詳細說明
你的網站,現在可能正開著一個洞。
一個沒處理好的輸入框,一段沒過濾的網址參數,攻擊者就能在你使用者的瀏覽器裡執行他的程式碼。
後果是真的:
・網站被當成別人的免費伺服器,被塞滿一堆來路不明的圖
・網站內容被人從外面偷偷竄改
這些不是電影情節,是「洞沒補」的日常。而其中最常見、最多人忽略的入口之一,就叫 XSS。
問題是,大部分做網頁的人根本不知道它怎麼發生。
你會用框架、會串 API、會切版,但「使用者輸入的東西,怎麼變成可執行的攻擊」這件事,沒人教過你。等到出事,通常已經來不及。
這本手冊,就是要先讓你看懂這個洞。從一行網址參數開始,用攻擊者的視角理解 XSS 怎麼發生(反射型、儲存型、DOM 型),看清楚它怎麼把一個正常網站變成攻擊工具。接著給你一套照著做、就能把洞補起來的防禦清單。
讀完你會:
・看懂攻擊者怎麼想,而不是死背名詞
・三種 XSS 類型的實際 payload 與案例
・一套 code review 就能照著對的防禦清單
・從此知道自己的網站哪裡可能會破
白話、不囉嗦,新手也看得懂。如果你有在寫網站、做產品,這是你能買到最便宜的「不被搞」的保險。
限時特價 NT$650(原價 NT$2199),趁早拿。