(圖片來自 Google for Education)
2021 鐵人賽又開賽啦 ! 繼 2019 前端工程師用 javaScript 學演算法 跟 2020 Functional Programming in JS,今年其實想再參加一波!但考量總總原因後,決定今年鐵人賽不但不會完賽而且也只會有一篇(對就是這一篇),因為自己設定的時間不是一個月,而是預計半年 (超不鐵人XD)、不一定寫到 30 篇但也有可能超過的資訊安全系列!
完全跟軟體無相關科系畢業,非常非常喜歡前端這個工作 (這行大家都喜歡分享也熱情投入),這五年專精在寫 JS, 覺得寫邏輯比切版有趣太多。
至從夢想到美國矽谷工作後,就非常認真的練功跟刷 LeetCode!現在也達成心願找到理想公司並在矽谷生活邁入第三年了。但進入擁有世界最頂尖軟體工程師地矽谷後才知道自己有多麼的弱,只能繼續帶著謙卑並願意學習的心慢慢成長。
在現任資安公司工作超過一年半了,雖然職位跟做的事都還是前端相關,但有幸待在資安公司、資安議題近幾年又越來越受重視,總是有義務必須知道資安 Know how,以及前端工程師需要注意的部分。
大家 brainstorming 資安第一一定是駭客,電影中駭客駭入國家電腦竊取機密資訊、駭客破解密碼機關幫主角們逃亡很猛、駭客一定是團隊中重要角色,007 電影 James Bond 沒了團隊幫他先駭進敵營打探好敵情跟路線,光是會打架也一定輸啊!
好了,但我又沒什麼機密資訊,資安跟我有什麼關係 ? 就算真的登入資訊被盜走、瀏覽器紀錄被監視、FB 隱私權外露,好像也還好啊 ?! 不不不,你想想,若你所有的行為,例如刷信用卡、網路搜尋紀錄、所在地點、喜好全被即時收集加以分類,就可以把這些資料加以分析並操縱你、帶風向、炒作議題等等。最有名的例子就是劍橋分析了,也很推薦可以看 Netflix 的 個資風暴:劍橋分析事件 (The Great Hack)。看完真的覺得毛骨悚然,我們所相信的民主可以是一場騙局 ?! 所以不是只有大型企業跟國家才需要做好資安,一般人都需要有基本的資安知識的!
坦白說我以前覺得前端跟資安沒什麼關係,事情幾乎都是發生在後端 (例如資料庫被盜)。結果發現我錯了!!雖然後端要處理的資安議題的確比前端多很多,但前端的 code 也是有可能存在許多風險的,例如 API token 直接寫在 JS 裡、SVG 圖片可能會被 XSS attack、敏感資訊放在 client side 等等,此系列文也會多針對前端相關議題與要注意的點。
資訊安全 (Information Security) 既可深又可廣,但畢竟我只是個前端工程師,會管到就是網站而已 ,所以除了系列文 first section 會提到必須知道的資訊安全基本觀念外,剩下還是會著重於汪洋資訊安全海裡的一小片 web security。
網路上文章也是普遍深澀所以想繼續用用圖片 + 簡單例子撰寫這一系列文章。作圖時間通常都花超久時間,但希望能用此加深自己跟讀者印象。
目錄清單之後會持續更新
Cyber Risk、Vulnerabilities、Zero Day、網路威脅、OWASP TOP 10…: Defense in Depth、CVE、CVSS…
Zero-Day 零時差攻擊 : 這篇也會解釋在看資安相關文章一定會出現的關鍵字 修補 (Patch)、漏洞 (Vulnerability) 、利用 (Exploits)
Security Lingo: Defense in Depth、CVE、CVSS…
幼幼班也能懂的 OWASP TOP 10: 2017 OWASP Top 10
熱騰騰的漏洞排行榜 2021 OWASP TOP 10 : 2021 OWASP Top 10
待補…
這個 section 佔的篇幅應該最多,包含同源政策、HTTP Header 、XSS、CSRF、SQL Injection、Clickjacking、簡單密碼學、寫 Web 常不小心就寫出的的資安風險…最後也會玩幾題 Web 相關 CTF
掃描 (Scan)、修補 (Patch)、複掃 (Re-Scan)、報告 (Report)…
如有錯誤或需要改進的地方,拜託跟我說。
我會以最快速度修改,感謝您。
也歡迎追蹤我的部落格,除了技術文也會分享一些在矽谷生活的甘苦
iThome鐵人賽
看影片追技術