Enviar búsqueda
Cargar
WEB SECURITY
•
5 recomendaciones
•
570 vistas
Título mejorado por IA
Mu Chun Wang
Seguir
Tecnología
Denunciar
Compartir
Denunciar
Compartir
1 de 59
Descargar ahora
Descargar para leer sin conexión
Recomendados
20090313 Cakephpstudy
20090313 Cakephpstudy
Yusuke Ando
spring_jiaocheng
spring_jiaocheng
Shilong Sang
WindowsユーザのためのはじめてのPerlプログラミング
WindowsユーザのためのはじめてのPerlプログラミング
Yosuke HASEGAWA
Revisited
Revisited
Shunsaku Kudo
Dissecting professional APT team's spear tip
Dissecting professional APT team's spear tip
HeungSoo Kang
PE보다 스크립트 - 핵인싸 악성코드의 진단 우회방식
PE보다 스크립트 - 핵인싸 악성코드의 진단 우회방식
HeungSoo Kang
Zurich2007 MySQL Query Optimization
Zurich2007 MySQL Query Optimization
Hiệp Lê Tuấn
Chinaonrails Rubyonrails21 Zh
Chinaonrails Rubyonrails21 Zh
Jesse Cai
Recomendados
20090313 Cakephpstudy
20090313 Cakephpstudy
Yusuke Ando
spring_jiaocheng
spring_jiaocheng
Shilong Sang
WindowsユーザのためのはじめてのPerlプログラミング
WindowsユーザのためのはじめてのPerlプログラミング
Yosuke HASEGAWA
Revisited
Revisited
Shunsaku Kudo
Dissecting professional APT team's spear tip
Dissecting professional APT team's spear tip
HeungSoo Kang
PE보다 스크립트 - 핵인싸 악성코드의 진단 우회방식
PE보다 스크립트 - 핵인싸 악성코드의 진단 우회방식
HeungSoo Kang
Zurich2007 MySQL Query Optimization
Zurich2007 MySQL Query Optimization
Hiệp Lê Tuấn
Chinaonrails Rubyonrails21 Zh
Chinaonrails Rubyonrails21 Zh
Jesse Cai
Rails Cache
Rails Cache
wear
Mitigate Maliciousness -- jQuery Europe 2013
Mitigate Maliciousness -- jQuery Europe 2013
Mike West
Paranoia shanee EDL
Paranoia shanee EDL
shanee simpson
B01 multiple
B01 multiple
Rajat Khanna
Using Phing for Fun and Profit
Using Phing for Fun and Profit
Nicholas Jansma
Html22
Html22
passkalilo
Testing
Testing
Nyasha Kanengoni
Ruby on Rails Tutorial Part I
Ruby on Rails Tutorial Part I
Wei Jen Lu
Jumpstarting big data projects / Architectural Considerations of HDInsight Ap...
Jumpstarting big data projects / Architectural Considerations of HDInsight Ap...
Olivia Klose
Show messagehello
Show messagehello
Mildred Madrid
微软客户端技术纵览
微软客户端技术纵览
ntoskrnl
SEASR and UIMA
SEASR and UIMA
Loretta Auvil
shoubox script
shoubox script
Alif Mahardika
Memcache Injection (Hacktrick'15)
Memcache Injection (Hacktrick'15)
Ömer Çıtak
сири тверді
сири тверді
petrushaoo
SAS and 80/20
SAS and 80/20
Paul McDonald
St 002
St 002
María Paulina Parra Torres
Tecnologias Open Source para Alta Disponibilidade e Segurança de Aplicações Web
Tecnologias Open Source para Alta Disponibilidade e Segurança de Aplicações Web
Alexandro Silva
As props
As props
hitesh_gaur
網路安全
網路安全
Alexander Shieh
UMiP推廣手冊V1.1
UMiP推廣手冊V1.1
Mu Chun Wang
用jQuery玩弄你的網頁1
用jQuery玩弄你的網頁1
Mu Chun Wang
Más contenido relacionado
La actualidad más candente
Rails Cache
Rails Cache
wear
Mitigate Maliciousness -- jQuery Europe 2013
Mitigate Maliciousness -- jQuery Europe 2013
Mike West
Paranoia shanee EDL
Paranoia shanee EDL
shanee simpson
B01 multiple
B01 multiple
Rajat Khanna
Using Phing for Fun and Profit
Using Phing for Fun and Profit
Nicholas Jansma
Html22
Html22
passkalilo
Testing
Testing
Nyasha Kanengoni
Ruby on Rails Tutorial Part I
Ruby on Rails Tutorial Part I
Wei Jen Lu
Jumpstarting big data projects / Architectural Considerations of HDInsight Ap...
Jumpstarting big data projects / Architectural Considerations of HDInsight Ap...
Olivia Klose
Show messagehello
Show messagehello
Mildred Madrid
微软客户端技术纵览
微软客户端技术纵览
ntoskrnl
SEASR and UIMA
SEASR and UIMA
Loretta Auvil
shoubox script
shoubox script
Alif Mahardika
Memcache Injection (Hacktrick'15)
Memcache Injection (Hacktrick'15)
Ömer Çıtak
сири тверді
сири тверді
petrushaoo
SAS and 80/20
SAS and 80/20
Paul McDonald
St 002
St 002
María Paulina Parra Torres
Tecnologias Open Source para Alta Disponibilidade e Segurança de Aplicações Web
Tecnologias Open Source para Alta Disponibilidade e Segurança de Aplicações Web
Alexandro Silva
As props
As props
hitesh_gaur
La actualidad más candente
(19)
Rails Cache
Rails Cache
Mitigate Maliciousness -- jQuery Europe 2013
Mitigate Maliciousness -- jQuery Europe 2013
Paranoia shanee EDL
Paranoia shanee EDL
B01 multiple
B01 multiple
Using Phing for Fun and Profit
Using Phing for Fun and Profit
Html22
Html22
Testing
Testing
Ruby on Rails Tutorial Part I
Ruby on Rails Tutorial Part I
Jumpstarting big data projects / Architectural Considerations of HDInsight Ap...
Jumpstarting big data projects / Architectural Considerations of HDInsight Ap...
Show messagehello
Show messagehello
微软客户端技术纵览
微软客户端技术纵览
SEASR and UIMA
SEASR and UIMA
shoubox script
shoubox script
Memcache Injection (Hacktrick'15)
Memcache Injection (Hacktrick'15)
сири тверді
сири тверді
SAS and 80/20
SAS and 80/20
St 002
St 002
Tecnologias Open Source para Alta Disponibilidade e Segurança de Aplicações Web
Tecnologias Open Source para Alta Disponibilidade e Segurança de Aplicações Web
As props
As props
Destacado
網路安全
網路安全
Alexander Shieh
UMiP推廣手冊V1.1
UMiP推廣手冊V1.1
Mu Chun Wang
用jQuery玩弄你的網頁1
用jQuery玩弄你的網頁1
Mu Chun Wang
How to Study and Do Research
How to Study and Do Research
Mu Chun Wang
新生說明會 Presentation
新生說明會 Presentation
Mu Chun Wang
微網誌介紹
微網誌介紹
Mu Chun Wang
Firebase introduction
Firebase introduction
Mu Chun Wang
第一次避免被數位洪流淹死就上手
第一次避免被數位洪流淹死就上手
Mu Chun Wang
Ruby on rails探索
Ruby on rails探索
Mu Chun Wang
重新探討HTML
重新探討HTML
Mu Chun Wang
Ogg簡介
Ogg簡介
Mu Chun Wang
成功的道路是沒有捷徑的
成功的道路是沒有捷徑的
Mu Chun Wang
新生說明會_slide
新生說明會_slide
Mu Chun Wang
宜大資工所簡介
宜大資工所簡介
Mu Chun Wang
版本控制系統介紹
版本控制系統介紹
Mu Chun Wang
如何利用 Docker 強化網站安全
如何利用 Docker 強化網站安全
Tim Hsu
邱爾德教授 - Effective Oral Presentation
邱爾德教授 - Effective Oral Presentation
Mu Chun Wang
How to build a scalable SNS using HBase
How to build a scalable SNS using HBase
Mu Chun Wang
山寨機的藍海戰略
山寨機的藍海戰略
Mu Chun Wang
Using Maven to build Java & Android program
Using Maven to build Java & Android program
Mu Chun Wang
Destacado
(20)
網路安全
網路安全
UMiP推廣手冊V1.1
UMiP推廣手冊V1.1
用jQuery玩弄你的網頁1
用jQuery玩弄你的網頁1
How to Study and Do Research
How to Study and Do Research
新生說明會 Presentation
新生說明會 Presentation
微網誌介紹
微網誌介紹
Firebase introduction
Firebase introduction
第一次避免被數位洪流淹死就上手
第一次避免被數位洪流淹死就上手
Ruby on rails探索
Ruby on rails探索
重新探討HTML
重新探討HTML
Ogg簡介
Ogg簡介
成功的道路是沒有捷徑的
成功的道路是沒有捷徑的
新生說明會_slide
新生說明會_slide
宜大資工所簡介
宜大資工所簡介
版本控制系統介紹
版本控制系統介紹
如何利用 Docker 強化網站安全
如何利用 Docker 強化網站安全
邱爾德教授 - Effective Oral Presentation
邱爾德教授 - Effective Oral Presentation
How to build a scalable SNS using HBase
How to build a scalable SNS using HBase
山寨機的藍海戰略
山寨機的藍海戰略
Using Maven to build Java & Android program
Using Maven to build Java & Android program
Similar a WEB SECURITY
20090418 イケテルRails勉強会 第1部Rails編
20090418 イケテルRails勉強会 第1部Rails編
mochiko AsTech
What Can Compilers Do for Us?
What Can Compilers Do for Us?
National Cheng Kung University
Spring基础教程
Spring基础教程
Shilong Sang
Ruby on Rails 2.1 What's New Chinese Version
Ruby on Rails 2.1 What's New Chinese Version
Libin Pan
QQ
QQ
佳欣 賴
T1
T1
TH Schee
Working With Rails
Working With Rails
Dali Wang
Ontology-based Content Management System (ICIM 2008)
Ontology-based Content Management System (ICIM 2008)
Brian Hsu
aws step-function 分享
aws step-function 分享
偉君 方
IPV9人类共同的理想/IPv9 - The common ideal for human being
IPV9人类共同的理想/IPv9 - The common ideal for human being
shizhao
Gorm @ gopher china
Gorm @ gopher china
Jinzhu
Dev004奚江華
Dev004奚江華
Chui-Wen Chiu
4200 Kte7.0 Training V1.0
4200 Kte7.0 Training V1.0
wayneliao
Windows 7兼容性系列课程(3):有针对的兼容性开发(上)
Windows 7兼容性系列课程(3):有针对的兼容性开发(上)
Chui-Wen Chiu
企业级搜索引擎Solr交流
企业级搜索引擎Solr交流
chuan liang
1242626441API2 upload
1242626441API2 upload
51 lecture
Jslunch6
Jslunch6
Nao Haida
421 Ch
421 Ch
anjaan
Spring Framework勉強会
Spring Framework勉強会
Masakazu Matsushita
Development toolsforteamdevelopment
Development toolsforteamdevelopment
Takao Tetsuro
Similar a WEB SECURITY
(20)
20090418 イケテルRails勉強会 第1部Rails編
20090418 イケテルRails勉強会 第1部Rails編
What Can Compilers Do for Us?
What Can Compilers Do for Us?
Spring基础教程
Spring基础教程
Ruby on Rails 2.1 What's New Chinese Version
Ruby on Rails 2.1 What's New Chinese Version
QQ
QQ
T1
T1
Working With Rails
Working With Rails
Ontology-based Content Management System (ICIM 2008)
Ontology-based Content Management System (ICIM 2008)
aws step-function 分享
aws step-function 分享
IPV9人类共同的理想/IPv9 - The common ideal for human being
IPV9人类共同的理想/IPv9 - The common ideal for human being
Gorm @ gopher china
Gorm @ gopher china
Dev004奚江華
Dev004奚江華
4200 Kte7.0 Training V1.0
4200 Kte7.0 Training V1.0
Windows 7兼容性系列课程(3):有针对的兼容性开发(上)
Windows 7兼容性系列课程(3):有针对的兼容性开发(上)
企业级搜索引擎Solr交流
企业级搜索引擎Solr交流
1242626441API2 upload
1242626441API2 upload
Jslunch6
Jslunch6
421 Ch
421 Ch
Spring Framework勉強会
Spring Framework勉強会
Development toolsforteamdevelopment
Development toolsforteamdevelopment
Más de Mu Chun Wang
如何在有限資源下實現十年的後端服務演進
如何在有限資源下實現十年的後端服務演進
Mu Chun Wang
深入淺出 autocomplete
深入淺出 autocomplete
Mu Chun Wang
你畢業後要任職的軟體業到底都在做些什麼事
你畢業後要任職的軟體業到底都在做些什麼事
Mu Chun Wang
網路服務就是一連串搜尋的集合體
網路服務就是一連串搜尋的集合體
Mu Chun Wang
老司機帶你上手 PostgreSQL 關聯式資料庫系統
老司機帶你上手 PostgreSQL 關聯式資料庫系統
Mu Chun Wang
使用 PostgreSQL 及 MongoDB 從零開始建置社群必備的按讚追蹤功能
使用 PostgreSQL 及 MongoDB 從零開始建置社群必備的按讚追蹤功能
Mu Chun Wang
Funliday 新創生活甘苦談
Funliday 新創生活甘苦談
Mu Chun Wang
大解密!用 PostgreSQL 提升 350 倍的 Funliday 推薦景點計算速度
大解密!用 PostgreSQL 提升 350 倍的 Funliday 推薦景點計算速度
Mu Chun Wang
如何使用 iframe 製作一個易於更新及更安全的前端套件
如何使用 iframe 製作一個易於更新及更安全的前端套件
Mu Chun Wang
pppr - 解決 JavaScript 無法被搜尋引擎正確索引的問題
pppr - 解決 JavaScript 無法被搜尋引擎正確索引的問題
Mu Chun Wang
模糊也是一種美 - 從 BlurHash 探討前後端上傳圖片架構
模糊也是一種美 - 從 BlurHash 探討前後端上傳圖片架構
Mu Chun Wang
Google Maps 開始收費了該怎麼辦?
Google Maps 開始收費了該怎麼辦?
Mu Chun Wang
Git 可以做到的事
Git 可以做到的事
Mu Chun Wang
那些大家常忽略的 Cache-Control
那些大家常忽略的 Cache-Control
Mu Chun Wang
如何利用 OpenAPI 及 WebHooks 讓老舊的網路服務也可程式化
如何利用 OpenAPI 及 WebHooks 讓老舊的網路服務也可程式化
Mu Chun Wang
如何與全世界分享你的 Library
如何與全世界分享你的 Library
Mu Chun Wang
如何與 Git 優雅地在樹上唱歌
如何與 Git 優雅地在樹上唱歌
Mu Chun Wang
API Blueprint - API 文件規範的三大領頭之一
API Blueprint - API 文件規範的三大領頭之一
Mu Chun Wang
團體共同協作與版本管理 - 01認識共同協作
團體共同協作與版本管理 - 01認識共同協作
Mu Chun Wang
Git 經驗分享
Git 經驗分享
Mu Chun Wang
Más de Mu Chun Wang
(20)
如何在有限資源下實現十年的後端服務演進
如何在有限資源下實現十年的後端服務演進
深入淺出 autocomplete
深入淺出 autocomplete
你畢業後要任職的軟體業到底都在做些什麼事
你畢業後要任職的軟體業到底都在做些什麼事
網路服務就是一連串搜尋的集合體
網路服務就是一連串搜尋的集合體
老司機帶你上手 PostgreSQL 關聯式資料庫系統
老司機帶你上手 PostgreSQL 關聯式資料庫系統
使用 PostgreSQL 及 MongoDB 從零開始建置社群必備的按讚追蹤功能
使用 PostgreSQL 及 MongoDB 從零開始建置社群必備的按讚追蹤功能
Funliday 新創生活甘苦談
Funliday 新創生活甘苦談
大解密!用 PostgreSQL 提升 350 倍的 Funliday 推薦景點計算速度
大解密!用 PostgreSQL 提升 350 倍的 Funliday 推薦景點計算速度
如何使用 iframe 製作一個易於更新及更安全的前端套件
如何使用 iframe 製作一個易於更新及更安全的前端套件
pppr - 解決 JavaScript 無法被搜尋引擎正確索引的問題
pppr - 解決 JavaScript 無法被搜尋引擎正確索引的問題
模糊也是一種美 - 從 BlurHash 探討前後端上傳圖片架構
模糊也是一種美 - 從 BlurHash 探討前後端上傳圖片架構
Google Maps 開始收費了該怎麼辦?
Google Maps 開始收費了該怎麼辦?
Git 可以做到的事
Git 可以做到的事
那些大家常忽略的 Cache-Control
那些大家常忽略的 Cache-Control
如何利用 OpenAPI 及 WebHooks 讓老舊的網路服務也可程式化
如何利用 OpenAPI 及 WebHooks 讓老舊的網路服務也可程式化
如何與全世界分享你的 Library
如何與全世界分享你的 Library
如何與 Git 優雅地在樹上唱歌
如何與 Git 優雅地在樹上唱歌
API Blueprint - API 文件規範的三大領頭之一
API Blueprint - API 文件規範的三大領頭之一
團體共同協作與版本管理 - 01認識共同協作
團體共同協作與版本管理 - 01認識共同協作
Git 經驗分享
Git 經驗分享
Último
Connect Wave/ connectwave Pitch Deck Presentation
Connect Wave/ connectwave Pitch Deck Presentation
Slibray Presentation
Nell’iperspazio con Rocket: il Framework Web di Rust!
Nell’iperspazio con Rocket: il Framework Web di Rust!
Commit University
Digital Identity is Under Attack: FIDO Paris Seminar.pptx
Digital Identity is Under Attack: FIDO Paris Seminar.pptx
LoriGlavin3
Merck Moving Beyond Passwords: FIDO Paris Seminar.pptx
Merck Moving Beyond Passwords: FIDO Paris Seminar.pptx
LoriGlavin3
Dev Dives: Streamline document processing with UiPath Studio Web
Dev Dives: Streamline document processing with UiPath Studio Web
UiPathCommunity
"Subclassing and Composition – A Pythonic Tour of Trade-Offs", Hynek Schlawack
"Subclassing and Composition – A Pythonic Tour of Trade-Offs", Hynek Schlawack
Fwdays
"ML in Production",Oleksandr Bagan
"ML in Production",Oleksandr Bagan
Fwdays
DMCC Future of Trade Web3 - Special Edition
DMCC Future of Trade Web3 - Special Edition
Dubai Multi Commodity Centre
Advanced Computer Architecture – An Introduction
Advanced Computer Architecture – An Introduction
Dilum Bandara
SAP Build Work Zone - Overview L2-L3.pptx
SAP Build Work Zone - Overview L2-L3.pptx
NavinnSomaal
Ensuring Technical Readiness For Copilot in Microsoft 365
Ensuring Technical Readiness For Copilot in Microsoft 365
2toLead Limited
The Fit for Passkeys for Employee and Consumer Sign-ins: FIDO Paris Seminar.pptx
The Fit for Passkeys for Employee and Consumer Sign-ins: FIDO Paris Seminar.pptx
LoriGlavin3
DevoxxFR 2024 Reproducible Builds with Apache Maven
DevoxxFR 2024 Reproducible Builds with Apache Maven
Hervé Boutemy
What is DBT - The Ultimate Data Build Tool.pdf
What is DBT - The Ultimate Data Build Tool.pdf
MounikaPolabathina
Transcript: New from BookNet Canada for 2024: Loan Stars - Tech Forum 2024
Transcript: New from BookNet Canada for 2024: Loan Stars - Tech Forum 2024
BookNet Canada
Commit 2024 - Secret Management made easy
Commit 2024 - Secret Management made easy
Alfredo García Lavilla
Scanning the Internet for External Cloud Exposures via SSL Certs
Scanning the Internet for External Cloud Exposures via SSL Certs
Rizwan Syed
How to write a Business Continuity Plan
How to write a Business Continuity Plan
Databarracks
Use of FIDO in the Payments and Identity Landscape: FIDO Paris Seminar.pptx
Use of FIDO in the Payments and Identity Landscape: FIDO Paris Seminar.pptx
LoriGlavin3
Generative AI for Technical Writer or Information Developers
Generative AI for Technical Writer or Information Developers
Raghuram Pandurangan
Último
(20)
Connect Wave/ connectwave Pitch Deck Presentation
Connect Wave/ connectwave Pitch Deck Presentation
Nell’iperspazio con Rocket: il Framework Web di Rust!
Nell’iperspazio con Rocket: il Framework Web di Rust!
Digital Identity is Under Attack: FIDO Paris Seminar.pptx
Digital Identity is Under Attack: FIDO Paris Seminar.pptx
Merck Moving Beyond Passwords: FIDO Paris Seminar.pptx
Merck Moving Beyond Passwords: FIDO Paris Seminar.pptx
Dev Dives: Streamline document processing with UiPath Studio Web
Dev Dives: Streamline document processing with UiPath Studio Web
"Subclassing and Composition – A Pythonic Tour of Trade-Offs", Hynek Schlawack
"Subclassing and Composition – A Pythonic Tour of Trade-Offs", Hynek Schlawack
"ML in Production",Oleksandr Bagan
"ML in Production",Oleksandr Bagan
DMCC Future of Trade Web3 - Special Edition
DMCC Future of Trade Web3 - Special Edition
Advanced Computer Architecture – An Introduction
Advanced Computer Architecture – An Introduction
SAP Build Work Zone - Overview L2-L3.pptx
SAP Build Work Zone - Overview L2-L3.pptx
Ensuring Technical Readiness For Copilot in Microsoft 365
Ensuring Technical Readiness For Copilot in Microsoft 365
The Fit for Passkeys for Employee and Consumer Sign-ins: FIDO Paris Seminar.pptx
The Fit for Passkeys for Employee and Consumer Sign-ins: FIDO Paris Seminar.pptx
DevoxxFR 2024 Reproducible Builds with Apache Maven
DevoxxFR 2024 Reproducible Builds with Apache Maven
What is DBT - The Ultimate Data Build Tool.pdf
What is DBT - The Ultimate Data Build Tool.pdf
Transcript: New from BookNet Canada for 2024: Loan Stars - Tech Forum 2024
Transcript: New from BookNet Canada for 2024: Loan Stars - Tech Forum 2024
Commit 2024 - Secret Management made easy
Commit 2024 - Secret Management made easy
Scanning the Internet for External Cloud Exposures via SSL Certs
Scanning the Internet for External Cloud Exposures via SSL Certs
How to write a Business Continuity Plan
How to write a Business Continuity Plan
Use of FIDO in the Payments and Identity Landscape: FIDO Paris Seminar.pptx
Use of FIDO in the Payments and Identity Landscape: FIDO Paris Seminar.pptx
Generative AI for Technical Writer or Information Developers
Generative AI for Technical Writer or Information Developers
WEB SECURITY
1.
Web應用程式以及資安問題的
探討 kewang 1
2.
今日主題 今日主題
3.
今日主題 OWASP Top 10
4.
自我介紹 宜蘭讀書6年
5.
自我介紹 任職大X資訊
6.
自我介紹 2008/9/16
7.
自我介紹 2011/8/24
8.
自我介紹 / 44
1072
9.
自我介紹 據說比willie 早退伍!
10.
關於OWASP 開放Web軟體安全計畫 Open Web Application
Security Project
11.
OWASP目標 研議協助解決Web軟體安全之 標準、工具與技術文件
12.
目前五大資安困境 • IT人員不足 • 缺乏資安領域專業知識 •
功能性驗收為主 • 缺乏自動化工具 • 成本、效率導向專案模式不利 確保專案品質 12
13.
OWASP Top 10 #10
14.
OWASP Top 10
- #10 疏於限制URL存取 Failure to Restrict URL Access
15.
OWASP Top 10
- #10 [WEB ROOT] /admin/[admin.html | index.html | index.jsp | index.asp | index.php] /products /sales ... index.html login.html ... /backup/ /logs/ /vulnerable.cgi
16.
OWASP Top 10
- #10
17.
OWASP Top 10
- #10 – 解決 • 阻擋存取所有不會在伺服器上執行的 檔案 • 將所有需要加入權限控管的檔案,設 定正確的權限 • 利用MVC架構(如RoR)控制所有需要 加入權限控管的檔案 • 不要把使用者當笨蛋 17
18.
OWASP Top 10 #9
19.
OWASP Top 10
- #9 不安全的通訊 Insecure Communication
20.
OWASP Top 10
- #9
21.
OWASP Top 10
- #9 – 解決 使用SSL!
22.
OWASP Top 10 #8
23.
OWASP Top 10
- #8 不安全的密碼儲存器 Insecure Cryptographic Storage
24.
OWASP Top 10
- #8 • this is a text • MD4: 24886fa61e16a6e5dd12fd180c878251 • MD5: 78821a05d282822e4abec190c061ba78 • SHA-1: 703c445982e074e33a05c161d221217f2facbf5e • RSA: 45683425c7df8a78f80d4801ff277888fdba7a72150541e8eca1d7329ca 2cf53f8ca1f2d2dcd34513067b1f6db402bfee48143288f2b7b448da015 e5a6b0aababb1f95ef4a653547c98c6492a552d0d7f7425c1663f4f3008 91b6d0abc0ee17a499ad4f46ace65182c5bf26577021d49f26abb1a496 1f3e9e7e339ff2b4e778a 24
25.
OWASP Top 10
- #8 – 解決 • 使用較安全的加密演算法 – AES – RSA – SHA-256 25
26.
OWASP Top 10 #7
27.
OWASP Top 10
- #7 遭破壞的鑑別與連線管理 Broken Authentication and Session Management
28.
OWASP Top 10
- #7
29.
OWASP Top 10
- #7 – 解決 • 不要允許來自網址列或是外部request的 session id • 將隱密性的資料使用已註冊的email傳送 • 修改密碼時需要再次確認舊密碼 • 每個網頁都需要有登出連結 29
30.
OWASP Top 10 #6
31.
OWASP Top 10
- #6 資訊揭露與不適當錯誤處置 Information Leakage and Improper Error Handling
32.
OWASP Top 10
- #6 想不到例 子了啦…
33.
OWASP Top 10
- #6 – 解決 • 確保每一個專案在開發時,都會有一個共同的 例外處理方法(exception handling approach) • 關閉/限制顯示錯誤資訊的大小 33
34.
OWASP Top 10 #5
35.
OWASP Top 10
- #5 跨網站的偽造要求 Cross-Site Request Forgery, CSRF
36.
OWASP Top 10
- #5 • clickme.html – <body><iframe width=quot;1quot; height=quot;1quot; src=quot;attack.htmlquot;></iframe></body> • attack.html – <body onload=quot;document.frm.submit() quot;><form name=quot;frmquot; method=quot;postquot; action=http://a.com/atk.cgi><input type=quot;hiddenquot; name=quot;artquot; value=quot;tttquot;><input type=quot;submitquot; value=quot;sendquot;></form> 36
37.
OWASP Top 10
- #5 – 解決 • 在每個form加入一個隨機值,代表目前執行動 作的使用者 • 針對敏感性資料的修改,在修改前請再次認證 • 不要把GET傳輸方式用在敏感性資料的修改 37
38.
OWASP Top 10 #4
39.
OWASP Top 10
- #4 不安全的物件參考 Insecure Direct Object Reference
40.
OWASP Top 10
- #4 • <select name=quot;languagequot;><option value=quot;frquot;>Francais</option></select> … require_once ($_REQUEST['language'].quot;lang.phpquot;); 40
41.
OWASP Top 10
- #4 • 避免在HTML上顯示任何私人的檔案路徑,或 是在HTML上使用id代表檔案名稱 • 可以利用白名單的方式驗證私人檔案路徑 41
42.
OWASP Top 10 #3
43.
OWASP Top 10
- #3 惡意檔案執行 Malicious File Execution
44.
OWASP Top 10
- #3 include $_REQUEST['file'];
45.
OWASP Top 10
- #3 – 解決 require_once($safe['file'] . 'inc.php');
46.
OWASP Top 10
47.
OWASP Top 10
- #2 SQL Injection
48.
OWASP Top 10
- #2 駭客填空 遊戲
49.
OWASP Top 10
- #2 • strSQL = quot;SELECT * FROM users WHERE (name = 'quot; + userName + quot;') and (pw = 'quot;+ passWord +quot;');quot; • userName = quot;' OR '1'='1quot;; • passWord = quot;' OR '1'='1quot;; • strSQL = quot;SELECT * FROM users WHERE (name = '' OR '1'='1') and (pw = '' OR '1'='1');quot; 49
50.
OWASP Top 10
- #2 – 解決 • Parameterized Query – SqlCommand sqlcmd = new SqlCommand(quot;INSERT INTO myTable (c1, c2, c3, c4) VALUES (@c1, @c2, @c3, @c4)quot;, sqlconn); sqlcmd.Parameters.AddWithValue(quot;@c1quot;, 1); sqlcmd.Parameters.AddWithValue(quot;@c2quot;, 2); sqlcmd.Parameters.AddWithValue(quot;@c3quot;, 3); sqlcmd.Parameters.AddWithValue(quot;@c4quot;, 4); 50
51.
OWASP Top 10
52.
OWASP Top 10
- #1
53.
OWASP Top 10
- #1 • echo $_REQUEST['userinput']; • <script>alert(document.cookie)</script> 53
54.
OWASP Top 10
- #1 – 解決 • PHP – htmlentities() – htmlspecialchars() • ASP.NET – Server.HtmlEncode() – Microsoft Anti-Cross Site Scripting Library 54
55.
OWASP Top 10
56.
程式碼安全品質 • [必要] –
A1. 跨網站的入侵字串(XSS) – A2. 注入缺失(SQL Injection) • [建議] – A3. 惡意檔案執行 – A4. 不安全的物件參考 • [選擇] – A5. 跨網站的偽造要求(CSRF) 56
57.
Coming soon… Google Maps
58.
Coming soon… Version Control System
59.
沒了… 沒了…
Descargar ahora