🛡️ Web 安全與 OWASP 實戰

「我不懂安全,先把功能做出來再說⋯⋯」 然後你的資料庫就被駭了。

Web 安全不是選配,是標配。本課程用 Vibe Coding 的方式帶你了解 OWASP Top 10 漏洞,並讓 AI 幫你寫出安全程式碼。

🔥 Vibe Coding 核心 Prompt

【安全修復詠唱範例】 「請幫我檢查並修復這段程式的安全漏洞: 1. 找出所有 SQL Injection 風險(使用者輸入直接拼接 SQL)。 2. 改成 Parameterized Query。 3. 檢查是否有 XSS 漏洞(使用者輸入直接渲染到 HTML)。 4. 加入 CSRF Token 保護。 5. 實作 Rate Limiting 防止暴力破解。 6. 輸出修復前後的對比。」

🎯 課程大綱

  1. OWASP Top 10 概覽
  2. SQL Injection 與參數化查詢
  3. XSS 與 CSP
  4. CSRF 與 SameSite Cookie
  5. 認證與授權最佳實踐


課程導覽:這堂課你會學到什麼?

這堂課以 OWASP Top 10 為框架,逐一深入最常見的 Web 安全漏洞。

第一章:OWASP Top 10 概覽

了解 Web 安全風險的全貌——哪些漏洞最常見、哪些最危險。

第二章:SQL Injection

參數化查詢 vs 字串拼接——為什麼 Parameterized Query 可以完全防堵 SQL 注入。

第三章:XSS 與 CSP

跨站腳本的三大型態——反射型、儲存型、DOM Based,以及 CSP 如何一勞永逸。

第四章:CSRF 與 SameSite Cookie

跨站請求偽造的原理——為什麼 SameSite=Lax 可以解決大部分問題。

第五章:安全 API 實作

整合所有防護措施,設計一個從認證到輸出都安全的 API。