2. 安全開發 - 應用
程式弱點自動偵
測及修正
Jim Liu
Chief Geek, Lucent Sky

3. Agenda
• 應用程式的弱點在哪裡？他們為什麼不好？
• 該怎麼識別弱點？
• 如何修正弱點？
• 甚麼是AVM (Application Vulnerability
Mitigation)？

4. 應用程式弱點是什麼？
• 應用程式弱點是指
原始碼中讓駭客可
以繞過安全特性，
例如認證或防火牆
的錯誤
安全特性

5. 應用程式安全是場艱苦的戰役
的網站都有弱點可能導致資料外洩
平均一個網站約有 個弱點
70%
480

6. 這是個昂貴的問題，修復也是
平均修正一個網站
的弱點費用約

7. 這段程式碼有什麼問題？
<% String eid = request.getParameter("eid"); %>
Employee ID: <%= eid %>

8. 這段呢？
String userName = ctx.getAuthenticatedUserName();
String itemName = request.getParameter("itemName");
String query = "SELECT * FROM items WHERE owner = '"
+ userName + "' AND itemname = '"
+ itemName + "'";
List items = sess.createSQLQuery(query).list();

9. 常見的弱點：Cross-Site Scripting
• 可以在用戶的瀏覽
器執行任意的
JavaScript
• 幾乎所有熱門的網
站都有被跨網站指
令碼攻擊過

10. 常見的弱點：SQL Injection
• 可以任意在資料庫主
機上執行SQL查詢和
系統指令
• 超過80%的台灣電子
商務網站現在存在
SQL資料隱碼攻擊的
弱點

11. Agenda
• 應用程式的弱點在哪裡？他們為什麼不好？
• 該怎麼識別弱點？
• 如何修正弱點？
• 甚麼是AVM (Application Vulnerability
Mitigation)

12. 啤酒時間！
• 你是怎麼識別自己應用程式
中的弱點的？
• 你採取了那些方法去預防發
布後的應用程式弱點？

13. 三種不同的靜態程式碼分析工具

14. 動態還是靜態測試？

15. 靜態安全檢測(SAST)很精確，
但實際上他做了什麼？

16. Agenda
• 應用程式的弱點在哪裡？他們為什麼不好？
• 該怎麼識別弱點？
• 如何修正弱點？
• 甚麼是AVM (Application Vulnerability
Mitigation)？

17. 你會怎麼處理這個弱點？
<% String eid = request.getParameter("eid"); %>
Employee ID: <%= eid %>

18. 你會怎麼處理這個弱點？
<% String eid = request.getParameter("eid"); %>
Employee ID: <%=
ESAPI.encoder().encodeForHTMLAttribute(eid) %>

19. 那這個呢？
String userName = ctx.getAuthenticatedUserName();
String itemName = request.getParameter("itemName");
String query = "SELECT * FROM items WHERE owner = '"
+ userName + "' AND itemname = '"
+ itemName + "'";
List items = sess.createSQLQuery(query).list();

20. 那這個呢？
String userName = ctx.getAuthenticatedUserName();
String itemName = request.getParameter("itemName");
String query = "SELECT * FROM items WHERE owner = '"
+ userName + "' AND itemname = '"
+ ESAPI.encoder().encodeForSQL(itemName)
+ "'";
List items = sess.createSQLQuery(query).list();

22. Agenda
• 應用程式的弱點在哪裡？他們為什麼不好？
• 該怎麼識別弱點？
• 如何修正弱點？
• 甚麼是AVM (Application Vulnerability
Mitigation)？

23. AVM: 像是對你的程式碼做拼字檢查

24. 很快就會支援Eclipse/NetBeans

25. 來看看AVM的Demo

26. 如何修正弱點 –
Case Study
Edward Chen
Security Consultant, M-Power

27. 整合至系統開發流程
• 程式開發人員主要著重在系統功能的開發，
因此程式碼弱點掃描則只要在最後要上版
前完成程式碼修正。
• 現行的開發流程皆會透過CI (Continuous
Integration)來完成最後的程式上版前的測試
與程式佈署上版。
• 使用簡易的方式自動修正程式碼中的弱點
以降低開發流程的複雜。

28. 簡單易用的操作介面

29. 操作指令-建立專案
• create project
– mono
console/SkyAnalyzer.Interface.Console.exe –
credential user_name --interface project --method
create --projectname projectname --
projectframework Java --projectid project_id

30. 操作指令-掃描排程建立
• create scan
– mono console/SkyAnalyzer.Interface.Console.exe -
-credential user_name --interface scan --method
create --projectid project_id --scanid scan_id

31. 操作指令-分析程式碼弱點
• analysis source
– mono console/SkyAnalyzer.Interface.Console.exe -
-credential user_name --interface scan --method
analyze --scanid scan_id --
scanmitigatedproject ”source_code_archive_file"

32. 操作指令-確認掃描排程
• Checking the status of a scan
– mono
console/SkyAnalyzer.Interface.Console.exe –
credential user_name --interface scan --method
status --scanid scan_id

33. 操作指令-取回修正後的程式碼
• Downloading mitigated source code
– mono SkyAnalyzer.Interface.Console.exe –
credential user_name --interface scan --method
mitigate --scanid scan_id--scanmitigatedproject
"secure_code_archive_file"

34. 自動修補程式碼的安全漏洞
• 修改前
• 修改後

35. 謝謝指教
Jim Liu
Chief Geek, LUCENT SKY
Edward Chen
Security Consultant, M-Power