Authorization 授權的資訊安全設計原則、測試、個案與實作 Authorization 主要是在經過認證完之後,跟對該使用者對於系統資源存取的”授權”, 因此怎樣的權限可以存取哪些資料就是 Authorization的範疇。基本要回答的問題是 使用者可以使用這個功能嗎? 進一步是問這個功能針對該使用者存取的範圍是否應該限制? 我們將討論安全設計的準則、新聞個案討論、測試的方法與實務設計的建議。 基本安全設計準則 基本安全設計的準則有 所有的頁面應該都需要經過授權才能存取 所有的功能或是頁面必須確認資訊的內容是否經過授權 伺服器與資料庫等權限的設定 所有的頁面應該都需要經過授權才能存取 針對網頁來說,最著名的攻擊方式就是 Forced Browsing…
資料輸入驗證的資訊安全設計原則、測試、個案與實作
資料輸入驗證的資訊安全設計原則、測試、個案與實作 這篇文章主要說明資料輸入的驗證所帶來的資訊安全風險、怎樣才是比較適合的輸入驗證? 測試上建議的測試個案(XSS injection, Command injection, SQL injection)、相關的資安新聞實例與實作上的建議。 系統會從各個層面接收到使用者所資料輸入, 這些使用者所輸入的資料可能因為過失、錯誤或是刻意攻擊行為等,造成系統的異常或是非預期行為。 因為針對使用者輸入除了在使用者程式端要檢查之外,後端伺服器與資料庫更是要再次檢查。 資料驗證安全原則 使用者輸入除了在使用者程式端要檢查之外,後端伺服器與資料庫更是要再次檢查。 檢查的規則為何呢? 基本上分為四大類 Known Good Exact Match…