loading
cover

不只是工程師才要懂的 App 資訊安全:取得資安檢測合格證書血淚史(iT邦幫忙鐵人賽系列書)

點閱數

作者
楊士逸 (羊小咩)

出版社
博碩文化

格式
PDF

本書內容改編自第12屆iT邦幫忙鐵人賽,Security組優選網路系列文章
《看完眼眶濕濕的App開發者慘烈對抗險惡資安環境血與淚的控訴!》

*平時也不可鬆懈!使用手機時也可以進行的資安措施
*揭開加解密演算法的神秘面紗,並教導讀者如何使用
*嚴密防堵駭客破解手機App,全面保護手機資訊安全
*講解程式發布安全、敏感性資料保護等資安檢測項目


筆者以幽默詼諧的方式介紹艱澀難懂的演算法和如何破解及保護App,也是台灣第一本,詳細介紹 App資安檢測項目,並如何通過檢測取得證書,並加料許多即使是一般使用者也受用無窮的保護手機資訊安全的觀念。


【書籍特色】

大家都該懂得手機資安保護
◾ 該不該JB或Root,危害是什麼
◾ 公用Wi-Fi好危險
◾ 簡訊驗證安全嗎
◾ 權限隨便給,就會被人看光光
資安檢測,從菜鳥到專家
◾ 資安檢測怎麼誕生的
◾ 怎麼查找自己所需的規範文件
◾ 怎麼取得資安檢測通過證書和標章
◾ 逐項講解資安檢測項目和技巧
神祕的加密學,就這樣趕鴨子上架
◾ 實作各種雜湊演算法,且運用於電子簽章
◾ 從原理到實作講解對稱加密演算法,公開金鑰演算法
◾ 在各種情境下使用混合加密系統
手機App是怎麼破解,又該怎麼保護
◾ 駭客是如何脫殼,反編譯
◾ 使用憑證綁定確保通訊安全
◾ 混淆程式碼保護你的App
◾ 攔截通訊傳遞資料


【目標讀者】

一般使用者
◾ 可以了解什麼樣的App是否安全,該怎麼保護自己的個資。
一般App開發者
◾ 可以學到 SSL數位憑證觀念, 怎麼將資料加密和怎麼攔截網路傳輸資料。
資深App開發者
◾ 了解駭客是如何使用「敲殼、逆向、滲透」破解App,又該如何保護App。


【專業推薦】

作者跟大家介紹如何使用工具監看網路封包,同時也介紹各種常見的加密演算法的理論與實作,口吻輕鬆有趣,搭配圖解說明,不管你是一般的App使用者或是開發者,相信都能在此書中學得資安相關技能,以及保護自己或保護App的方式。

────高見龍 / 五倍紅寶石程式資訊教育 負責人


作者透過自身經驗與學習,解析當前市面上流行的攻擊手法,讓讀者可以快速的理解各種攻擊手法以及相對應的防範措施該如何進行,並且分享了取得資安檢測合格證書辛苦的經驗與歷程給大家。這絕對是一本不能錯過的好書。

────Paul Li / Yahoo 奇摩 Lead Engineer
楊士逸 (羊小咩)

現任某知名電子支付和第三方支付中高階經理人,偶爾客串各種產業技術顧問,擁有專案管理師(PMP)及敏捷專案管理師證照(CSM),擅長 Web 及 App 領域等技術,主要負責專案執行、系統分析、架構規劃及維護、研發循環,品質管制及稽核作業,致力於實踐各種支付環境和金融服務,以提供更安全及便利的支付體系。
喜歡唬爛及誤人子弟,曾擔任 iOS iPlayground 2019,iPlayground 2020講者,出沒 iOS Taipei、CocoaHeads Taipei、NodeJS 等社群,偶爾分享些有的沒的。不定期參與資安研討會,以及配合參與主管機關金管會或銀行局有關支付、資訊安全、法規修改等討論議題,讓自己在金融資訊安全等領域貢獻些綿薄之力。
第1章 行動應用基本資安規範
1-1 行動應用基本資安規範
1-2 如何查詢已通過國家認證資安檢測
1-3 如何取得合格證書及標章
1-4 資安規範文件到底要怎麼看

第2章 資安檢測
2-1 暈頭轉向資安檢測項目表
2-2 資安檢測(I) 4.1.1.行動應用程式發布安全
2-3 資安檢測(II) 4.1.2.安全敏感性資料保護
2-4 資安檢測(III) 4.1.3.交易資源控管安全
2-5 資安檢測(IV) 4.1.4.行動應用程式使用者身分鑑別、授權與連線管理安全
2-6 資安檢測(V) 4.1.5.行動應用程式碼安全
2-7 資安檢測(VI) 4.2.2.伺服器端安全檢測
2-8 資安檢測小結

第3章 網路抓包怎麼抓
3-1 網路流量數據分析
3-2 Charles Web Debugging Proxy
3-3 使用Charles–攔截手機流量
3-4 Burp Suite
3-5 方便控管代理伺服器的SwitchyOmega–擴充軟體

第4章 密碼學三劍客
4-1 其實只是換件衣服–編碼(Encode)
4-2 什麼都能尬的果汁機–雜湊Hash
4-3 幫訊息申請一個簽證–訊息鑑別碼MAC
4-4 來談談很厲害又神祕的密碼學–茅塞頓開
4-5 對稱式加密演算法–DES & 3DES
4-6 使用3DES(實戰篇)
4-7 對稱式加密演算法–大家都愛用的AES
4-8 使用AES(實戰篇)
4-9 加密模式–使用加密要注意的那些眉眉角角(一)
4-10 為什麼要有初始向量–使用加密要注意的那些眉眉角角(二)
4-11 填充模式–使用加密要注意的那些眉眉角角(三)
4-12 非對稱式加密演算法–RSA (觀念篇)
4-13 非對稱式加密演算法–RSA (實戰篇)
4-14 非對稱式加密演算法–橢圓曲線密碼學 (觀念篇)
4-15 非對稱式加密演算法–橢圓曲線密碼學 (實戰篇)
4-16 混血的就是萌–混合加密系統

第5章 App要更安全,還能做什麼
5-1 憑證綁定(Certificate Pinning)–綁起來
5-2 手機螢幕截圖安全性問題,小心被看光光
5-3 通通脫掉–反編譯Decompiling
5-4 要別人看不懂,自己也看不懂的–混淆Obfuscation

第6章 疏忽這些小事情,等於資料拱手給人
6-1 一不注意就被偷走帳號密碼的–剪貼簿
6-2 該不該破解(Root/JB)手機呢–裝置遭破解的偵測
6-3 公共Wi-Fi好危險–免費的最貴
6-4 手機這些權限,你真的同意了嗎
6-5 簡訊驗證一點都不安全,被人偷看了還不自知

附錄:參考資源

其他人也在看