跟著做,您也能學會如何找出網站漏洞
本書是針對想開始著手進行漏洞診斷的人,對於執行漏洞診斷所需之基礎知識與技術進行詳盡解說的一本入門書。
本書的前半部份,針對於網頁應用程式是以什麼樣的機制來進行通訊的,而會引起什麼樣的問題,實施漏洞診斷需要什麼樣的HTTP相關知識等,進行說明。除此之外,還會對於網頁應用程式所會遭受到的攻擊為何、有哪些種類等,從基礎開始加以解說。
在後半的實踐篇部份,將以一個名為「BadStore」的虛擬購物網站來做實戰練習,藉此學習漏洞診斷的手法。我們將針對使用名為OWASP ZAP的自動工具來進行診斷的方式,以及使用名為Burp Suite的手動診斷輔助工具來進行診斷的方式來進行解說。在最終章節,我們將說明執行漏洞診斷時,所需要注意到的相關法規與準則。
在習得漏洞診斷的手法之後,各位便可對安全性進行客觀的判斷。除了網站應用程式的安全負責人、開發人員之外,對於經營者的各位而言,相信也是非常值得推薦的一本書。
問題發生之前,對於下述項目之中若有任何一項讓您感到擔憂的話,務必參閱本書!
.您對目前所採取的安全措施是否有信心?
.購物網站的搜尋功能是否安全?
.對於個人資訊之洩漏是否已採取防範措施?
.是否有具備帳號竊取防止措施?
.是否有具備防止惡意的寫入行為之防範措施?
.是否有在不知情的情況下傳送電子郵件給第三者?
.是否有具備防止密碼被截取之防範措施?
.不該被存取的資源是否已被存取?
.是否有確保安全的通訊路徑?
.商品的資訊是否有被改寫?
