Web security
for developers
TonyQ
資訊安全
不同對象要擔心的事情不同
使用者怕
信用卡資料外洩
帳密外洩
資料外流
被盜用身份
網站怕?
被取得系統控制權
被取得資料存取
被冒用網站名義
使用者沒保護好自己
損失只有一個人(跟相關的朋友)
網站沒保護好自己
全站資料都暴露在危險之下....
如果網站密碼沒加密
http://plainpass.com
......
駭客需要高強功夫(?)
那些漏洞誰會知道啊,那不是我的責任。
打打網址複製貼上誰都會......
有些還有精美工具箱,醒醒吧孩子
http://sample.org/Default.aspx?EmployeeID=2
vs
http://sample.org/Default.aspx?EmployeeID=2;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;
安全 ?
是相對值,不是絕對值。
每天我們都在製造新的弱點
沒想清楚的程式碼,沒寫好的 code ,
甚至是別人的功能變成你的漏洞。
一些特別的伺服器行為或功能都可能導致漏洞:
ex. IIS 對多個副檔名的解讀
ex. CKeditor 自帶檔案管理介面可能會被發現
人不可能不犯錯
只是犯錯的代價是很高的
親身體驗
維護別人開發的老系統
有天幾十萬筆
資料憑空消失
只剩一週前備份,而且資料外流程度、用途,
無法估計與想像,讓人從此痛定思痛......
更恐怖的是
你雖然從結果知道
是 SQL Injection
但全站有超過 200 個 ASP FILE 要檢查
停機、關站
ETA 補完所有漏洞,估計需要至少一週
不關,你不知道資料會不會隔天又掰一次
那是場惡夢
別等到事情發生後再來後悔
防衛需要做到每個環節
外面有架防火牆就好?
防火牆擋不住蠢 code ...
因為我也不是專家
所以我來說說
身為一個 developer 應該要知道的細節
你應該要知道跟更新的問題
OWASP Top 10
Open Web Application Security Project
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
A1 Injection
A2 Broken Authentication and Session Management
A3 Cross-Site Scripting (XSS)
A4 Insecure Direct Object References
A5 Security Misconfiguration
A6 Sensitive Data Exposure
A7 Missing Function Level Access Control
A8 Cross-Site Request Forgery (CSRF)
A9 Using Known Vulnerable Components
A10 Unvalidated Redirects and Forwards
Reference
http://newsletter.ascc.sinica.edu.tw/news/read_news.php?nid=1303
http://newsletter.ascc.sinica.edu.tw/news/read_news.php?nid=1917
SQL Injection
CSRF attack
XSS attack
Q & A
Thanks
security
By TonyQ Wang
security
- 4,300