Enviar búsqueda
Cargar
Hiiir 資安講座 I 基礎網頁程式攻擊檢驗
•
3 recomendaciones
•
1,023 vistas
Hiiir Lab
Seguir
Tecnología
Denunciar
Compartir
Denunciar
Compartir
1 de 13
Recomendados
Android Taipei 2013 August - Android Apps Security
Android Taipei 2013 August - Android Apps Security
Taien Wang
淡江大學 - 產品測試+安全性測試+壓力測試
淡江大學 - 產品測試+安全性測試+壓力測試
Taien Wang
使安全成為軟體開發必要部分
使安全成為軟體開發必要部分
Taien Wang
2017.11.22 OWASP Taiwan Week (Lucas Ko)
2017.11.22 OWASP Taiwan Week (Lucas Ko)
Lucas Ko
伺服器端攻擊與防禦III
伺服器端攻擊與防禦III
Taien Wang
OWASP Top 10 (2013) 正體中文版
OWASP Top 10 (2013) 正體中文版
Bruce Chen
.NET Security Application/Web Development - Part I
.NET Security Application/Web Development - Part I
Chen-Tien Tsai
一個微信專案從0到000的效能調教
一個微信專案從0到000的效能調教
Bruce Chen
Recomendados
Android Taipei 2013 August - Android Apps Security
Android Taipei 2013 August - Android Apps Security
Taien Wang
淡江大學 - 產品測試+安全性測試+壓力測試
淡江大學 - 產品測試+安全性測試+壓力測試
Taien Wang
使安全成為軟體開發必要部分
使安全成為軟體開發必要部分
Taien Wang
2017.11.22 OWASP Taiwan Week (Lucas Ko)
2017.11.22 OWASP Taiwan Week (Lucas Ko)
Lucas Ko
伺服器端攻擊與防禦III
伺服器端攻擊與防禦III
Taien Wang
OWASP Top 10 (2013) 正體中文版
OWASP Top 10 (2013) 正體中文版
Bruce Chen
.NET Security Application/Web Development - Part I
.NET Security Application/Web Development - Part I
Chen-Tien Tsai
一個微信專案從0到000的效能調教
一個微信專案從0到000的效能調教
Bruce Chen
.NET Security Application/Web Development - Overview
.NET Security Application/Web Development - Overview
Chen-Tien Tsai
.NET Security Application/Web Development - Part IV
.NET Security Application/Web Development - Part IV
Chen-Tien Tsai
議題二:Web應用程式安全防護
議題二:Web應用程式安全防護
Nicolas su
資訊安全入門
資訊安全入門
Tyler Chen
20140610 net tuesday - 行動裝置安全
20140610 net tuesday - 行動裝置安全
Net Tuesday Taiwan
個人電腦/網站的資訊安全:給非營利組織的建議
個人電腦/網站的資訊安全:給非營利組織的建議
Net Tuesday Taiwan
用戶端攻擊與防禦
用戶端攻擊與防禦
Taien Wang
資安健檢因應配套
資安健檢因應配套
Galaxy Software Services
軟體安全防護大作戰
軟體安全防護大作戰
Galaxy Software Services
OWASPTop10ProactiveControls2016-Chinese
OWASPTop10ProactiveControls2016-Chinese
Tony Hsu
Android 软件安全攻防研究现状 claud isf2012
Android 软件安全攻防研究现状 claud isf2012
正炎 高
在互联网公司推行SDL(Security Development Lifecycle)的一些经验和教训
在互联网公司推行SDL(Security Development Lifecycle)的一些经验和教训
zhiyanhui
SITCON2021 Web Security 領航之路
SITCON2021 Web Security 領航之路
Tzu-Ting(Fei) Lin
Hiiir 資安講座 II 使安全成為軟體開發的一部分
Hiiir 資安講座 II 使安全成為軟體開發的一部分
Hiiir Lab
議題三:政府網站常見弱點與分析
議題三:政府網站常見弱點與分析
Nicolas su
6.web 安全架构浅谈
6.web 安全架构浅谈
Hsiao Tim
系統05_從持續整合結合安全開發與變更管理 郭俐佳
系統05_從持續整合結合安全開發與變更管理 郭俐佳
Galaxy Software Services
應用系統安全常見的5種資安防護措施
應用系統安全常見的5種資安防護措施
Galaxy Software Services
PIC_Experience2
PIC_Experience2
ray chen
Rsa2012 下一代安全的战略思考-绿盟科技赵粮
Rsa2012 下一代安全的战略思考-绿盟科技赵粮
NSFOCUS
基礎網頁程式攻擊檢驗
基礎網頁程式攻擊檢驗
Taien Wang
渗透测试思路技术与方法
渗透测试思路技术与方法
挺
Más contenido relacionado
La actualidad más candente
.NET Security Application/Web Development - Overview
.NET Security Application/Web Development - Overview
Chen-Tien Tsai
.NET Security Application/Web Development - Part IV
.NET Security Application/Web Development - Part IV
Chen-Tien Tsai
議題二:Web應用程式安全防護
議題二:Web應用程式安全防護
Nicolas su
資訊安全入門
資訊安全入門
Tyler Chen
20140610 net tuesday - 行動裝置安全
20140610 net tuesday - 行動裝置安全
Net Tuesday Taiwan
個人電腦/網站的資訊安全:給非營利組織的建議
個人電腦/網站的資訊安全:給非營利組織的建議
Net Tuesday Taiwan
用戶端攻擊與防禦
用戶端攻擊與防禦
Taien Wang
資安健檢因應配套
資安健檢因應配套
Galaxy Software Services
軟體安全防護大作戰
軟體安全防護大作戰
Galaxy Software Services
OWASPTop10ProactiveControls2016-Chinese
OWASPTop10ProactiveControls2016-Chinese
Tony Hsu
Android 软件安全攻防研究现状 claud isf2012
Android 软件安全攻防研究现状 claud isf2012
正炎 高
在互联网公司推行SDL(Security Development Lifecycle)的一些经验和教训
在互联网公司推行SDL(Security Development Lifecycle)的一些经验和教训
zhiyanhui
SITCON2021 Web Security 領航之路
SITCON2021 Web Security 領航之路
Tzu-Ting(Fei) Lin
Hiiir 資安講座 II 使安全成為軟體開發的一部分
Hiiir 資安講座 II 使安全成為軟體開發的一部分
Hiiir Lab
議題三:政府網站常見弱點與分析
議題三:政府網站常見弱點與分析
Nicolas su
6.web 安全架构浅谈
6.web 安全架构浅谈
Hsiao Tim
系統05_從持續整合結合安全開發與變更管理 郭俐佳
系統05_從持續整合結合安全開發與變更管理 郭俐佳
Galaxy Software Services
應用系統安全常見的5種資安防護措施
應用系統安全常見的5種資安防護措施
Galaxy Software Services
PIC_Experience2
PIC_Experience2
ray chen
Rsa2012 下一代安全的战略思考-绿盟科技赵粮
Rsa2012 下一代安全的战略思考-绿盟科技赵粮
NSFOCUS
La actualidad más candente
(20)
.NET Security Application/Web Development - Overview
.NET Security Application/Web Development - Overview
.NET Security Application/Web Development - Part IV
.NET Security Application/Web Development - Part IV
議題二:Web應用程式安全防護
議題二:Web應用程式安全防護
資訊安全入門
資訊安全入門
20140610 net tuesday - 行動裝置安全
20140610 net tuesday - 行動裝置安全
個人電腦/網站的資訊安全:給非營利組織的建議
個人電腦/網站的資訊安全:給非營利組織的建議
用戶端攻擊與防禦
用戶端攻擊與防禦
資安健檢因應配套
資安健檢因應配套
軟體安全防護大作戰
軟體安全防護大作戰
OWASPTop10ProactiveControls2016-Chinese
OWASPTop10ProactiveControls2016-Chinese
Android 软件安全攻防研究现状 claud isf2012
Android 软件安全攻防研究现状 claud isf2012
在互联网公司推行SDL(Security Development Lifecycle)的一些经验和教训
在互联网公司推行SDL(Security Development Lifecycle)的一些经验和教训
SITCON2021 Web Security 領航之路
SITCON2021 Web Security 領航之路
Hiiir 資安講座 II 使安全成為軟體開發的一部分
Hiiir 資安講座 II 使安全成為軟體開發的一部分
議題三:政府網站常見弱點與分析
議題三:政府網站常見弱點與分析
6.web 安全架构浅谈
6.web 安全架构浅谈
系統05_從持續整合結合安全開發與變更管理 郭俐佳
系統05_從持續整合結合安全開發與變更管理 郭俐佳
應用系統安全常見的5種資安防護措施
應用系統安全常見的5種資安防護措施
PIC_Experience2
PIC_Experience2
Rsa2012 下一代安全的战略思考-绿盟科技赵粮
Rsa2012 下一代安全的战略思考-绿盟科技赵粮
Similar a Hiiir 資安講座 I 基礎網頁程式攻擊檢驗
基礎網頁程式攻擊檢驗
基礎網頁程式攻擊檢驗
Taien Wang
渗透测试思路技术与方法
渗透测试思路技术与方法
挺
網站系統安全及資料保護設計認知 2019
網站系統安全及資料保護設計認知 2019
Justin Lin
基于大数据的Web攻击溯源
基于大数据的Web攻击溯源
正炎 高
HITCON FreeTalk 2024 台灣駭客協會媒體小聚【議題一:資安地圖 - 資安領域與趨勢介紹】
HITCON FreeTalk 2024 台灣駭客協會媒體小聚【議題一:資安地圖 - 資安領域與趨勢介紹】
Hacks in Taiwan (HITCON)
資訊安全入門
資訊安全入門
Tyler Chen
Hiiir 資安講座 III 用戶端攻擊與防禦
Hiiir 資安講座 III 用戶端攻擊與防禦
Hiiir Lab
雲端上的資訊安全-Global Azure Bootcamp 2015 臺北場
雲端上的資訊安全-Global Azure Bootcamp 2015 臺北場
twMVC
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
T客邦
Java day 2014_20140723_v2
Java day 2014_20140723_v2
peihsin1980
伺服器端攻擊與防禦I
伺服器端攻擊與防禦I
Taien Wang
Hiiir 資安講座 IV 伺服器端攻擊與防禦I
Hiiir 資安講座 IV 伺服器端攻擊與防禦I
Hiiir Lab
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
Wales Chen
Web安全分享 -公开版
Web安全分享 -公开版
piao2010
20210928 #118 - 給非營利組織的資安自保手冊
20210928 #118 - 給非營利組織的資安自保手冊
Net Tuesday Taiwan
网站离线数据安全分析漫谈 2012cert
网站离线数据安全分析漫谈 2012cert
ph4nt0m
Web2.0 attack and defence
Web2.0 attack and defence
hackstuff
網站系統安全及資料保護設計認知
網站系統安全及資料保護設計認知
Justin Lin
Taobao 100702070730-phpapp01
Taobao 100702070730-phpapp01
drewz lin
雲端入侵:郵件攻擊與密碼竊取
雲端入侵:郵件攻擊與密碼竊取
openblue
Similar a Hiiir 資安講座 I 基礎網頁程式攻擊檢驗
(20)
基礎網頁程式攻擊檢驗
基礎網頁程式攻擊檢驗
渗透测试思路技术与方法
渗透测试思路技术与方法
網站系統安全及資料保護設計認知 2019
網站系統安全及資料保護設計認知 2019
基于大数据的Web攻击溯源
基于大数据的Web攻击溯源
HITCON FreeTalk 2024 台灣駭客協會媒體小聚【議題一:資安地圖 - 資安領域與趨勢介紹】
HITCON FreeTalk 2024 台灣駭客協會媒體小聚【議題一:資安地圖 - 資安領域與趨勢介紹】
資訊安全入門
資訊安全入門
Hiiir 資安講座 III 用戶端攻擊與防禦
Hiiir 資安講座 III 用戶端攻擊與防禦
雲端上的資訊安全-Global Azure Bootcamp 2015 臺北場
雲端上的資訊安全-Global Azure Bootcamp 2015 臺北場
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
Java day 2014_20140723_v2
Java day 2014_20140723_v2
伺服器端攻擊與防禦I
伺服器端攻擊與防禦I
Hiiir 資安講座 IV 伺服器端攻擊與防禦I
Hiiir 資安講座 IV 伺服器端攻擊與防禦I
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
Web安全分享 -公开版
Web安全分享 -公开版
20210928 #118 - 給非營利組織的資安自保手冊
20210928 #118 - 給非營利組織的資安自保手冊
网站离线数据安全分析漫谈 2012cert
网站离线数据安全分析漫谈 2012cert
Web2.0 attack and defence
Web2.0 attack and defence
網站系統安全及資料保護設計認知
網站系統安全及資料保護設計認知
Taobao 100702070730-phpapp01
Taobao 100702070730-phpapp01
雲端入侵:郵件攻擊與密碼竊取
雲端入侵:郵件攻擊與密碼竊取
Hiiir 資安講座 I 基礎網頁程式攻擊檢驗
1.
2012.12.12 @ Hiiir
Inc. Taien Wang<taien_wang@hiiir.com> 英屬維京群島商時間軸科技股份有限公司新創事業部 Taien內部資安講座 I 基礎網頁程式攻擊檢驗
2.
網頁程式攻擊與防範 • 常見弱點 • 弱點掃描工具 •
基本架構防禦 • 推薦書籍
3.
駭客看到的?
4.
常用弱點 非官方網頁應用程式安全組織 OWASP OWASP 2007
10大弱點 OWASP 2010 10大弱點 1 跨站腳本攻擊 (XSS) 注入攻擊 2 注入攻擊 跨站腳本攻擊(XSS) 3 惡意程式執行 身分驗證功能缺失 4 不安全的物件參考 不安全的物件參考 5 跨站請求偽造(CSRF) 跨站請求偽造(CSRF) 6 程式碼錯誤訊息外漏 安全性設定疏失 7 身分驗證功能缺失 未加密的儲存設備 8 未加密的儲存設備 無權限的URL控制 9 不安全的網路連練 不安全的傳輸防護 10 無權限的URL控制 未驗證的導向
5.
常見的網路攻擊 • 注入(Injection) – SQL注入(SQL
Injection) – 命令注入(Command Injection) – LDAP注入(LDAP Injection) • 跨網站腳本(Cross-Site Script) • 跨網站請求偽造(Cross-Site Request Forgery, CSRF) • Cookie挾持/偽造(Cookie, Session Hijacking/Spoofing) • 跳脫目錄(Escape Directory) • 上傳過濾(Upload Filter) • 遠端檔案引入(Remote File Inclusion) • 非驗證重導/重送(Unvaildated Redirects and Forwards)
6.
弱點掃描工具 • OWASP Zed
Attack Proxy Project • Paros • Nikto • Google skipfish • Burp Suite • Shadow Security Scanner • Acunetix Web Vulnerability Scanner • Xscan • NeXpose • Nessus
7.
基本防禦架構 • Model(商業模型) – 白名單、資料淨化 –
拋出錯誤 • View – 客戶端Script檢查 – XSS、CSRF/XSRF • Controller – 接收欄位檢查必要欄位 – 處理錯誤
8.
範例(1/2)
9.
範例(2/2)
10.
未來上線必要流程 OWASP弱點測試報告書
11.
推薦書籍 • 程式開發安全 – 網路竟然這麼危險!阿里巴巴首席安全專家教你全方位保護網站 –
網頁程式駭客攻防實戰-以 PHP 為例 – The Web Application Hacker’s Handbook – Hacking Exposed Web 2.0: Web 2.0 Security Secrets and Solutions – Web 2.0 Security - Defending AJAX, RIA, AND SOA – OWASP Testing Guide – OWASP Code Review Guide – The Database Hacker's Handbook Defending Database Servers • 軟體安全開發架構 – Software Security: Building Security In – Secure Software Development Life Cycle, SSDLC
12.
網路攻擊與防禦系列分享 • 主題: 網頁程式攻擊與防範 –
2012.12.12 10:30-11:30 • 主題: 安全的開發流程 – 2013.01.16 10:30-11:30 • 主題: 網路攻擊詳解(一) – 用戶端攻擊與防禦 – 2013.02.05 10:30-11:30 • 主題: 網路攻擊詳解(二) – 伺服器端攻擊與防禦 • 主題: 存取控制與加密演算法