking, Scripting, and Security in Kali, 2/e)$520$410 -
78折
Graylog 整合應用實戰:打造視覺化與智慧化的新世代資安監控平台$650$507 -
79折
雲端原生資安指南|CNAPP 打造 DevSecOps 零死角防護 (Cloud Native Application Protection Platforms: A Guide to CNAPPs and the Foundations of Comprehensive Cloud Security)$580$458 -
79折
零信任網路|在不受信任的網路中建構安全系統, 2/e (Zero Trust Networks: Building Secure Systems in Untrusted Networks, 2/e)$680$537 -
5折
看不見的戰場:社群、AI 與企業資安危機$750$375 -
79折
數位國土保衛戰:從數位身分證、AI到電子投票,揭開臺灣數位化暗藏的國安危機$420$331 -
54折
裂縫碎光:資安數位生存戰$550$299 -
79折
LLM 資安教戰手冊|打造安全的 AI 應用程式 (The Developer's Playbook for Large Language Model Security)$580$458 -
66折
究極 Web 資安心智圖學習法!嚴選12大主題 × 7張心智圖 × 7個實戰,核心技能無痛升級(iThome鐵人賽系列書)$620$409 -
79折
資訊安全管理領導力實戰手冊$599$473 -
78折
一個人的藍隊:企業資安防護技術實戰指南(iThome鐵人賽系列書)
$650$507 -
63折
資安密碼-隱形帝國:AI數位鑑識、社交工程攻防與現代密碼技術實戰$550$349 -
78折
資安鑑識分析:數位工具、情資安全、犯罪偵防與證據追蹤$560$436 -
85折
鋼索上的管理課【全新增訂版+資安風險升級主題】:韌性與敏捷管理的洞見與實踐$480$408 -
5折
營養師不開菜單後的 Next.js 全端轉職攻略:從專案規劃、畫面設計、資安到 SEO,挑戰一人 Side Project (iThome鐵人賽系列書)$680$340 -
5折
從零開始 OCS Inventory:打造資訊資產管理 × 資安 CVE 漏洞通報(iThome鐵人賽系列書)$650$325 -
79折
Beyond XSS:探索網頁前端資安宇宙$880$695 -
75折
工控資安銳視角:石化場域 OT / ICS 學習筆記$680$510
商品描述
- 【專業推薦】
「學習資安的路上是孤獨的,因為資安需要完整的背景知識、攻防技術,還要有能練習攻防的環境。飛飛在本書的分享,從環境建置、背景知識、網站安全、到 Lab 實作環境,讓新手可以簡單入門學習。」
──── Allen Own / DEVCORE 戴夫寇爾 執行長
「科學沒有平坦的道路,資安學習的旅途也是。但是當有一本書能如教練般引領你開始這段旅程,一切將豁然開朗。本書肯定會是你資安旅途上的第一盞明燈。」
──── 沈家生 / Leukocyte-Lab CEO
「本書由系統面開始,以圖例的方式手把手介紹,給學習者在系統環境面有一個通盤的介紹。接著一一帶入經典、新穎的攻擊手法及其危害影響,除了讓學習者知悉攻擊原理,也能了解網路安全的最新變化,尤其每一個攻擊講解的後續都會給予一個對應的防禦建議,這樣的學習方式讓資安的路踏實了。」
──── 李榮三 / 逢甲大學資訊工程系 教授、逢甲大學資通安全研究中心 主任
「本書讀起來容易理解毫不艱澀;因為將漏洞很好的分類,能讓讀者系統化地學習;佐以清晰易懂的流程圖,讀者更容易理解原理;納入一些目前在網站安全中比較複雜但是主流的技術,也適合讀者不斷精進。對於安全實務技術有興趣的讀者,這本書絕對是讓你入門並精進網站安全與漏洞領域的首選書之一,我推薦給大家。」
──── 鄭欣明 /
國立臺灣科技大學資訊工程系 副教授、中央研究院 資訊科技創新研究中心 合聘副研究員、教育部資安人才培育計畫 AIS3 主持人
「這本書以圖文並茂的方式,由淺入深帶領讀者進入資訊安全的世界。即使是毫無資安相關背景的人,也能跟隨作者的編排,簡單明瞭地讀懂書中內容。」
──── 魏國瑞 / 三甲科技 AAAsec 營運總監(以上依姓名筆劃排序)
【本書特色】
給你入門資訊安全的完整Know How!
以網站安全為基礎,帶你進入資安領域!
★手把手帶你認識資訊安全基礎
★解析常見的網站安全漏洞弱點
★自建漏洞環境進行練習與實戰
【內容簡介】
本書內容改編自第 12 屆 iT 邦幫忙鐵人賽 Security 組佳作網路系列文章 ──《資安這條路 ─ 以自建漏洞環境學習資訊安全》。這是一本專為資安新手寫的教戰指南,以鮮明的圖文、表格讓新手快速掌握資安知識。從基礎的 Linux 指令及知識、網路基礎概論、程式語言 PHP 與資料庫查詢語言 MySQL 基礎,到常見的網站漏洞分析,並以 Docker Compose 建立漏洞環境實戰演練,帶領讀者從理論到實作理解網站資安,一次學會網站安全的原理及應用!
☑ 入門者上手的第1本資安筆記!
本書整理了詳細的資安必備知識,包含網站基礎知識,如通訊封包、網頁架構、後端程式碼、資料庫查詢語言,以及網站常見的安全漏洞,並透過 Docker 與 Docker-Compose 自建漏洞環境,練習網站弱點,以及附上資安學習筆記模板,讓入門者簡單上手、減少學習門檻!
☑ 以 Docker 與 Docker-Compose 練習環境為主,方便快速更好學!
Docker可以幫助我們自動化建立應用程式並快速在任何地方執行(如雲端環境或內部機器環境),具有方便與快速的特性,因此本書的練習環境以 Docker 與 Docker-Compose為主。
☑ 揭露各種攻擊手法,從解析中學會防護做法!
完整介紹常見的身分驗證相關弱點、輸入輸出驗證的相關弱點,讓你了解漏洞成因、攻擊手法與預防方式。
【適合讀者】
✦新手入門者
✦對網站安全有興趣的人
✦想了解網站安全學習路徑圖的人
作者簡介
- 林子婷(飛飛 Fei Lin)
擅長滲透測試、物聯網漏洞挖掘和資安教育訓練,多場工作坊的經驗,喜歡以初學者的角度出發,設計資安課程,期待將資安技術帶給每個有興趣的人。
經歷
盧氪賽忒股份有限公司 資安顧問
三甲科技股份有限公司 資安工程師
HITCON GIRLS WebPT 組長
逢甲大學黑客社 社長
臺灣科技大學資安研究社 社長
個人經歷:feifei.com.tw
相關文章:feifei.tw
Facebook:fb.me/fei3363
粉絲專頁:fb.me/FEI.SEC.SHARE
目錄大綱
Chapter 01:Linux 基礎指令與知識
1-1 學習基本指令的目的
1-2 了解基礎指令(以 Linux 為例)
1-3 學習基礎指令的管道
1-4 使用 VirtualBox
1-5 使用 WSL
1-6 LAB:練習基礎指令
1-7 常用指令統整
1-8 Linux 權限
1-9 其它常見指令
1-10 Linux 重要的操作符號
Chapter 02:Docker
2-1 為什麼使用 Docker 作為練習環境
2-2 為什麼使用 docker-compose 作為輔助
2-3 LAB:安裝 Docker
2-4 LAB:安裝 docker-compose
2-5 常見的 Docker 指令
2-6 常見的 docker-compose 指令
2-7 撰寫 docker-compose.yml
Chapter 03:網站基礎知識
3-1 網頁瀏覽器
3-2 網站伺服器
3-3 前端與後端的差異
3-4 靜態與動態網頁的差別
3-5 網頁前端的基礎架構
3-6 HTML 的基礎語法
3-7 LAB:開啟開發人員工具
3-8 JavaScript 的基礎語法
3-9 LAB:使用 GitHub Page 練習建立個人網頁
3-10 本章節提醒
Chapter 04:網路基礎概論打基礎
4-1 為什麼要學網路基礎概論
4-2 網路基礎概論的範疇
4-3 DNS 網域名稱系統(Domain Name System)
4-4 URL 統一資料定位符
4-5 了解網頁文件的傳輸協定 - HTTP
4-6 Cookie & Session
4-7 了解網頁伺服器
4-8 了解應用程式伺服器
4-9 LAB:利用 curl 練習
Chapter 05:PHP 與 MySQL
5-1 PHP
5-2 MySQL
5-3 LAB:透過 Docker 練習 PHP 與 MySQL
Chapter 06:常見的身分驗證相關弱點
6-1 脆弱密碼
6-2 任意檔案上傳
6-3 權限控管
Chapter 07:輸入輸出驗證相關弱點
7-1 Cross-Site Scripting(XSS)
7-2 SQL Injection
7-3 Code Injection( LFI、RFI)
7-4 Command Injection
7-5 XXE Injection
7-6 Server-Side Template Injection(SSTI)
7-7 Insecure Deserialization(不安全的反序列化)
7-8 SSRF
7-9 HTTP Splitting CRLF Injection
7-10 HTTP Smuggling
7-11 Web Cache Poisoning
Chapter 08:Session 相關漏洞
8-1 Session Hijaking
8-2 Session Fixation 固定
8-3 Session Prediction 預測
8-4 CSRF
Chapter 09:使用者端相關弱點
9-1 DOM XSS
9-2 開放重定向 Open Redirect
9-3 點擊劫持 Clickjacking(UI redressing)
9-4 WebSocket
Chapter 10:Web 伺服器軟體
10-1 Apache
10-2 Nginx
Chapter 11:自建漏洞實戰
11-1 環境建構
11-2 XSS
11-3 SQL Injection
11-4 File Inclusion
11-5 Command Injection
11-6 HTTP Request Redirection
11-7 Insecure Deserialization
11-8 XML External Entity Injection(XXE)
11-9 HTTP Response Headers Injection
11-10 Clickjacking
