資訊安全：從入門到差點入獄

• 講者

  • 敦陽科技資安顧問 虎虎/劉家茹

  • 從工程師轉職成資安顧問

• 活動共筆

  • http://goo.gl/hWWVSH

• 簡報

  • http://s.itho.me/techtalk/2017/iThome-Teach-0322.pdf

• 內容

  • 1.開發人員與軟體安全

    • -商業邏輯 1: 金額不應為負數

      • 後端應增加金額檢核點

    • -商業邏輯 2: 抽不到的ipnone

      • code應該寫在後端

  • 2.常見程式弱點

    • -SQL injection漏洞造成資料外洩

        ‘ OR 1=1 —

    • XXS cross site scripting

        <script>alert(“xss")</scirpt>

  • 3.工具及資源

    • 常用弱點規範

      • 1.QWASP

      • 2.PCI-DSS(金流系統用)

    • 看哪些網站有哪些漏洞

      • vulreport: https://vulreport.net/

  • 4.Hacking知識

    • google hacking

      • google hacking database

      • 防止: robot.txt

    • chrome -> 開發者模式

      • element, network-> 修改參數 -> 後端要檢查(加強檢核點)

    • 目錄暴露

      • 右鍵->檢測元素

    • 社交工程

      • haveibeenpwned: 可檢測密碼是否外洩

      • www.insecam: 可看到所以沒有改密碼的攝影機畫面

      • clickclickclick.click: 可看到自己的攝影機畫面

    • 水坑式攻擊

    • 網路漏洞滲透測試小遊戲

      • overthewire:

        http://overthewire.org/wargames/

    • 中間人攻擊:

  • 5.測試

    • 白箱測試

      • 原始碼檢測(code review)

      • 檢測速度快, 效率高, 精準性高

      • 分析所有可能的程式進入點

      • 追蹤所有可能的程式執行路徑

      • 找出所有可能的危險動作

    • 黑箱測試

      • 弱點掃瞄 Vulnerability Assessment (VA)

      • 滲透測試 Penetration Test (PT)

      • 執行「有效」的攻擊手法

      • 模擬攻擊行為會影響主機環境資源

      • 攻擊行為造成無效資料

  • 6.軟體開發生命週期

    • SDLC

      • 需求分析 -> 需求設計 -> 開發 -> 測試 -> 系統維運

  • 7.網站應用程式安全問題類別

    • 1.DDoS

    • 2.商業邏輯

      • 程式運作邏輯 、系統流程漏洞…

    • 3.資源控制

      • 網頁爬蒐、資訊洩露、錯誤訊息…

      • 身份驗證 、 身份權限 、用戶欺騙…

    • 4.輸入值驗證

      • 登入階段 & 身份驗證

      • 資料驗證 ( SQL Injection & 跨站腳本攻擊)

      • 繞過資安設備(網頁防火牆 & 迴避資安函式庫)

    • 5.資訊外洩

    • WAF除了商業邏輯外都可以解決

  • 8.社群

    • 1.tdohacker

    • 2.ISDA

    • 3.Hitcon: 8/25, 8/26