Web security 

for developers

TonyQ

資訊安全

不同對象要擔心的事情不同

使用者怕


信用卡資料外洩

帳密外洩

資料外流

被盜用身份

網站怕?


被取得系統控制權

被取得資料存取

被冒用網站名義

使用者沒保護好自己


損失只有一個人(跟相關的朋友)

網站沒保護好自己


全站資料都暴露在危險之下....

如果網站密碼沒加密


http://plainpass.com
......

駭客需要高強功夫(?)


那些漏洞誰會知道啊,那不是我的責任。

打打網址複製貼上誰都會......

有些還有精美工具箱,醒醒吧孩子


http://sample.org/Default.aspx?EmployeeID=2

vs

http://sample.org/Default.aspx?EmployeeID=2;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;


安全 ?


是相對值,不是絕對值。

每天我們都在製造新的弱點


沒想清楚的程式碼,沒寫好的 code ,
甚至是別人的功能變成你的漏洞。

一些特別的伺服器行為或功能都可能導致漏洞:
ex. IIS 對多個副檔名的解讀
ex. CKeditor 自帶檔案管理介面可能會被發現

人不可能不犯錯

只是犯錯的代價是很高的

親身體驗

維護別人開發的老系統

有天幾十萬筆

資料憑空消失


只剩一週前備份,而且資料外流程度、用途,
無法估計與想像,讓人從此痛定思痛......

更恐怖的是

你雖然從結果知道

是 SQL Injection


但全站有超過 200 個 ASP FILE 要檢查

停機、關站


ETA  補完所有漏洞,估計需要至少一週

不關,你不知道資料會不會隔天又掰一次

那是場惡夢

別等到事情發生後再來後悔

防衛需要做到每個環節


外面有架防火牆就好?

防火牆擋不住蠢 code ...


因為我也不是專家

所以我來說說

身為一個 developer  應該要知道的細節

你應該要知道跟更新的問題



OWASP Top 10


Open Web Application Security Project

https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

A1 Injection 
A2 Broken Authentication and Session Management 
A3 Cross-Site Scripting (XSS) 
A4 Insecure Direct Object References 
A5 Security Misconfiguration 
A6 Sensitive Data Exposure 
A7 Missing Function Level Access Control 
A8 Cross-Site Request Forgery (CSRF) 
A9 Using Known Vulnerable Components 
A10 Unvalidated Redirects and Forwards

Reference
http://newsletter.ascc.sinica.edu.tw/news/read_news.php?nid=1303
http://newsletter.ascc.sinica.edu.tw/news/read_news.php?nid=1917

SQL Injection

CSRF attack

XSS attack

Q & A 

Thanks

security

By TonyQ Wang

security

  • 4,297

More from TonyQ Wang