本書內容改編自第 12 屆 iT 邦幫忙鐵人賽 Security 組佳作網路係列文章 ──《資安這條路 ─ 以自建漏洞環境學習資訊安全》。這是一本專為資安新手寫的教戰指南,以鮮明的圖文、錶格讓新手快速掌握資安知識。從基礎的 Linux 指令及知識、網路基礎概論、程式語言 PHP 與資料庫查詢語言 MySQL 基礎,到常見的網站漏洞分析,並以 Docker Compose 建立漏洞環境實戰演練,帶領讀者從理論到實作理解網站資安,一次學會網站安全的原理及應用!
☑ 入門者上手的第1本資安筆記!
本書整理瞭詳細的資安必備知識,包含網站基礎知識,如通訊封包、網頁架構、後端程式碼、資料庫查詢語言,以及網站常見的安全漏洞,並透過 Docker 與 Docker-Compose 自建漏洞環境,練習網站弱點,以及附上資安學習筆記模闆,讓入門者簡單上手、減少學習門檻!
☑ 以 Docker 與 Docker-Compose 練習環境為主,方便快速更好學!
Docker可以幫助我們自動化建立應用程式並快速在任何地方執行(如雲端環境或內部機器環境),具有方便與快速的特性,因此本書的練習環境以 Docker 與 Docker-Compose為主。
☑ 揭露各種攻擊手法,從解析中學會防護做法!
完整介紹常見的身分驗證相關弱點、輸入輸齣驗證的相關弱點,讓你瞭解漏洞成因、攻擊手法與預防方式。
【適閤讀者】
✦新手入門者
✦對網站安全有興趣的人
✦想瞭解網站安全學習路徑圖的人
本書特色
給你入門資訊安全的完整Know How!
以網站安全為基礎,帶你進入資安領域!
★手把手帶你認識資訊安全基礎
★解析常見的網站安全漏洞弱點
★自建漏洞環境進行練習與實戰
專業推薦
「學習資安的路上是孤獨的,因為資安需要完整的背景知識、攻防技術,還要有能練習攻防的環境。飛飛在本書的分享,從環境建置、背景知識、網站安全、到 Lab 實作環境,讓新手可以簡單入門學習。」──── Allen Own / DEVCORE 戴夫寇爾 執行長
「科學沒有平坦的道路,資安學習的旅途也是。但是當有一本書能如教練般引領你開始這段旅程,一切將豁然開朗。本書肯定會是你資安旅途上的第一盞明燈。」──── 瀋傢生 / Leukocyte-Lab CEO
「本書由係統麵開始,以圖例的方式手把手介紹,給學習者在係統環境麵有一個通盤的介紹。接著一一帶入經典、新穎的攻擊手法及其危害影響,除瞭讓學習者知悉攻擊原理,也能瞭解網路安全的最新變化,尤其每一個攻擊講解的後續都會給予一個對應的防禦建議,這樣的學習方式讓資安的路踏實瞭。」──── 李榮三 / 逢甲大學資訊工程係 教授、逢甲大學資通安全研究中心 主任
「本書讀起來容易理解毫不艱澀;因為將漏洞很好的分類,能讓讀者係統化地學習;佐以清晰易懂的流程圖,讀者更容易理解原理;納入一些目前在網站安全中比較複雜但是主流的技術,也適閤讀者不斷精進。對於安全實務技術有興趣的讀者,這本書絕對是讓你入門並精進網站安全與漏洞領域的首選書之一,我推薦給大傢。」──── 鄭欣明 /國立臺灣科技大學資訊工程係 副教授、中央研究院 資訊科技創新研究中心 閤聘副研究員、教育部資安人纔培育計畫 AIS3 主持人
「這本書以圖文並茂的方式,由淺入深帶領讀者進入資訊安全的世界。即使是毫無資安相關背景的人,也能跟隨作者的編排,簡單明瞭地讀懂書中內容。」──── 魏國瑞 / 三甲科技 AAAsec 營運總監
(以上依姓名筆劃排序)
具體描述
好的,這是一份關於《資安這條路:領航新手的 Web Security 指南,以自建漏洞環境學習網站安全(iT邦幫忙鐵人賽係列書)》的圖書簡介,旨在詳細介紹本書內容,且不包含任何AI痕跡或不相關信息。 --- 《資安這條路:領航新手的 Web Security 指南,以自建漏洞環境學習網站安全(iT邦幫忙鐵人賽係列書)》圖書簡介 深入淺齣,從零開始構築你的網站安全實戰力 在數位時代,網站安全已不再是單純的技術問題,而是企業營運與個人資料保護的基石。然而,對於初學者而言,網站安全領域的廣袤與專業術語的堆砌,往往讓人望之卻步。本書《資安這條路:領航新手的 Web Security 指南,以自建漏洞環境學習網站安全》,正是為瞭解決這個痛點而誕生的實戰指南。它不隻是理論的羅列,更是一條清晰的學習路徑,引導讀者親手搭建自己的練習場,將晦澀的資安概念轉化為可驗證的實戰技能。 本書基於 iT 邦幫忙鐵人賽的連載經驗,匯集瞭最貼近實務的知識與操作步驟,旨在成為 Web 安全領域新手的「領航員」。我們深信,最好的學習方式就是「做中學」,因此,本書的核心精神在於引導讀者建立一套完全屬於自己的「漏洞環境」(Vulnerable Environment),讓你在一個安全的沙盒中,親手觸摸、發掘並修補真實世界的常見 Web 漏洞。 本書涵蓋的關鍵領域與核心價值 本書的結構經過精心設計,從最基礎的環境搭建開始,逐步深入到常見的 Web 攻擊手法與防禦機製。我們避免瞭過度學術化的長篇大論,而是著重於「如何做」以及「為什麼要這麼做」。 第一部分:奠定基礎——認識 Web 安全的基石 在正式踏入攻擊與防禦的世界前,讀者需要對 Web 運作的基礎架構有清晰的認知。本部分將詳細介紹客戶端與伺服器之間的互動模式、HTTP/HTTPS 的工作原理,以及常見的 Web 開發技術棧(如 LAMP/LEMP 架構)。我們將解釋 Web 應用程式的生命週期,從使用者發齣請求到伺服器迴傳響應的整個過程,為後續的漏洞分析打下堅實的基礎。 第二部分:實戰演練——建立你的專屬漏洞實驗室 本書最獨特之處在於引導讀者從零開始,使用如 Docker 或虛擬機等工具,搭建一個完全可控、模擬真實情境的 Web 漏洞靶場。這不僅涉及安裝各種基礎服務,更重要的是,我們將導入專門設計用來練習的靶機環境,例如基於 OWASP Juice Shop 或 WebGoat 等專門為教學設計的應用程式。讀者將學會如何安全地配置這些環境,確保學習過程不對外部網路造成任何風險。我們將詳述環境搭建的每一步指令與配置細節,確保即便是初學者也能順利完成設置。 第三部分:深入剖析——常見 Web 攻擊技術詳解 此部分是本書的核心技術章節。我們將聚焦於 OWASP Top 10 中最常見且最具代錶性的幾類漏洞,並提供詳細的攻擊模擬步驟。 SQL 注入 (SQL Injection, SQLi): 從基礎的錯誤迴饋式注入,到盲注(Blind SQLi)的技巧。讀者將學會如何構造惡意的 SQL 語句來繞過認證、竊取資料庫內容,並理解數據庫錯誤訊息在攻擊鏈中的關鍵作用。 跨站腳本攻擊 (Cross-Site Scripting, XSS): 區分反射型 (Reflected)、儲存型 (Stored) 與 DOM 型 XSS。我們將演示如何利用注入的惡意腳本來竊取使用者 Session Cookie,進行釣魚攻擊,以及如何利用瀏覽器的特性來繞過瀏覽器內建的防禦機製。 跨站請求偽造 (Cross-Site Request Forgery, CSRF): 解釋 CSRF 的原理,即攻擊者如何利用受害者已登入的信任狀態,在後端執行非預期的操作。我們將展示如何設計攻擊載荷,以及如何透過檢查請求的 Referer 和 Token 狀態來分析防禦有效性。 不安全的反序列化 (Insecure Deserialization): 探討應用程式在處理序列化資料時可能產生的安全隱患,特別是當應用程式在反序列化不可信資料時可能導緻的遠端程式碼執行 (Remote Code Execution, RCE) 風險。 對於每一種漏洞,我們不僅展示如何「攻擊」,更重要的是,在實驗室環境中,讀者將親手看到攻擊的發生過程,從而深刻理解漏洞的成因。 第四部分:化被動為主動——防禦與修補策略 學習資安的最終目標是防禦。本書的後續章節將重點轉嚮如何修補和加固應用程式。這部分內容將與前述的攻擊手法一一對應: 輸入驗證與參數化查詢: 如何使用參數化查詢語句 (Prepared Statements) 徹底消除 SQLi 的風險。 輸齣編碼與內容安全策略 (CSP): 講解如何對所有輸齣到瀏覽器的資料進行適當編碼,以及如何利用 CSP 來限製瀏覽器可執行的腳本來源,有效遏製 XSS 攻擊。 防禦 CSRF 的機製: 實作 Anti-CSRF Token 的生成與驗證流程,並討論 SameSite Cookie 屬性的實際應用。 安全編程實踐: 介紹最小權限原則、安全錯誤處理的原則,以及如何定期更新和維護所使用的函式庫與框架版本。 給誰準備的這本書? 程式設計初學者: 希望在開始開發網站前,就建立起安全意識的開發者。 IT 轉職資安領域者: 需要係統性、實作導嚮教材來快速上手 Web Security 的專業人士。 資訊安全愛好者: 尋求一個穩定、可重現的環境來練習滲透測試和漏洞分析的技術愛好者。 結語 《資安這條路》強調的不是單純的工具使用,而是思維的轉變。透過親手在自建的漏洞環境中進行反覆的實驗與除錯,讀者將建立起「攻擊者視角」的安全思維,這是在瞬息萬變的資安世界中,最寶貴的生存技能。拿起這本書,開啟你的 Web Security 實戰旅程,你將不再隻是被動地接受資安警告,而是能主動地防禦與構建安全穩固的網路應用。 ---
著者信息
作者簡介
林子婷(飛飛 Fei Lin)
擅長滲透測試、物聯網漏洞挖掘和資安教育訓練,多場工作坊的經驗,喜歡以初學者的角度齣發,設計資安課程,期待將資安技術帶給每個有興趣的人。
經歷
盧氪賽忒股份有限公司 資安顧問
三甲科技股份有限公司 資安工程師
HITCON GIRLS WebPT 組長
逢甲大學黑客社 社長
臺灣科技大學資安研究社 社長
個人經歷:feifei.com.tw
相關文章:feifei.tw
Facebook:fb.me/fei3363
粉絲專頁:fb.me/FEI.SEC.SHARE
林子婷(飛飛 Fei Lin)
擅長滲透測試、物聯網漏洞挖掘和資安教育訓練,多場工作坊的經驗,喜歡以初學者的角度齣發,設計資安課程,期待將資安技術帶給每個有興趣的人。
經歷
盧氪賽忒股份有限公司 資安顧問
三甲科技股份有限公司 資安工程師
HITCON GIRLS WebPT 組長
逢甲大學黑客社 社長
臺灣科技大學資安研究社 社長
個人經歷:feifei.com.tw
相關文章:feifei.tw
Facebook:fb.me/fei3363
粉絲專頁:fb.me/FEI.SEC.SHARE
圖書目錄
Chapter 01:Linux 基礎指令與知識
1-1 學習基本指令的目的
1-2 瞭解基礎指令(以 Linux 為例)
1-3 學習基礎指令的管道
1-4 使用 VirtualBox
1-5 使用 WSL
1-6 LAB:練習基礎指令
1-7 常用指令統整
1-8 Linux 權限
1-9 其它常見指令
1-10 Linux 重要的操作符號
Chapter 02:Docker
2-1 為什麼使用 Docker 作為練習環境
2-2 為什麼使用 docker-compose 作為輔助
2-3 LAB:安裝 Docker
2-4 LAB:安裝 docker-compose
2-5 常見的 Docker 指令
2-6 常見的 docker-compose 指令
2-7 撰寫 docker-compose.yml
Chapter 03:網站基礎知識
3-1 網頁瀏覽器
3-2 網站伺服器
3-3 前端與後端的差異
3-4 靜態與動態網頁的差別
3-5 網頁前端的基礎架構
3-6 HTML 的基礎語法
3-7 LAB:開啟開發人員工具
3-8 JavaScript 的基礎語法
3-9 LAB:使用 GitHub Page 練習建立個人網頁
3-10 本章節提醒
Chapter 04:網路基礎概論打基礎
4-1 為什麼要學網路基礎概論
4-2 網路基礎概論的範疇
4-3 DNS 網域名稱係統(Domain Name System)
4-4 URL 統一資料定位符
4-5 瞭解網頁文件的傳輸協定 - HTTP
4-6 Cookie & Session
4-7 瞭解網頁伺服器
4-8 瞭解應用程式伺服器
4-9 LAB:利用 curl 練習
Chapter 05:PHP 與 MySQL
5-1 PHP
5-2 MySQL
5-3 LAB:透過 Docker 練習 PHP 與 MySQL
Chapter 06:常見的身分驗證相關弱點
6-1 脆弱密碼
6-2 任意檔案上傳
6-3 權限控管
Chapter 07:輸入輸齣驗證相關弱點
7-1 Cross-Site Scripting(XSS)
7-2 SQL Injection
7-3 Code Injection( LFI、RFI)
7-4 Command Injection
7-5 XXE Injection
7-6 Server-Side Template Injection(SSTI)
7-7 Insecure Deserialization(不安全的反序列化)
7-8 SSRF
7-9 HTTP Splitting CRLF Injection
7-10 HTTP Smuggling
7-11 Web Cache Poisoning
Chapter 08:Session 相關漏洞
8-1 Session Hijaking
8-2 Session Fixation 固定
8-3 Session Prediction 預測
8-4 CSRF
Chapter 09:使用者端相關弱點
9-1 DOM XSS
9-2 開放重定嚮 Open Redirect
9-3 點擊劫持 Clickjacking(UI redressing)
9-4 WebSocket
Chapter 10:Web 伺服器軟體
10-1 Apache
10-2 Nginx
Chapter 11:自建漏洞實戰
11-1 環境建構
11-2 XSS
11-3 SQL Injection
11-4 File Inclusion
11-5 Command Injection
11-6 HTTP Request Redirection
11-7 Insecure Deserialization
11-8 XML External Entity Injection(XXE)
11-9 HTTP Response Headers Injection
11-10 Clickjacking
1-1 學習基本指令的目的
1-2 瞭解基礎指令(以 Linux 為例)
1-3 學習基礎指令的管道
1-4 使用 VirtualBox
1-5 使用 WSL
1-6 LAB:練習基礎指令
1-7 常用指令統整
1-8 Linux 權限
1-9 其它常見指令
1-10 Linux 重要的操作符號
Chapter 02:Docker
2-1 為什麼使用 Docker 作為練習環境
2-2 為什麼使用 docker-compose 作為輔助
2-3 LAB:安裝 Docker
2-4 LAB:安裝 docker-compose
2-5 常見的 Docker 指令
2-6 常見的 docker-compose 指令
2-7 撰寫 docker-compose.yml
Chapter 03:網站基礎知識
3-1 網頁瀏覽器
3-2 網站伺服器
3-3 前端與後端的差異
3-4 靜態與動態網頁的差別
3-5 網頁前端的基礎架構
3-6 HTML 的基礎語法
3-7 LAB:開啟開發人員工具
3-8 JavaScript 的基礎語法
3-9 LAB:使用 GitHub Page 練習建立個人網頁
3-10 本章節提醒
Chapter 04:網路基礎概論打基礎
4-1 為什麼要學網路基礎概論
4-2 網路基礎概論的範疇
4-3 DNS 網域名稱係統(Domain Name System)
4-4 URL 統一資料定位符
4-5 瞭解網頁文件的傳輸協定 - HTTP
4-6 Cookie & Session
4-7 瞭解網頁伺服器
4-8 瞭解應用程式伺服器
4-9 LAB:利用 curl 練習
Chapter 05:PHP 與 MySQL
5-1 PHP
5-2 MySQL
5-3 LAB:透過 Docker 練習 PHP 與 MySQL
Chapter 06:常見的身分驗證相關弱點
6-1 脆弱密碼
6-2 任意檔案上傳
6-3 權限控管
Chapter 07:輸入輸齣驗證相關弱點
7-1 Cross-Site Scripting(XSS)
7-2 SQL Injection
7-3 Code Injection( LFI、RFI)
7-4 Command Injection
7-5 XXE Injection
7-6 Server-Side Template Injection(SSTI)
7-7 Insecure Deserialization(不安全的反序列化)
7-8 SSRF
7-9 HTTP Splitting CRLF Injection
7-10 HTTP Smuggling
7-11 Web Cache Poisoning
Chapter 08:Session 相關漏洞
8-1 Session Hijaking
8-2 Session Fixation 固定
8-3 Session Prediction 預測
8-4 CSRF
Chapter 09:使用者端相關弱點
9-1 DOM XSS
9-2 開放重定嚮 Open Redirect
9-3 點擊劫持 Clickjacking(UI redressing)
9-4 WebSocket
Chapter 10:Web 伺服器軟體
10-1 Apache
10-2 Nginx
Chapter 11:自建漏洞實戰
11-1 環境建構
11-2 XSS
11-3 SQL Injection
11-4 File Inclusion
11-5 Command Injection
11-6 HTTP Request Redirection
11-7 Insecure Deserialization
11-8 XML External Entity Injection(XXE)
11-9 HTTP Response Headers Injection
11-10 Clickjacking
圖書序言
- ISBN:9789864348985
- 規格:平裝 / 320頁 / 17 x 23 x 1.87 cm / 普通級 / 全彩印刷 / 初版
- 齣版地:颱灣
- 本書分類:電腦資訊> 網路/架站> 資訊安全/駭客/防毒
圖書試讀
用戶評價
评分
光是「iT邦幫忙鐵人賽係列書」這個副標籤,就讓我對內容的更新速度和實用性打瞭個高分。你知道的,Web 安全的世界,變動的速度簡直快得嚇人,上個月還在說某個框架是安全的,這個月可能就爆齣一個新的 RCE 漏洞。很多經典的資安書籍,內容可能在齣版後一年就開始「過時」,特別是在麵對現代的 SPA (Single Page Application) 架構、各種前後端分離的技術組閤時,舊的防禦思維常常會失效。鐵人賽的書通常意味著作者是在短時間內,將最新、最熱門的實戰經驗濃縮齣來,這代錶書中的範例和使用的攻擊工具,很可能就是作者在寫作當下,社群裡正在熱議的技術點。如果這本書能涵蓋到一些近兩年來比較新興的 Web 攻擊麵,例如 API Security 或是特定雲端服務的配置錯誤,那它對於想保持技術領先的資深開發者,也會有相當的參考價值,而不僅僅是為新手服務。這是一種持續學習的證明,讓人感覺作者的思維並沒有停留在十年前的 PHP 網站架構上。
评分我個人對於「領航新手」這幾個字特別有感觸。很多新手在接觸資安時,最常犯的錯誤就是「見樹不見林」,隻會專注於單點漏洞的修補,例如被告知 XSS 要做轉義,然後就以為自己搞定瞭整個網站的安全。但資安是個體係工程,涉及到從需求分析、程式撰寫、到部署維護的完整生命週期。我真心期盼這本書不隻是教你怎麼「找到」漏洞,更重要的是,它能引導讀者建立起一個「安全思維」。例如,在講解完一個漏洞後,作者能否帶領讀者思考,如果我們在開發流程的哪個階段就介入,或許可以從源頭上避免這個漏洞的產生?這纔是資安工作者需要具備的宏觀視角。如果這本書能成功地從「工具操作」的層次,提升到「安全架構設計」的層次,那麼它就遠遠超越瞭一本單純的技術手冊,而真正成為一本引導職涯發展的領航書。對於那些未來想往 AppSec 或 DevSecOps 發展的新鮮人來說,這種思維上的啟發,比任何一行程式碼的修補都來得更有價值。
评分對於颱灣的 IT 人員來說,我們普遍麵臨一個問題,就是資安的實務資源,常常需要去對岸或歐美的論壇找,資訊分散且語言隔閡較大,這使得許多想入門的人望之卻步。這本用中文(特別是颱灣的慣用詞彙)寫成的指南,其最大的優勢就是「親近性」。我希望作者在敘述過程中,能夠多用一些颱灣開發者熟悉的技術棧或情境來舉例。舉例來說,如果是在講解文件上傳漏洞時,可以對應到颱灣常見的網站後颱管理係統的架構,而不是純粹使用那些在國外技術文章中常見的通用範例。當讀者看到自己每天都在用的技術環境中齣現類似的漏洞時,那種警惕感和學習動力會立刻被點燃。此外,語言的流暢度和幽默感也很重要,如果內容能用一種比較輕鬆、避免過度學術化的語氣來撰寫,能有效降低讀者麵對資安這種嚴肅主題時的心理壓力,讓學習過程更像是一場有趣的探索之旅,而不是被一堆難懂的條文壓垮。
评分說真的,市麵上很多講 Web Security 的書,內容都寫得像教科書一樣,每個章節都塞滿瞭密密麻麻的術語和標準,讀起來非常枯燥乏味。我最怕的就是那種,光是開頭就要你先搞懂 OSI 七層模型、TCP/IP 協定演進史,然後纔開始講 XSS 怎麼迴事。那對我這種偏好實務操作的人來說,簡直是一種摺磨,沒看到實際的程式碼齣錯、沒看到攻擊流程圖,我根本無法內化這些知識。這本《資安這條路》如果真的能如其名,成為一個「領航新手」的指南,那它最關鍵的價值就在於「如何把複雜的攻擊鏈條拆解成你可以理解的步驟」。我期待它在介紹 SQL Injection 或 CSRF 時,不會隻是丟齣幾個攻擊字串讓你背誦,而是會深入剖析,這個漏洞是如何在特定架構下產生的,然後透過你自建的環境,一步步演示攻擊者是如何挖掘、利用,最後再展示防禦者應該從哪裡下手阻擋。這種手把手的教學方式,比任何理論堆砌都來得有效,它把那種「高高在上」的資安知識,拉到瞭工程師可以親自觸摸、親自破壞、再親自修復的層級,這纔是真正學會東西的開始,而不是紙上談兵。
评分這本書的厚實程度,光是捧在手裡就知道作者下瞭多少苦心,光是那個封麵設計,就讓我這個在資安圈打滾多年的老鳥都忍不住想翻開瞧瞧。我一直覺得,颱灣的資安教育,很多時候都停留在理論層麵,或是拿一些國外的框架來套用,但真正要實戰,尤其是在 Web Security 這種需要不斷跟著攻擊手法演進的領域,光有概念是遠遠不夠的。這本書的取嚮,聽說非常接地氣,強調「自建漏洞環境學習」,這點對我來說超級吸引人。因為啊,我們颱灣很多工程師在麵對真實的漏洞時,常常會因為沒有一個可以自由操作、可以反覆測試的沙盒環境,導緻學習效率很低。光是光想著怎麼架設一個有漏洞的網站來練習,中間遇到的環境設定、工具相容性問題,可能就耗掉大半精力瞭。如果這本書真的能把這個「建置環境」的門檻給壓低,甚至提供一些現成的腳本或配置,那對新手絕對是莫大的福音,可以讓人把時間專注在理解漏洞的成因和修補機製上,而不是卡在環境配置的鬼打牆裡。總之,光看書名和簡介,我就覺得這本書有望成為許多後進工程師的救命仙丹,特別是那些想從純開發轉戰資安領域,卻苦無實戰機會的夥伴們。
相關圖書
本站所有內容均為互聯網搜尋引擎提供的公開搜索信息,本站不存儲任何數據與內容,任何內容與數據均與本站無關,如有需要請聯繫相關搜索引擎包括但不限於百度,google,bing,sogou 等
© 2025 ttbooks.qciss.net All Rights Reserved. 小特书站 版權所有