【讀書心得】PHP Web安全開發實戰
書籍資訊:
書名:PHP Web安全開發實戰
作者:湯青松
ISBN:7302511276
ISBN-13:9787302511274
出版社:清華大學出版社
出版日期:2018/10/01
心得:
本書最大的優點就是廣度相當足夠,從 web 應用最常見的 SQL injection、XSS 到系統工程領域的伺服器安全配置、再到所有人都應該注意的社交工程防範都有網羅到。書中有一句話我非常喜歡「安全是一個整體,不在於強大的地方有多強大,而在於弱小的地方有多弱。」通常被攻擊的弱點就來自那些我們粗心甚至未知的技巧與漏洞。不管如何,能知道越多攻擊手法,越能知道自己應該注意甚麼,進而避免犯下基本卻危險的錯誤。
至於本書最大的缺點為本書太過強調 "開發實戰",對於工具與實例部分都寫得太過詳細,這導致某些部分的內容相當容易過時。如圖把 port 掃描工具的指令都列在書上,但這些資訊在工具的文件上都能隨時看到最新版本。同時實例部分的程式、解決手法等也都會隨著時間過時。雖然這個問題是所有無法被更新的教學都會有的,但過於詳細這點放大了這個缺點。
不過防範原理與概念就沒這麼容易過時,且對於讀者未來再去學習最新或其他未提及的知識也會有幫助。例如書中有提及 CSRF,並在解釋其攻擊原理後展示 referer 判斷與 server 端產生 token 的防禦手法。相信有這些原理知識的前提下去查閱 SameSite Cookie、Double Submit Cookie 等相關資料時也能順利理解並應用。
總結:
我認為這本書內容對於老手來說可能太過簡單,推薦 PHP 資安新手觀看來提升自己的資安知識廣度。雖然本書有著實例與工具介紹太多太過細節導致容易隨著時間過時的缺點,但其中提及的攻擊手法與防禦思路卻不容易過期,這些資訊依舊對新手幫助不少。當然如果有發現廣度相當且出版日更新的書籍、或是本書作者的其他新書的話,可以優先考慮新書。
資訊安全只有相對沒有絕對,讓我們一起努力為網路安全盡一份力!本次的讀書心得就到此為止,謝謝正在觀看的你。
留言列表
