書名：駭客退散！站長、網管一定要知道的網站漏洞診斷術 出版社：碁峰 出版年月：201708 條碼：9789864764853 內容簡介 跟著做，您也能學會如何找出網站漏洞 本書是針對想開始著手進行漏洞診斷的人，對於執行漏洞診斷所需之基礎知識與技術進行詳盡解說的一本入門書。 本書的前半部份，針對於網頁應用程式是以什麼樣的機制來進行通訊的，而會引起什麼樣的問題，實施漏洞診斷需要什麼樣的HTTP相關知識等，進行說明。除此之外，還會對於網頁應用程式所會遭受到的攻擊為何、有哪些種類等，從基礎開始加以解說。 在後半的實踐篇部份，將以一個名為「BadStore」的虛擬購物網站來做實戰練習，藉此學習漏洞診斷的手法。我們將針對使用名為OWASP ZAP的自動工具來進行診斷的方式，以及使用名為Burp Suite的手動診斷輔助工具來進行診斷的方式來進行解說。在最終章節，我們將說明執行漏洞診斷時，所需要注意到的相關法規與準則。 在習得漏洞診斷的手法之後，各位便可對安全性進行客觀的判斷。除了網站應用程式的安全負責人、開發人員之外，對於經營者的各位而言，相信也是非常值得推薦的一本書。 問題發生之前，對於下述項目之中若有任何一項讓您感到擔憂的話，務必參閱本書！ ．您對目前所採取的安全措施是否有信心？ ．購物網站的搜尋功能是否安全？ ．對於個人資訊之洩漏是否已採取防範措施？ ．是否有具備帳號竊取防止措施？ ．是否有具備防止惡意的寫入行為之防範措施？ ．是否有在不知情的情況下傳送電子郵件給第三者？ ．是否有具備防止密碼被截取之防範措施？ ．不該被存取的資源是否已被存取？ ．是否有確保安全的通訊路徑？ ．商品的資訊是否有被改寫？ 作者介紹 作者簡介 上野宣（UENO・SEN） 株式會社Tricorder 代表取締役 曾於奈良尖端科學技術研究所大學專攻資訊安全，經歷過電子商務開發企業於東京證交所上市，2006年設立株式會社Tricorder。向企業及政府提供網路安全教育與訓練服務、平台／網頁應用程式之漏洞診斷服務。 身兼OWASP Japan分會負責人、資訊安全專門雜誌《ScanNetSecurity》編輯長、Hardening專案執行委員、JNSA ISOG-J WG1負責人、SECCON執行委員、安全集中營首席講師、獨立行政法人資訊處理推廣機構 安全中心研究員等職務。 目錄 《基礎篇》 第1｜何謂漏洞診斷 說明何謂漏洞診斷。我們將針對網路及網頁應用程式的漏洞為何，以及如何去找出其漏洞的手法。 第2｜診斷所需的HTTP基礎知識 針對網路上最為廣泛應用的通訊協定：HTTP進行解說。 我們將學習到名為HTTP的通訊協定之機制，以及以傳送訊息進行溝通之結構等。 第3｜網頁應用程式的漏洞 針對網頁應用程式的漏洞進行解說。說明網頁應用程式遭受攻擊的方式，以及有哪些攻擊的種類。 第4｜漏洞診斷的流程 說明網頁應用程式漏洞診斷的流程。我們將說明在實施診斷前需要做什麼準備，以及該如何進行漏洞診斷、其實施步驟為何。 第5｜實作練習環境與其準備 針對漏洞診斷所需之診斷工具、網頁瀏覽器、實作練習環境的設定等進行解說。 《實作篇》 第6｜以自動診斷工具實施漏洞診斷 介紹自動診斷工具「OWASP ZAP。我們將學習到如何使用自動診斷工具實施漏洞診斷之基礎程序、OWASP ZAP的基本操作、漏洞診斷的實施方法等。 第7｜以手動診斷輔助工具實施漏洞診斷 介紹手動診斷輔助工具「Burp Suite。我們將學習到使用Burp Suite來實施漏洞診斷的步驟、漏洞診斷時的判斷標準、診斷清單的製作方法、Burp Suite 的基本操作、各種工具的使用方法、漏洞診斷的實施方法等。 第8｜診斷報告書的製作 說明漏洞診斷實施後結果來製作、彙整診斷報告書之中，所該記載事項為何及各項漏洞的報告方式、風險評估的評比方式等進行解說。 第9｜相關法規與準則 針對漏洞診斷相關法律、診斷時的規則及診斷結果的處置方式、安全相關標準與準則等來進行解說。 附錄「實作練習環境的設定（Oracle VM VirtualBox） 介紹使用可作為實作練習環境之免費軟體Oracle VM VirtualBox的設定方法。