近一兩年來,網頁開發無疑是技術書籍領域中獨占鰲頭的主題,不過有個有趣的現象,就是大部分的書籍都只是教導如何開發網頁程式,但是卻很少著墨在如何開發高安全性的網頁程式。本書就是針對這一點,以實際的程式碼來展示各種可能的漏洞與防禦對策。
本書一開始概略介紹網頁安全的觀念之後,便本著「不了解駭客就不可能防駭」的精神,以一個尋常的留言版程式,透過實際的攻擊,示範大家隨手都可能寫出來的程式裡,淺藏著多少的漏洞,凸顯網頁程式與一般應用程式在面對安全性時本質上的劇烈差異。
接著,作者彙整了14種駭客的攻擊手法一一詳解,並提出可能的對策。更重要的是,作者還舉出許多活生生的例子,都是在開發人員以為已經徹底封鎖駭客的攻擊之後,仍然存在的許多漏洞,更有許多知名軟體曾經範過的疏忽,再次提醒讀者仔細檢查程式的重要性。
經過上述的震撼教育後,作者再透過telnet直接連上HTTP伺服器直接溝通的方式,赤裸裸展示了前述各式攻擊手法運作的實況,同時也讓讀者瞭解到瀏覽器並不能限制駭客的攻擊方式,只要透過telnet連線,駭客更能夠以各種令人驚嘆的手法進行攻擊,切勿以為瀏覽器的限制可以成為一道值得信賴的防線。
全書到了這裡,算是已經完全體會到了駭客的無孔不入。因此,本書接著提供了多種檢查漏洞的方法,讓讀者可以針對自己所開發的程式,滴水不漏找出所有可能存在的漏洞。除此之外,作者也提供了兩個防駭工具,可以透過程式自動找出漏洞,不但可以提昇效率,也可避免人為的疏忽。
本書雖然是以PHP為主要討論的對象,不過書中所討論的主題,大體上也都適用於ASP、ASP.NET、JSP等這類伺服端的開發技術。對於網頁開發者來說,本書應該是迄今為止對於網頁程式安全性主題探討的最全面的中文書,頗值得一讀。延伸閱讀:
- 本書日文原著《PHP サイバーテロの技法 攻撃と防御の実際》
- 本書日文原著作者支援網頁。
