2014年10月31日 星期五

我的第一本作品「網站滲透測試實務入門」終於上市了

這本書是以我從事滲透測試的經驗所寫成的入門書,學習滲透測試過程中不乏名師指點,對初踏入滲透測試領域的初學者,看到老師如何利用OS的漏洞挾持電腦,如何控制殭屍電腦,是如何的驚奇、佩服。
但在現實環境中卻常感到不知如何下手,該用何種工具?因為每位老師的專業領域不同,工具使用習慣也不一樣,縱使受教多位名師,但沒有形成一個系統,都只是瑣碎、片斷的方法,本書希望以完整的測試流程為主幹,說明各階段工具應用方式,讓初學者能夠串連各階段的作業,進而提高工具的使用效果。
本書適合所有跟網站安全有關的人:
  • 網頁設計者:想知道自己開發的網頁應用程式是不是已經具備基本的安全防護能力。
  • 委外系統負責人:可以驗測廠商提供的系統是否合符安全規範。
  • 網站管理員:為確保網站穩定、安全,平時即可對網站進行測試,提升網站。
書籍的編排兼具參考手冊、教材雙重特色,不論實務執行時之隨身手冊,或做為課堂實務教才皆合宜。書中介紹的工具都可以免費取得,不必花大錢,也能做資安。
有興趣的博友們可到下列網路書店看看,也請多多幫忙宣傳!

17 則留言:

  1. 在書面上提供這樣資安的書確實不多,對於我是個學生來說,是個不錯的書,也提供許多免費工具,受益良多,感謝!

    回覆刪除
  2. 書不錯說明實務
    資安高手到底是樣樣都要精通 C# c++ web 開發 逆向工程 android ... 還專注在你最有興趣幾個其他為輔?
    網路變化快速,資安到底要學到怎樣的程度才能獨當一面例如分析網站安全 你的經驗談

    回覆刪除
    回覆
    1. 首先感謝您的支持!

      資安人員理論上是要「樣樣精通」,但人的腦力、時間有限,若涉獵過廣,可能流於「樣樣稀鬆」,我個人是專注在網站的安全,包括源碼判讀及補正、網頁漏洞的挖掘,至於其他部分則大多交給工具處理。

      做為一個資安人員,除了本業(像專注網站安全),也需要程式撰寫的能力,以便在必要時可以自己寫點輔助工具,當然您的團隊裡如果有程式高手,這部分就可以假他人之手。

      您問到「安到底要學到怎樣的程度才能獨當一面」,我覺得永遠不可能獨當一面(至少我是不可能),..資安沒有範圍、工具日日推陳出新,永遠都有新漏洞,這是一條不歸路,只有一直追,像書中提到的幾種必備技能也只足應付一般的網站漏洞,技術一定是要靠大家分享才能壯大,我的技能很多是從別人身上學來的,所以我才透過部落格、書本分享我所知道的,只是想做點反饋。

      如果只侷限在「滲透測試作業」,只要會用工具、寫文章,就可以獨當一面,我也常跟同事開玩笑說「測試結果,查無弱點,請准予結案」,這樣算不算獨當一面!

      刪除
  3. 你好,我目前讀資工系二年級 學習了1年多的 C java php mysql linux

    對資訊安全有興趣,想請問一下這本書適合我這種程度的人入門嗎

    回覆刪除
    回覆
    1. 您好:
      這本書不談程式設計,而是針對設計的成果(網頁或網站)進行檢測,書中內容定位:對網頁或網站的安全漏洞有興趣的「入門者」,所以書中是以免費的工具進行檢測為手段,再佐以發現的現象判斷是否為弱點。

      撰寫本書的初衷即鑑於國內學校教導Web系統設計,極少有涉及「安全設計」的議題,本書即希望可以喚起設計者在撰寫程式時能兼顧安全,故而提供一套初階的自我檢測的指引。

      做為一位作者,我不能武斷地說這本書適不適合您 ,謹提供 Google Books 上部分頁面供您試閱,祝您閱讀愉快。
      http://books.google.com.tw/books/about/%E7%B6%B2%E7%AB%99%E6%BB%B2%E9%80%8F%E6%B8%AC%E8%A9%A6%E5%AF%A6%E5%8B%99%E5%85%A5%E9%96%80_%E9%9B%BB%E5%AD%90%E6%9B%B8.html?id=KSOiBQAAQBAJ&redir_esc=y

      刪除
  4. 就你而言學習資訊安全領域 你最推薦哪幾本必看的經典好書(中英皆可)

    回覆刪除
    回覆
    1. 對不起,您這個議題太大了,「資訊安全領域」包括攻(滲透、駭客、...)、防(防毒、入侵偵測、...)、識(事後鑑識)及管(管理)四大領域,每個領域裡還可再分成若干子領域,我還沒有能力為您推薦經典好書。
      由於我個人專精網站的安全,茲就網站的滲透(或入侵)提供幾本個人學習過程的書供您參考:

      (一)如果初學者,建議先參考筆者這本「網站滲透測試實務入門」,雖然這本書沒有提供高深的技巧,但能提供完整的輪廓。
      (二)Metasploit滲透測試指南:詳細說明 Metasploit在滲透測試的應用。
      (三)Metasploit滲透測試魔鬼訓練營
      (四)Web2.0駭客技指
      (五)加密與解密
      (六)實戰封包分析:使用Wireshark
      (七)網路竟然這麼危險! 阿里巴巴首席安全專家教你全方位保護網站
      (八)黑客大曝光:網路安全機密與解決方案
      (九)Kali Linux & Back Track滲透測試實戰
      (十)Nmap Network Scanning
      (十一)~~筆者另一本即將付梓的 Kali Linux 滲透測試應用指引(暫名)

      說實話,我還沒遇到「經典」好書,不是書的內容不好,是因為資安沒有範圍,沒有一本書可以涵蓋所有我想要的,尤其技術更迭之快,書本往往跟不上漏洞的腳步,所以只能看著書,然後到網路上去找答案。

      這也就是我寫書、寫格文的目的,透過分享,讓大家可以找到「合適的資料」這就是經典。
      如果沒能適切回答您的問題,也請別見怪!

      刪除
  5. 大陸買不到。不知道哪家網上書店可以寄送大陸?
    Google book上有電子書,可不支持大陸付款。

    回覆刪除
    回覆
    1. 非常感謝您的支持,但書都是交給出版社處理,有關行銷的事可能要問出版社,您可以到http://books.gotop.com.tw/contact01.aspx 留言,碁峰應該會回答您的問題。

      刪除
  6. 我想請你來演講,是否可以跟你聯絡,謝謝。

    回覆刪除
  7. 你好,我目前是讀資網一年級的學生,我對遊戲輔助程式開發略懂一二,但我對網站滲透的知識卻不太了解,請問我購買這本書他裡面有教我們如何駭進網站嗎?

    回覆刪除
    回覆
    1. 沒有。
      滲透測試只是為了找出可能的弱點,不會詳細去談如何「駭進網站」。

      刪除
    2. 那你有沒有推薦單純只教「駭進網站」的書

      刪除
    3. 我想您應該也找過市面上的書籍了,「駭」不是一件簡單的事,不同的架構、程式語言及處理邏輯,就會產生幾十組探測漏洞的組合。
      還要有能力判斷探測的結果是否為漏洞,才能決內進攻的工具,外面教的都是針對範例網站(就像我書裡使用的 demo.testfire.net)這些網站本身就有漏洞,才能拿來教學。
      如果您有心從事這方面研究,應該先從網站程式設定及安全程式設計下手。

      刪除