Alan Tsai

『OWASP發展至今，前10大排名的弱點已不再是單純的一種攻擊名稱，而是一種不安全的行為。作者以弱點復現來說明其弱點成因，是我推薦本書的主要原因，希望本書能帶給程式設計師更多安全開發的觀念！』
——登豐數位科技創辦人／白帽駭客　黃建笙（Jason 方丈）　專文推薦

『雖然這本書是資訊安全的書籍，卻沒有艱深難懂的理論，利用輕鬆的攻與防，讓讀者在攻防戰之間提升資安與安全程式碼二者的經驗值，讓你一次擁有劍與盾兩件寶物。』
——微軟MVP最有價值專家　陳傳興（Bruce Chen）　專文推薦


ASP.NET Core開發人員經常會收到安全性測試的結果，報告中顯示的是在Web應用程式中所發現的漏洞。雖然這些報告可以提供一些高階的修復建議，但是它們往往沒有說明，為了解決或是修復這些測試所發現的弱點，你需要採取哪些確切的步驟？

在本書的第1章中，首先，你將學習安全程式碼的基本概念。然後，在第2章到第11章中，我們將帶領你一步步學習識別常見的Web應用程式漏洞。在閱讀的過程中，我們也會介紹如何在ASP.NET Core Web應用程式中修復不安全的組態設定。我們更進一步展示如何解決不同類型的跨網站指令碼(XSS)。最後還有獨立的一章，專門指導你修復不再屬於OWASP Top 10清單的其他漏洞。

本書的寫作格式屬於訣竅式風格(recipe style)：每一個訣竅都代表一個問題，我們會先展示不安全程式碼的範例，接著提供相應的解決方案，讓你學習如何根除應用程式中的安全錯誤。遵循簡單的訣竅步驟，你將探索ASP.NET Core Web應用程式中不同類型的安全性弱點，理解什麼樣的程式碼會導致應用程式不安全，然後一步步練習如何修復它們，由此建立強健又安全的解決方案。

讀完這本書，你將獲得解決ASP.NET Core Web應用程式安全性漏洞的實用訣竅，以及修復安全性缺陷的實戰經驗。

你將從本書學會：
・如何消滅ASP.NET Core Web應用程式中的bug
・探索不同類型的注入攻擊，並防止這個漏洞被利用
・修復與無效的身分驗證和授權相關的安全問題
・使用多種保護技術，排除敏感資料外洩的風險
・啟用ASP.NET Core Web應用程式的安全功能，防止不安全的組態設定
・探索ASP.NET Web應用程式的其他漏洞，以及安全開發的最佳實踐

目標讀者
本書的目標讀者是那些使用「ASP.NET Core框架」開發Web應用程式的開發人員和軟體工程師。本書非常適合初學者和經驗豐富的資深工程師：本書將指導新手學習編寫「安全程式碼」的必要基礎，而資深工程師也可以利用這本書，作為一個逐步編寫「ASP.NET Core安全程式碼」的快速參考。

對於那些希望深入理解「如何透過程式碼來保護ASP.NET Core應用程式」的應用系統安全工程師來說，這本書也能提供很好的幫助。本書將協助他們瞭解「如何修復」他們每天執行的安全測試所發現的問題。

作者簡介：

Roman Canlas是一名資深應用程式安全工程師，他在一家財星500強的公司工作，在那裡，他成功地從頭開始建立了全球的應用程式安全計劃。多年的開發經驗使他成為「安全程式碼審查」和「靜態應用程式安全測試」方面的專家，專注於Web技術。

Roman擁有多項認證：GIAC Web Application Penetration Tester（GWAPT）、ISC2的Certified Secure Software Lifecycle Professional（CSSLP），以及EC-Council的Certified Application Security Engineer in .NET（CASE.NET）。

Roman還擁有資訊系統碩士學位和電腦科學學士學位。