More Related Content
Similar to Hiiir 資安講座 I 基礎網頁程式攻擊檢驗
Similar to Hiiir 資安講座 I 基礎網頁程式攻擊檢驗 (20)
Hiiir 資安講座 I 基礎網頁程式攻擊檢驗
- 1. 2012.12.12 @ Hiiir Inc.
Taien Wang<taien_wang@hiiir.com>
英屬維京群島商時間軸科技股份有限公司新創事業部
Taien內部資安講座 I
基礎網頁程式攻擊檢驗
- 4. 常用弱點
非官方網頁應用程式安全組織 OWASP
OWASP 2007 10大弱點 OWASP 2010 10大弱點
1 跨站腳本攻擊 (XSS) 注入攻擊
2 注入攻擊 跨站腳本攻擊(XSS)
3 惡意程式執行 身分驗證功能缺失
4 不安全的物件參考 不安全的物件參考
5 跨站請求偽造(CSRF) 跨站請求偽造(CSRF)
6 程式碼錯誤訊息外漏 安全性設定疏失
7 身分驗證功能缺失 未加密的儲存設備
8 未加密的儲存設備 無權限的URL控制
9 不安全的網路連練 不安全的傳輸防護
10 無權限的URL控制 未驗證的導向
- 5. 常見的網路攻擊
• 注入(Injection)
– SQL注入(SQL Injection)
– 命令注入(Command Injection)
– LDAP注入(LDAP Injection)
• 跨網站腳本(Cross-Site Script)
• 跨網站請求偽造(Cross-Site Request Forgery, CSRF)
• Cookie挾持/偽造(Cookie, Session Hijacking/Spoofing)
• 跳脫目錄(Escape Directory)
• 上傳過濾(Upload Filter)
• 遠端檔案引入(Remote File Inclusion)
• 非驗證重導/重送(Unvaildated Redirects and Forwards)
- 6. 弱點掃描工具
• OWASP Zed Attack Proxy Project
• Paros
• Nikto
• Google skipfish
• Burp Suite
• Shadow Security Scanner
• Acunetix Web Vulnerability Scanner
• Xscan
• NeXpose
• Nessus
- 11. 推薦書籍
• 程式開發安全
– 網路竟然這麼危險!阿里巴巴首席安全專家教你全方位保護網站
– 網頁程式駭客攻防實戰-以 PHP 為例
– The Web Application Hacker’s Handbook
– Hacking Exposed Web 2.0: Web 2.0 Security Secrets and Solutions
– Web 2.0 Security - Defending AJAX, RIA, AND SOA
– OWASP Testing Guide
– OWASP Code Review Guide
– The Database Hacker's Handbook Defending Database Servers
• 軟體安全開發架構
– Software Security: Building Security In
– Secure Software Development Life Cycle, SSDLC
- 12. 網路攻擊與防禦系列分享
• 主題: 網頁程式攻擊與防範
– 2012.12.12 10:30-11:30
• 主題: 安全的開發流程
– 2013.01.16 10:30-11:30
• 主題: 網路攻擊詳解(一)
– 用戶端攻擊與防禦
– 2013.02.05 10:30-11:30
• 主題: 網路攻擊詳解(二)
– 伺服器端攻擊與防禦
• 主題: 存取控制與加密演算法