hiskio

    Web開發者一定要懂的駭客攻防術

    破解駭客攻擊手法,開發滴水不穿的安全網頁應用程式

    5.0
    US$13.21
    破解駭客攻擊手法,開發滴水不穿的安全網頁應用程式

    網頁系統(Web)的生態已讓人難以想像,原以為網際網路是由專家精心設計而成,它所處理的一切事物都充滿理性,事實上,它的發展過程是高速而隨性的,現今,人們在網際網路的所作所為已遠遠超出原創者的預想。

    維護網站安全似乎成了艱鉅任務。網站是一種獨特的應用軟體,能夠即時向數百萬名使用者發布訊息,這些使用者也包括積極活動的駭客們。大公司時常會遭受資安危害,每週都有新的資料外洩事件,面對這種情況,孤獨的Web開發人員要如何保護自己呢?本書會提供開發人員必須知道的重要威脅,並按部就班說明防禦攻擊的實際步驟。

    本書將告訴您駭客是如何攻擊您的網站,同時告訴您如何進行防禦措施。每個安全漏洞都以一個專章進行探討,並以真實世紀的案例作為說明,告訴您如何漏洞所在以及如何進行修補。熟習本書所介紹的攻防手法,可以幫助您開發出更加安全、滴水不漏的系統,成為一位更加優秀的開發人員。

    透過本書,您將可以了解:
    .如何預防SQL注入攻擊、惡意JavaScript和偽造的跨站請求。
    .如何利用認證機制以及存取權限的管理更有效地保護帳號。
    .如何鎖定使用者帳戶,防止依靠猜測密碼、竊取會話或升級權限的攻擊。
    .加密的實作方法
    .如何管理古老系統中的漏洞
    .如何預防訊息洩露造成的漏洞洩漏
    .如何防堵惡意廣告和拒絕服務之類的攻擊手法

    章节目录

    • 1-1
      封面
    • 1-2
      書名頁
    • 1-3
      目錄
    • 1-4
      致謝
    • 1-5
      章序
    • 1-6
      本書目標
    • 1-7
      目標讀者
    • 1-8
      網際網路簡史
    • 1-9
      當瀏覽器有了腳本語言
    • 1-10
      新競爭者現身
    • 1-11
      會編寫HTML的機器
    • 1-12
      網際網路的轉變
    • 1-13
      該擔心的事
    • 1-14
      本書內容摘要
    • 1-15
      1 入侵網站
    • 1-16
      軟體漏洞與暗網
    • 1-17
      如何入侵網站
    • 1-18
      PART I 必要的基礎知識
    • 1-19
      2 網際網路的運作原理
    • 1-20
      網際網路的協定套組
    • 1-21
      關於IP位址
    • 1-22
      網域名稱系統(DNS)
    • 1-23
      應用層協定
    • 1-24
      關於HTTP
    • 1-25
      有狀態連線
    • 1-26
      傳輸加密
    • 1-27
      小結
    • 1-28
      3 瀏覽器的運作原理
    • 1-29
      Web網頁渲染
    • 1-30
      網頁渲染過程概述
    • 1-31
      文件物件模型
    • 1-32
      網頁元素的樣式資訊
    • 1-33
      JavaScript的行為
    • 1-34
      渲染前後瀏覽器還做了哪些事
    • 1-35
      小結
    • 1-36
      4 伺服器的運作原理
    • 1-37
      靜態資源和動態資源
    • 1-38
      靜態資源
    • 1-39
      URL解析
    • 1-40
      內容遞送網路
    • 1-41
      內容管理系統
    • 1-42
      動態資源
    • 1-43
      網頁模板
    • 1-44
      資料庫
    • 1-45
      分散式快取
    • 1-46
      開發Web系統的程式語言
    • 1-47
      小結
    • 1-48
      5 WEB系統的開發程序
    • 1-49
      階段1:設計和分析
    • 1-50
      階段2:程式碼開發
    • 1-51
      分散式與集中式版本控制
    • 1-52
      分支和合併程式碼
    • 1-53
      階段3:發行前測試
    • 1-54
      覆蓋範圍和持續整合
    • 1-55
      測試環境
    • 1-56
      階段4:發行程序
    • 1-57
      發行時的標準部署選項
    • 1-58
      建構程序
    • 1-59
      資料庫遷移腳本
    • 1-60
      階段5:發行後測試和監控
    • 1-61
      滲透測試
    • 1-62
      日誌記錄、監視和錯誤回報
    • 1-63
      管理相依元件
    • 1-64
      小結
    • 1-65
      PART II 常見威脅
    • 1-66
      6 注入攻擊
    • 1-67
      SQL注入
    • 1-68
      SQL簡介
    • 1-69
      剖析SQL注入攻擊
    • 1-70
      防範措施1:使用參數化語句
    • 1-71
      防範措施2:使用ORM
    • 1-72
      額外防範:應用縱深防禦機制
    • 1-73
      命令注入
    • 1-74
      剖析命令注入攻擊
    • 1-75
      防範措施:將控制字元轉義
    • 1-76
      遠端程式碼執行
    • 1-77
      剖析遠端程式碼執行的攻擊
    • 1-78
      防範措施:在反序列化時停用程式碼執行功能
    • 1-79
      檔案上傳的漏洞
    • 1-80
      剖析檔案上傳攻擊
    • 1-81
      防範措施
    • 1-82
      小結
    • 1-83
      7 跨站腳本攻擊
    • 1-84
      儲存型XSS
    • 1-85
      防範措施1:轉義HTML字元
    • 1-86
      防範措施2:實作內容安全原則
    • 1-87
      反射型XSS
    • 1-88
      防範措施:轉義HTTP請求裡的動態內容
    • 1-89
      DOM型XSS
    • 1-90
      防範措施:轉義URI的參數內容
    • 1-91
      小結
    • 1-92
      8 跨站請求偽造攻擊
    • 1-93
      剖析CSRF攻擊
    • 1-94
      防範措施1:遵循REST原則
    • 1-95
      防範措施2:實作防CSRF Cookie
    • 1-96
      防範措施3:使用SameSite Cookie屬性
    • 1-97
      額外防範:對於敏感作業應要求重新驗證身分
    • 1-98
      小結
    • 1-99
      9 攻擊身分驗證機制
    • 1-100
      實作身分驗證功能
    • 1-101
      HTTP的原生身分驗證
    • 1-102
      非HTTP原生的身分驗證
    • 1-103
      暴力破解
    • 1-104
      防範措施1:使用第三方身分驗證機制
    • 1-105
      防範措施2:與單一登入整合
    • 1-106
      防範措施3:保護自己的身分驗證系統
    • 1-107
      使用帳號和/或電子郵件位址
    • 1-108
      要求密碼複雜度
    • 1-109
      安全地儲存密碼
    • 1-110
      使用多因子身分驗證
    • 1-111
      實作安全的登出功能
    • 1-112
      防止枚舉使用者帳戶
    • 1-113
      小結
    • 1-114
      10 連線狀態劫持
    • 1-115
      Session的運作方式
    • 1-116
      伺服器端的session管理
    • 1-117
      用戶端的session管理
    • 1-118
      如何劫持連線狀態
    • 1-119
      竊取Cookie
    • 1-120
      Session定置
    • 1-121
      利用脆弱SessionID
    • 1-122
      小結
    • 1-123
      11 規避權限管制
    • 1-124
      權限提升
    • 1-125
      存取控制
    • 1-126
      設計授權模型
    • 1-127
      實作存取控制
    • 1-128
      測試存取控制
    • 1-129
      增加稽核軌跡
    • 1-130
      避免常見疏失
    • 1-131
      目錄遍歷
    • 1-132
      檔案路徑和相對檔案路徑的關係
    • 1-133
      剖析目錄遍歷攻擊
    • 1-134
      防範措施1:信任Web伺服器內建機制
    • 1-135
      防範措施2:借用第三方託管服務
    • 1-136
      防範措施3:不要直接引用檔案
    • 1-137
      防範措施3:不要直接引用檔案
    • 1-138
      防範措施4:清理引用的檔案路徑
    • 1-139
      小結
    • 1-140
      12 資訊洩漏
    • 1-141
      防範措施1:停用可能洩漏資訊的回應標頭
    • 1-142
      防範措施2:使用更簡潔的URL
    • 1-143
      防範措施3:使用一般性的Cookie參數
    • 1-144
      防範措施4:不要在用戶端顯示詳細的錯誤描述
    • 1-145
      防範措施5:壓縮或模糊化JavaScript檔案
    • 1-146
      防範措施6:清理用戶端的不必要程式碼
    • 1-147
      隨時注意安全公告
    • 1-148
      小結
    • 1-149
      13 加解密機制
    • 1-150
      網際網路協定的加密機制
    • 1-151
      加密演算法、雜湊和信息鑑別碼
    • 1-152
      TLS交握
    • 1-153
      啟用HTTPS
    • 1-154
      數位憑證
    • 1-155
      取得數位憑證
    • 1-156
      安裝數位憑證
    • 1-157
      攻擊HTTP和HTTPS
    • 1-158
      無線路由器
    • 1-159
      Wi-Fi熱點
    • 1-160
      網際網路服務供應商
    • 1-161
      政府機構
    • 1-162
      小結
    • 1-163
      14 第三方元件
    • 1-164
      第三方元件的安全性
    • 1-165
      掌握第三方元件的內涵
    • 1-166
      盡速部署新版本
    • 1-167
      隨時注意安全問題
    • 1-168
      瞭解升級時機
    • 1-169
      保護組態安全
    • 1-170
      停用預設的身分憑據
    • 1-171
      用開放式目錄列表
    • 1-172
      保護組態資訊
    • 1-173
      強化測試環境
    • 1-174
      強化前端管理界面的安全性
    • 1-175
      保護所用的服務
    • 1-176
      保護API金鑰
    • 1-177
      保護網站提供的Webhooks
    • 1-178
      來自第三方內容的安全
    • 1-179
      利用服務作為攻擊向量
    • 1-180
      留心惡意廣告
    • 1-181
      避免傳遞惡意軟體
    • 1-182
      使用信譽良好的廣告平台
    • 1-183
      使用SafeFrame標準
    • 1-184
      量身定作廣告偏好
    • 1-185
      檢查並回報可疑的廣告
    • 1-186
      檢查並回報可疑的廣告
    • 1-187
      小結
    • 1-188
      15 XML攻擊
    • 1-189
      XML的用途
    • 1-190
      檢驗XML
    • 1-191
      文件類型定義(DTD)
    • 1-192
      XML炸彈
    • 1-193
      XML外部單元體攻擊
    • 1-194
      駭客如何利用外部單元體
    • 1-195
      保護XML解析器
    • 1-196
      Python
    • 1-197
      Ruby
    • 1-198
      Java
    • 1-199
      Node.js
    • 1-200
      Java
    • 1-201
      Java
    • 1-202
      .NET
    • 1-203
      其他注意事項
    • 1-204
      小結
    • 1-205
      16 不要成為幫兇
    • 1-206
      電子郵件詐欺
    • 1-207
      實作寄件者策略框架
    • 1-208
      實作網域金鑰識別郵件
    • 1-209
      保護電子郵件的實務手段
    • 1-210
      隱藏在電子郵件裡的惡意鏈結
    • 1-211
      開放式重導向
    • 1-212
      防範開放式重導向
    • 1-213
      其他注意事項
    • 1-214
      點擊劫持
    • 1-215
      防範點擊劫持
    • 1-216
      伺服器端請求偽造
    • 1-217
      防範伺服器端的請求偽造
    • 1-218
      殭屍網路
    • 1-219
      避免感染惡意程式
    • 1-220
      小結
    • 1-221
      17 DoS攻擊
    • 1-222
      DoS攻擊的類型
    • 1-223
      ICMP攻擊
    • 1-224
      TCP攻擊
    • 1-225
      應用層的攻擊
    • 1-226
      反射型和放大型攻擊
    • 1-227
      DDoS攻擊
    • 1-228
      意外造成的DoS攻擊
    • 1-229
      降低DoS攻擊力道
    • 1-230
      防火牆和入侵防禦系統
    • 1-231
      DDoS攻擊的協防服務
    • 1-232
      使用可擴展的架構
    • 1-233
      小結
    • 1-234
      18 總複習
    • 1-235
      ACN036300版權
    • 1-236
      封底

    常见问答

    您可以透過手機、平板或是電腦登入 HiSKIO 平台,在【我的學習】>【我的書籍】頁面,選擇想看的電子書。

    猜你喜欢

    销售方案