0人評分過此書
Web開發者一定要懂的駭客攻防術:告訴您駭客的手法,同時告訴您如何進行防禦
破解駭客攻擊手法,開發滴水不穿的安全網頁應用程式
網頁系統(Web)的生態已讓人難以想像,原以為網際網路是由專家精心設計而成,它所處理的一切事物都充滿理性,事實上,它的發展過程是高速而隨性的,現今,人們在網際網路的所作所為已遠遠超出原創者的預想。
維護網站安全似乎成了艱鉅任務。網站是一種獨特的應用軟體,能夠即時向數百萬名使用者發布訊息,這些使用者也包括積極活動的駭客們。大公司時常會遭受資安危害,每週都有新的資料外洩事件,面對這種情況,孤獨的Web開發人員要如何保護自己呢?本書會提供開發人員必須知道的重要威脅,並按部就班說明防禦攻擊的實際步驟。
本書將告訴您駭客是如何攻擊您的網站,同時告訴您如何進行防禦措施。每個安全漏洞都以一個專章進行探討,並以真實世紀的案例作為說明,告訴您如何漏洞所在以及如何進行修補。熟習本書所介紹的攻防手法,可以幫助您開發出更加安全、滴水不漏的系統,成為一位更加優秀的開發人員。
透過本書,您將可以了解:
.如何預防SQL注入攻擊、惡意JavaScript和偽造的跨站請求。
.如何利用認證機制以及存取權限的管理更有效地保護帳號。
.如何鎖定使用者帳戶,防止依靠猜測密碼、竊取會話或升級權限的攻擊。
.加密的實作方法
.如何管理古老系統中的漏洞
.如何預防訊息洩露造成的漏洞洩漏
.如何防堵惡意廣告和拒絕服務之類的攻擊手法
網頁系統(Web)的生態已讓人難以想像,原以為網際網路是由專家精心設計而成,它所處理的一切事物都充滿理性,事實上,它的發展過程是高速而隨性的,現今,人們在網際網路的所作所為已遠遠超出原創者的預想。
維護網站安全似乎成了艱鉅任務。網站是一種獨特的應用軟體,能夠即時向數百萬名使用者發布訊息,這些使用者也包括積極活動的駭客們。大公司時常會遭受資安危害,每週都有新的資料外洩事件,面對這種情況,孤獨的Web開發人員要如何保護自己呢?本書會提供開發人員必須知道的重要威脅,並按部就班說明防禦攻擊的實際步驟。
本書將告訴您駭客是如何攻擊您的網站,同時告訴您如何進行防禦措施。每個安全漏洞都以一個專章進行探討,並以真實世紀的案例作為說明,告訴您如何漏洞所在以及如何進行修補。熟習本書所介紹的攻防手法,可以幫助您開發出更加安全、滴水不漏的系統,成為一位更加優秀的開發人員。
透過本書,您將可以了解:
.如何預防SQL注入攻擊、惡意JavaScript和偽造的跨站請求。
.如何利用認證機制以及存取權限的管理更有效地保護帳號。
.如何鎖定使用者帳戶,防止依靠猜測密碼、竊取會話或升級權限的攻擊。
.加密的實作方法
.如何管理古老系統中的漏洞
.如何預防訊息洩露造成的漏洞洩漏
.如何防堵惡意廣告和拒絕服務之類的攻擊手法
- 致謝
-
章序
-
本書目標
-
目標讀者
-
網際網路簡史
-
當瀏覽器有了腳本語言
-
新競爭者現身
-
會編寫HTML 的機器
-
網際網路的轉變
-
該擔心的事
-
本書內容摘要
-
-
1 入侵網站
-
軟體漏洞與暗網
-
如何入侵網站
-
-
PART I 必要的基礎知識
-
2 網際網路的運作原理
-
網際網路的協定套組
-
關於IP 位址
-
網域名稱系統(DNS)
-
應用層協定
-
關於HTTP
-
有狀態連線
-
傳輸加密
-
小結
-
-
3 瀏覽器的運作原理
-
Web 網頁渲染
-
網頁渲染過程概述
-
文件物件模型
-
網頁元素的樣式資訊
-
JavaScript 的行為
-
渲染前後瀏覽器還做了哪些事
-
小結
-
-
4 伺服器的運作原理
-
靜態資源和動態資源
-
靜態資源
-
URL 解析
-
內容遞送網路
-
內容管理系統
-
動態資源
-
網頁模板
-
資料庫
-
分散式快取
-
開發Web 系統的程式語言
-
小結
-
-
5 WEB 系統的開發程序
-
階段1:設計和分析
-
階段2:程式碼開發
-
分散式與集中式版本控制
-
分支和合併程式碼
-
階段3:發行前測試
-
覆蓋範圍和持續整合
-
測試環境
-
階段4:發行程序
-
發行時的標準部署選項
-
建構程序
-
資料庫遷移腳本
-
階段5:發行後測試和監控
-
滲透測試
-
日誌記錄、監視和錯誤回報
-
管理相依元件
-
小結
-
-
-
PART II 常見威脅
-
6 注入攻擊
-
SQL 注入
-
SQL 簡介
-
剖析SQL 注入攻擊
-
防範措施1:使用參數化語句
-
防範措施2:使用ORM
-
額外防範:應用縱深防禦機制
-
命令注入
-
剖析命令注入攻擊
-
防範措施:將控制字元轉義
-
遠端程式碼執行
-
剖析遠端程式碼執行的攻擊
-
防範措施:在反序列化時停用程式碼執行功能
-
檔案上傳的漏洞
-
剖析檔案上傳攻擊
-
防範措施
-
小結
-
-
7 跨站腳本攻擊
-
儲存型XSS
-
防範措施1:轉義HTML 字元
-
防範措施2:實作內容安全原則
-
反射型XSS
-
防範措施:轉義HTTP 請求裡的動態內容
-
DOM 型XSS
-
防範措施:轉義URI 的參數內容
-
小結
-
-
8 跨站請求偽造攻擊
-
剖析CSRF 攻擊
-
防範措施1:遵循REST 原則
-
防範措施2:實作防CSRF Cookie
-
防範措施3:使用SameSite Cookie 屬性
-
額外防範:對於敏感作業應要求重新驗證身分
-
小結
-
-
9 攻擊身分驗證機制
-
實作身分驗證功能
-
HTTP 的原生身分驗證
-
非HTTP 原生的身分驗證
-
暴力破解
-
防範措施1:使用第三方身分驗證機制
-
防範措施2:與單一登入整合
-
防範措施3:保護自己的身分驗證系統
-
使用帳號和/ 或電子郵件位址
-
要求密碼複雜度
-
安全地儲存密碼
-
使用多因子身分驗證
-
實作安全的登出功能
-
防止枚舉使用者帳戶
-
小結
-
-
10 連線狀態劫持
-
Session 的運作方式
-
伺服器端的session 管理
-
用戶端的session 管理
-
如何劫持連線狀態
-
竊取Cookie
-
Session 定置
-
利用脆弱SessionID
-
小結
-
-
11 規避權限管制
-
權限提升
-
存取控制
-
設計授權模型
-
實作存取控制
-
測試存取控制
-
增加稽核軌跡
-
避免常見疏失
-
目錄遍歷
-
檔案路徑和相對檔案路徑的關係
-
剖析目錄遍歷攻擊
-
防範措施1:信任Web 伺服器內建機制
-
防範措施2:借用第三方託管服務
-
防範措施3:不要直接引用檔案
-
防範措施4:清理引用的檔案路徑
-
小結
-
-
12 資訊洩漏
-
防範措施1:停用可能洩漏資訊的回應標頭
-
防範措施2:使用更簡潔的URL
-
防範措施3:使用一般性的Cookie 參數
-
防範措施4:不要在用戶端顯示詳細的錯誤描述
-
防範措施5:壓縮或模糊化JavaScript 檔案
-
防範措施6:清理用戶端的不必要程式碼
-
隨時注意安全公告
-
小結
-
-
13 加解密機制
-
網際網路協定的加密機制
-
加密演算法、雜湊和信息鑑別碼
-
TLS 交握
-
啟用HTTPS
-
數位憑證
-
取得數位憑證
-
安裝數位憑證
-
攻擊HTTP 和HTTPS
-
無線路由器
-
Wi-Fi 熱點
-
網際網路服務供應商
-
政府機構
-
小結
-
-
14 第三方元件
-
第三方元件的安全性
-
掌握第三方元件的內涵
-
盡速部署新版本
-
隨時注意安全問題
-
瞭解升級時機
-
保護組態安全
-
停用預設的身分憑據
-
用開放式目錄列表
-
保護組態資訊
-
強化測試環境
-
強化前端管理界面的安全性
-
保護所用的服務
-
保護API 金鑰
-
保護網站提供的Webhooks
-
來自第三方內容的安全
-
利用服務作為攻擊向量
-
留心惡意廣告
-
避免傳遞惡意軟體
-
使用信譽良好的廣告平台
-
使用SafeFrame 標準
-
量身定作廣告偏好
-
檢查並回報可疑的廣告
-
小結
-
-
15 XML 攻擊
-
XML 的用途
-
檢驗XML
-
文件類型定義(DTD)
-
XML 炸彈
-
XML 外部單元體攻擊
-
駭客如何利用外部單元體
-
保護XML 解析器
-
Python
-
Ruby
-
Node.js
-
Java
-
.NET
-
其他注意事項
-
小結
-
-
16 不要成為幫兇
-
電子郵件詐欺
-
實作寄件者策略框架
-
實作網域金鑰識別郵件
-
保護電子郵件的實務手段
-
隱藏在電子郵件裡的惡意鏈結
-
開放式重導向
-
防範開放式重導向
-
其他注意事項
-
點擊劫持
-
防範點擊劫持
-
伺服器端請求偽造
-
防範伺服器端的請求偽造
-
殭屍網路
-
避免感染惡意程式
-
小結
-
-
17 DoS 攻擊
-
DoS 攻擊的類型
-
ICMP 攻擊
-
TCP 攻擊
-
應用層的攻擊
-
反射型和放大型攻擊
-
DDoS 攻擊
-
意外造成的DoS 攻擊
-
降低DoS 攻擊力道
-
防火牆和入侵防禦系統
-
DDoS 攻擊的協防服務
-
使用可擴展的架構
-
小結
-
-
18 總複習
-
- 出版地 : 臺灣
- 語言 : 繁體中文
評分與評論
請登入後再留言與評分
EPUB
PDF
EPUB
EPUB
PDF
