具体描述
跟着做,您也能学会如何找出网站漏洞
本书是针对想开始着手进行漏洞诊断的人,对于执行漏洞诊断所需之基础知识与技术进行详尽解说的一本入门书。
本书的前半部份,针对于网页应用程式是以什么样的机制来进行通讯的,而会引起什么样的问题,实施漏洞诊断需要什么样的HTTP相关知识等,进行说明。除此之外,还会对于网页应用程式所会遭受到的攻击为何、有哪些种类等,从基础开始加以解说。
在后半的实践篇部份,将以一个名为「BadStore」的虚拟购物网站来做实战练习,借此学习漏洞诊断的手法。我们将针对使用名为OWASP ZAP的自动工具来进行诊断的方式,以及使用名为Burp Suite的手动诊断辅助工具来进行诊断的方式来进行解说。在最终章节,我们将说明执行漏洞诊断时,所需要注意到的相关法规与准则。
在习得漏洞诊断的手法之后,各位便可对安全性进行客观的判断。除了网站应用程式的安全负责人、开发人员之外,对于经营者的各位而言,相信也是非常值得推荐的一本书。
问题发生之前,对于下述项目之中若有任何一项让您感到担忧的话,务必参阅本书!
.您对目前所採取的安全措施是否有信心?
.购物网站的搜寻功能是否安全?
.对于个人资讯之洩漏是否已採取防范措施?
.是否有具备帐号窃取防止措施?
.是否有具备防止恶意的写入行为之防范措施?
.是否有在不知情的情况下传送电子邮件给第三者?
.是否有具备防止密码被截取之防范措施?
.不该被存取的资源是否已被存取?
.是否有确保安全的通讯路径?
.商品的资讯是否有被改写?
著者信息
作者简介
上野宣(UENO・SEN)
株式会社Tricorder 代表取缔役
曾于奈良尖端科学技术研究所大学专攻资讯安全,经历过电子商务开发企业于东京证交所上市,2006年设立株式会社Tricorder。向企业及政府提供网路安全教育与训练服务、平台/网页应用程式之漏洞诊断服务。
身兼OWASP Japan分会负责人、资讯安全专门杂志《ScanNetSecurity》编辑长、Hardening专案执行委员、JNSA ISOG-J WG1负责人、SECCON执行委员、安全集中营首席讲师、独立行政法人资讯处理推广机构 安全中心研究员等职务。
上野宣(UENO・SEN)
株式会社Tricorder 代表取缔役
曾于奈良尖端科学技术研究所大学专攻资讯安全,经历过电子商务开发企业于东京证交所上市,2006年设立株式会社Tricorder。向企业及政府提供网路安全教育与训练服务、平台/网页应用程式之漏洞诊断服务。
身兼OWASP Japan分会负责人、资讯安全专门杂志《ScanNetSecurity》编辑长、Hardening专案执行委员、JNSA ISOG-J WG1负责人、SECCON执行委员、安全集中营首席讲师、独立行政法人资讯处理推广机构 安全中心研究员等职务。
图书目录
《基础篇》
第1|何谓漏洞诊断
说明何谓漏洞诊断。我们将针对网路及网页应用程式的漏洞为何,以及如何去找出其漏洞的手法。
第2|诊断所需的HTTP基础知识
针对网路上最为广泛应用的通讯协定:HTTP进行解说。
我们将学习到名为HTTP的通讯协定之机制,以及以传送讯息进行沟通之结构等。
第3|网页应用程式的漏洞
针对网页应用程式的漏洞进行解说。说明网页应用程式遭受攻击的方式,以及有哪些攻击的种类。
第4|漏洞诊断的流程
说明网页应用程式漏洞诊断的流程。我们将说明在实施诊断前需要做什么准备,以及该如何进行漏洞诊断、其实施步骤为何。
第5|实作练习环境与其准备
针对漏洞诊断所需之诊断工具、网页浏览器、实作练习环境的设定等进行解说。
《实作篇》
第6|以自动诊断工具实施漏洞诊断
介绍自动诊断工具「OWASP ZAP。我们将学习到如何使用自动诊断工具实施漏洞诊断之基础程序、OWASP ZAP的基本操作、漏洞诊断的实施方法等。
第7|以手动诊断辅助工具实施漏洞诊断
介绍手动诊断辅助工具「Burp Suite。我们将学习到使用Burp Suite来实施漏洞诊断的步骤、漏洞诊断时的判断标准、诊断清单的制作方法、Burp Suite 的基本操作、各种工具的使用方法、漏洞诊断的实施方法等。
第8|诊断报告书的制作
说明漏洞诊断实施后结果来制作、汇整诊断报告书之中,所该记载事项为何及各项漏洞的报告方式、风险评估的评比方式等进行解说。
第9|相关法规与准则
针对漏洞诊断相关法律、诊断时的规则及诊断结果的处置方式、安全相关标准与准则等来进行解说。
附录「实作练习环境的设定(Oracle VM VirtualBox)
介绍使用可作为实作练习环境之免费软体Oracle VM VirtualBox的设定方法。
第1|何谓漏洞诊断
说明何谓漏洞诊断。我们将针对网路及网页应用程式的漏洞为何,以及如何去找出其漏洞的手法。
第2|诊断所需的HTTP基础知识
针对网路上最为广泛应用的通讯协定:HTTP进行解说。
我们将学习到名为HTTP的通讯协定之机制,以及以传送讯息进行沟通之结构等。
第3|网页应用程式的漏洞
针对网页应用程式的漏洞进行解说。说明网页应用程式遭受攻击的方式,以及有哪些攻击的种类。
第4|漏洞诊断的流程
说明网页应用程式漏洞诊断的流程。我们将说明在实施诊断前需要做什么准备,以及该如何进行漏洞诊断、其实施步骤为何。
第5|实作练习环境与其准备
针对漏洞诊断所需之诊断工具、网页浏览器、实作练习环境的设定等进行解说。
《实作篇》
第6|以自动诊断工具实施漏洞诊断
介绍自动诊断工具「OWASP ZAP。我们将学习到如何使用自动诊断工具实施漏洞诊断之基础程序、OWASP ZAP的基本操作、漏洞诊断的实施方法等。
第7|以手动诊断辅助工具实施漏洞诊断
介绍手动诊断辅助工具「Burp Suite。我们将学习到使用Burp Suite来实施漏洞诊断的步骤、漏洞诊断时的判断标准、诊断清单的制作方法、Burp Suite 的基本操作、各种工具的使用方法、漏洞诊断的实施方法等。
第8|诊断报告书的制作
说明漏洞诊断实施后结果来制作、汇整诊断报告书之中,所该记载事项为何及各项漏洞的报告方式、风险评估的评比方式等进行解说。
第9|相关法规与准则
针对漏洞诊断相关法律、诊断时的规则及诊断结果的处置方式、安全相关标准与准则等来进行解说。
附录「实作练习环境的设定(Oracle VM VirtualBox)
介绍使用可作为实作练习环境之免费软体Oracle VM VirtualBox的设定方法。
图书序言
图书试读
None
用户评价
相关图书
本站所有内容均为互联网搜索引擎提供的公开搜索信息,本站不存储任何数据与内容,任何内容与数据均与本站无关,如有需要请联系相关搜索引擎包括但不限于百度,google,bing,sogou 等
© 2025 ttbooks.qciss.net All Rights Reserved. 小特书站 版权所有