資訊安全:從入門到差點入獄
講者
敦陽科技資安顧問 虎虎/劉家茹
從工程師轉職成資安顧問
內容
1.開發人員與軟體安全
-商業邏輯 1: 金額不應為負數
後端應增加金額檢核點
-商業邏輯 2: 抽不到的ipnone
code應該寫在後端
2.常見程式弱點
-SQL injection漏洞造成資料外洩
XXS cross site scripting
3.工具及資源
常用弱點規範
1.QWASP
2.PCI-DSS(金流系統用)
看哪些網站有哪些漏洞
vulreport: https://vulreport.net/
4.Hacking知識
google hacking
google hacking database
防止: robot.txt
chrome -> 開發者模式
element, network-> 修改參數 -> 後端要檢查(加強檢核點)
目錄暴露
右鍵->檢測元素
社交工程
haveibeenpwned: 可檢測密碼是否外洩
www.insecam: 可看到所以沒有改密碼的攝影機畫面
clickclickclick.click: 可看到自己的攝影機畫面
水坑式攻擊
網路漏洞滲透測試小遊戲
overthewire:
中間人攻擊:
5.測試
白箱測試
原始碼檢測(code review)
檢測速度快, 效率高, 精準性高
分析所有可能的程式進入點
追蹤所有可能的程式執行路徑
找出所有可能的危險動作
黑箱測試
弱點掃瞄 Vulnerability Assessment (VA)
滲透測試 Penetration Test (PT)
執行「有效」的攻擊手法
模擬攻擊行為會影響主機環境資源
攻擊行為造成無效資料
6.軟體開發生命週期
SDLC
需求分析 -> 需求設計 -> 開發 -> 測試 -> 系統維運
7.網站應用程式安全問題類別
1.DDoS
2.商業邏輯
程式運作邏輯 、系統流程漏洞…
3.資源控制
網頁爬蒐、資訊洩露、錯誤訊息…
身份驗證 、 身份權限 、用戶欺騙…
4.輸入值驗證
登入階段 & 身份驗證
資料驗證 ( SQL Injection & 跨站腳本攻擊)
繞過資安設備(網頁防火牆 & 迴避資安函式庫)
5.資訊外洩
WAF除了商業邏輯外都可以解決
8.社群
1.tdohacker
2.ISDA
3.Hitcon: 8/25, 8/26
Last updated