01-1. 什麼是 Web 資安？為什麼重要？

⏱️ 閱讀時間： 8 分鐘 🎯 難度： ⭐ (超級簡單) ⚠️ 提醒： 本文內容僅供學習與防禦用途

🎯 本篇重點

理解什麼是 Web 資安、為什麼需要學習資安、真實世界的資安事件，以及基本的資安概念。

🤔 什麼是 Web 資安？

Web Security（Web 資安） = 保護網站、Web 應用程式、API 免受攻擊的技術與實踐

一句話解釋： Web 資安就像是網站的保全系統，防止壞人偷取資料、破壞服務、冒充用戶。

🏠 用生活情境來比喻

實體世界的安全

你的家需要什麼保護？

1. 門鎖 🔐
   → 防止陌生人進入

2. 監視器 📹
   → 記錄可疑活動

3. 保險箱 🔒
   → 保護重要物品

4. 警報系統 🚨
   → 發現異常立即通知

如果沒有這些：
→ 小偷可以隨意進出
→ 貴重物品被偷走
→ 你可能完全不知道

Web 世界的安全

你的網站需要什麼保護？

1. 身份驗證 🔐
   → 確認用戶是誰（登入系統）
   → 類似：門鎖

2. 存取控制 👥
   → 控制誰可以看什麼資料
   → 類似：房間權限

3. 資料加密 🔒
   → 保護敏感資料（密碼、信用卡）
   → 類似：保險箱

4. 日誌記錄 📝
   → 記錄所有操作
   → 類似：監視器

5. 輸入驗證 🛡️
   → 檢查用戶輸入是否安全
   → 類似：安檢

如果沒有這些：
→ 駭客可以竊取用戶資料
→ 冒充其他用戶
→ 刪除資料庫
→ 癱瘓服務

💥 為什麼 Web 資安重要？真實案例

📊 驚人的數據洩漏案例

案例 1：Facebook (2021)

事件：5.33 億用戶資料外洩
包含：
- 電話號碼
- 完整姓名
- 位置
- Email
- 個人資料

原因：API 漏洞（存取控制不當）
影響：5.33 億用戶隱私外洩

案例 2：Equifax (2017)

事件：1.47 億美國消費者資料外洩
包含：
- 社會安全號碼
- 生日
- 地址
- 駕照號碼
- 信用卡號碼

原因：未修補的 Apache Struts 漏洞（反序列化攻擊）
損失：超過 5.75 億美元賠償
結果：CIO、CSO 辭職

案例 3：Capital One (2019)

事件：1 億用戶資料外洩
包含：
- 信用卡申請資料
- 社會安全號碼
- 銀行帳號

原因：SSRF（伺服器端請求偽造）漏洞
攻擊方式：
1. 利用 SSRF 訪問 AWS Metadata
2. 竊取 AWS IAM 憑證
3. 下載 S3 bucket 內的所有資料

損失：1.9 億美元和解金
駭客：被判 12 年有期徒刑

案例 4：Yahoo (2013-2014)

事件：30 億用戶帳號全部外洩（史上最大規模）
包含：
- 用戶名稱
- Email
- 電話號碼
- 生日
- 密碼（加密但較弱）

原因：多重漏洞組合攻擊
影響：Yahoo 被 Verizon 收購價格砍 3.5 億美元

📉 資安事件的影響

對公司的影響

💰 金錢損失
├─ 直接損失：罰款、賠償、和解金
├─ 修復成本：緊急修補、安全升級
├─ 股價下跌：投資人信心喪失
└─ 客戶流失：用戶轉向競爭對手

⏱️ 平均數據：
- 數據洩漏平均成本：435 萬美元（IBM 2023 報告）
- 股價平均下跌：7.5%
- 客戶流失率：30-40%

📉 商譽損失
├─ 品牌形象受損
├─ 客戶信任破裂
├─ 媒體負面報導
└─ 長期影響難以估計

⚖️ 法律責任
├─ GDPR：最高可罰年營收 4% 或 2000萬歐元
├─ 集體訴訟
└─ 監管調查

對用戶的影響

🔓 隱私外洩
├─ 個人資料被公開
├─ 身份盜用風險
├─ 詐騙電話/郵件
└─ 信用紀錄受損

💸 金錢損失
├─ 信用卡盜刷
├─ 銀行帳戶被盜
├─ 勒索軟體贖金
└─ 修復成本

😰 心理壓力
├─ 擔心被冒用
├─ 需要更換所有密碼
└─ 長期監控信用紀錄

🎯 Web 資安的核心目標

保護三個關鍵要素（後續詳細介紹）

🔐 1. 機密性（Confidentiality）
   → 確保資料只有授權者能看到
   → 範例：密碼、信用卡、個人資料

✅ 2. 完整性（Integrity）
   → 確保資料未被竄改
   → 範例：交易紀錄、訂單資訊

⚡ 3. 可用性（Availability）
   → 確保服務正常運作
   → 範例：網站不被 DDoS 攻擊癱瘓

合稱：CIA Triad（三元組）
下一篇會詳細介紹！

🛡️ 常見的 Web 攻擊類型預覽

三大必學攻擊（後續章節詳細講解）

💉 1. SQL Injection（SQL 注入）
   攻擊：在輸入框注入惡意 SQL 指令
   後果：竊取整個資料庫
   範例：
   輸入：1' OR '1'='1
   結果：繞過登入，取得所有用戶資料

⚠️ 2. XSS（跨站腳本攻擊）
   攻擊：在網頁注入惡意 JavaScript
   後果：竊取 Cookie、Session
   範例：
   留言：<script>偷走你的 Cookie</script>
   結果：其他用戶瀏覽時被竊取帳號

🎯 3. CSRF（跨站請求偽造）
   攻擊：誘騙用戶執行非預期操作
   後果：轉帳、刪除資料
   範例：
   你登入銀行網站後
   點擊惡意連結 → 自動轉帳給駭客

這三種攻擊在面試中 100% 會考！

👨‍💻 誰需要學習 Web 資安？

✅ 所有開發者都應該學！

🌐 全端工程師
├─ 前端：防禦 XSS、CSRF
├─ 後端：防禦 SQL Injection、存取控制
└─ 必學指數：⭐⭐⭐⭐⭐

💻 後端工程師
├─ 資料庫安全
├─ API 安全
├─ 伺服器安全
└─ 必學指數：⭐⭐⭐⭐⭐

📱 前端工程師
├─ XSS 防禦
├─ CSRF 防禦
├─ Cookie 安全
└─ 必學指數：⭐⭐⭐⭐

☁️ DevOps/雲端工程師
├─ SSRF 防禦
├─ 安全配置
├─ 日誌監控
└─ 必學指數：⭐⭐⭐⭐

🎓 學生/新手
├─ 建立資安意識
├─ 準備面試
├─ 職業發展
└─ 必學指數：⭐⭐⭐⭐⭐

🎓 學習 Web 資安的好處

對職涯發展

💼 工作機會
├─ 資安工程師薪資高（年薪常 150 萬+）
├─ 所有科技公司都需要資安人才
└─ 遠端工作機會多

📈 技術面試加分
├─ 面試必考題（SQL Injection、XSS）
├─ 展現專業素養
└─ 談薪資更有底氣

🚀 職涯晉升
├─ 從工程師晉升為 Tech Lead
├─ 架構設計必備知識
└─ 提升代碼審查能力

對個人能力

🧠 技術能力提升
├─ 理解系統運作原理
├─ 寫出更安全的代碼
└─ 發現並修復漏洞

🔍 問題分析能力
├─ 以攻擊者角度思考
├─ 預測潛在風險
└─ 設計更健壯的系統

😌 心理素質
├─ 不再擔心寫出漏洞
├─ 上線更有信心
└─ 能應對資安事件

📚 本系列學習內容

你將學到的技能

✅ 理論知識（30%）
├─ 各種攻擊原理
├─ OWASP Top 10
├─ 加密與認證機制
└─ 資安最佳實踐

✅ 實戰技能（50%）
├─ 識別代碼中的漏洞
├─ 編寫安全的 Django 代碼
├─ 使用安全工具（Burp Suite、OWASP ZAP）
└─ 代碼審查

✅ 面試準備（20%）
├─ 高頻考題詳解
├─ 面試應答技巧
└─ 實際案例分析

課程架構

🔰 基礎篇（4 週）
├─ 資安基礎概念
├─ SQL Injection
├─ XSS
├─ CSRF
└─ 身份驗證

💡 進階篇（4 週）
├─ OWASP Top 10
├─ SSRF
├─ 反序列化攻擊
├─ XXE
└─ 加密原理

🐍 Django 專題（隨時穿插）
├─ Django 安全機制
├─ ORM 安全
├─ Template 安全
└─ 安全檢查清單

🛡️ 實戰篇（2 週）
├─ 防禦策略
├─ 工具使用
└─ 代碼審查

⚠️ 學習須知與道德聲明

學習目的

✅ 正確使用：

1. 學習漏洞原理以便防禦
2. 保護自己的應用程式
3. 通過技術面試
4. 在練習平台測試（DVWA、WebGoat）
5. 道德滲透測試（有授權）

❌ 嚴格禁止：

1. 攻擊未授權的系統
2. 惡意利用漏洞
3. 竊取或刪除他人資料
4. 破壞服務
5. 任何違法行為

⚖️ 違法者將面臨刑事責任！
台灣：電腦犯罪最高 5 年有期徒刑
美國：CFAA 法案最高 10 年有期徒刑

道德守則

🎯 學習資安的正確心態：

1. 防禦優先
   → 學習攻擊是為了更好地防禦

2. 合法合規
   → 只在授權環境測試

3. 保護用戶
   → 寫安全的代碼保護用戶隱私

4. 負責任披露
   → 發現漏洞應通知廠商，不公開利用

5. 持續學習
   → 資安技術日新月異，需持續更新知識

💡 學習建議

如何開始學習？

📖 Step 1：建立基礎知識（本週）
└─ 讀完 01-1 到 01-4（資安基礎篇）

💉 Step 2：學習三大攻擊（2-3 週）
├─ SQL Injection
├─ XSS
└─ CSRF

🐍 Step 3：Django 實戰（1 週）
└─ Django 安全機制與最佳實踐

🏆 Step 4：OWASP Top 10（2 週）
└─ 系統化掌握常見漏洞

🔥 Step 5：進階攻擊（2 週）
├─ SSRF
├─ 反序列化
└─ XXE

🛡️ Step 6：防禦與工具（1 週）
└─ Burp Suite、OWASP ZAP

學習資源

📚 線上練習平台：
├─ PortSwigger Web Security Academy（強烈推薦！）
├─ OWASP WebGoat
├─ HackTheBox
└─ TryHackMe

🛠️ 工具：
├─ Burp Suite（漏洞掃描）
├─ OWASP ZAP（開源替代品）
├─ Browser DevTools（除錯）
└─ Postman（API 測試）

💻 練習環境：
└─ DVWA（Damn Vulnerable Web App）
   docker pull vulnerables/web-dvwa
   docker run -p 80:80 vulnerables/web-dvwa

✅ 重點回顧

Web 資安定義：

• 保護網站、應用程式免受攻擊的技術與實踐
• 就像實體世界的門鎖、保險箱、監視器

為什麼重要：

• ✅ 真實案例：Facebook、Equifax、Capital One 都曾被攻擊
• ✅ 金錢損失：平均每次洩漏成本 435 萬美元
• ✅ 用戶信任：隱私外洩、身份盜用風險
• ✅ 法律責任：GDPR 罰款最高年營收 4%

三大必學攻擊：

• 💉 SQL Injection（竊取資料庫）
• ⚠️ XSS（竊取 Cookie）
• 🎯 CSRF（偽造請求）

學習好處：

• ✅ 通過技術面試
• ✅ 提升職涯競爭力
• ✅ 寫出更安全的代碼
• ✅ 保護用戶隱私

學習須知：

• ✅ 僅供學習與防禦用途
• ❌ 禁止攻擊未授權系統
• ⚖️ 違法行為須負刑事責任

下一步：

• 📖 閱讀 01-2：理解 CIA 三元組（機密性、完整性、可用性）
• 💻 建立練習環境（DVWA）
• 🎯 開始思考：你的專案有哪些潛在風險？

🎯 思考練習

在繼續下一篇前，思考這些問題：

1. 你目前的專案有哪些敏感資料？

   • 用戶密碼？
   • 信用卡資訊？
   • 個人資料？

2. 如果資料洩漏會怎樣？

   • 對用戶的影響？
   • 對公司的影響？
   • 你的責任？

3. 你的代碼有做這些防護嗎？

   • 密碼有加密？
   • SQL 查詢有防注入？
   • 用戶輸入有驗證？

帶著這些問題，開始你的資安學習之旅！

下一篇： 01-2. CIA 三元組：機密性、完整性、可用性

最後更新：2025-01-16