🛡️ Web 安全與 OWASP 實戰
「我不懂安全,先把功能做出來再說⋯⋯」 然後你的資料庫就被駭了。
Web 安全不是選配,是標配。本課程用 Vibe Coding 的方式帶你了解 OWASP Top 10 漏洞,並讓 AI 幫你寫出安全程式碼。
🔥 Vibe Coding 核心 Prompt
【安全修復詠唱範例】
「請幫我檢查並修復這段程式的安全漏洞:1. 找出所有 SQL Injection 風險(使用者輸入直接拼接 SQL)。2. 改成 Parameterized Query。3. 檢查是否有 XSS 漏洞(使用者輸入直接渲染到 HTML)。4. 加入 CSRF Token 保護。5. 實作 Rate Limiting 防止暴力破解。6. 輸出修復前後的對比。」
🎯 課程大綱
- OWASP Top 10 概覽
- SQL Injection 與參數化查詢
- XSS 與 CSP
- CSRF 與 SameSite Cookie
- 認證與授權最佳實踐
課程導覽:這堂課你會學到什麼?
這堂課以 OWASP Top 10 為框架,逐一深入最常見的 Web 安全漏洞。
第一章:OWASP Top 10 概覽
了解 Web 安全風險的全貌——哪些漏洞最常見、哪些最危險。
第二章:SQL Injection
參數化查詢 vs 字串拼接——為什麼 Parameterized Query 可以完全防堵 SQL 注入。
第三章:XSS 與 CSP
跨站腳本的三大型態——反射型、儲存型、DOM Based,以及 CSP 如何一勞永逸。
第四章:CSRF 與 SameSite Cookie
跨站請求偽造的原理——為什麼 SameSite=Lax 可以解決大部分問題。
第五章:安全 API 實作
整合所有防護措施,設計一個從認證到輸出都安全的 API。