網站安全風險前五名 這篇文章主要介紹網站資訊安全風險排行榜前五名, 分別針對每一個風險說明資訊安全風險的情境,網站保護的建議 5. Security Misconfiguration 如何檢查 使用的軟體或是系統元件是否有過期沒有更新? 例如作業系統、網站、資料庫、程式庫等。駭客會利用已知的弱點進行攻擊。 額外安裝其他不需要的服務。例如:ports、服務、Demo網頁、Demo帳號 是否有預設的帳號與密碼沒有改變 是否有過多額外的錯誤訊息,例如版本資訊、語法錯誤等 各個程式語言架構相關的資訊安全設定 駭客攻擊情境 網站預設的帳號密碼沒有更改,駭客用預設的系統管理頁面登入 網站 Directory listing 沒有取消,因此駭客可以輕易地瀏覽該網站所有的檔案與路徑,進一步找到相關的程式與系統資訊。 Demo或是示範的網站沒有被移除。例如…
Web Security
Secure Code Scanning 靜態程式碼掃描
Secure Code Scanning 靜態程式碼掃描 關於 Code Review 這篇文章主要討論如何針對程式碼用自動化的工具作分析,了解程式碼潛在的問題 例如:Memory leak、SQL Injection 等 首先,我們先了解程式碼分析工具可以分析什麼問題,不能分析什麼問題? 程式碼分析擅長的是… 基本資料型態的問題 (例如:數值or 字串 overflow等)…
網站資訊安全測試與需求範本
網站資訊安全測試與需求範本 這篇文章主要要說明的是網站資訊安全測試與需求的範本 我們知道網站要做到安全, 但是要注意哪些項目呢? 測試的時候又要注意哪些地方呢? OWASP 提出一個範本ASVS (Application Security Verification Standard) ,讓大家可以根據網站實際的需求做修改 這個範本提供 V2 ~ V17 等16個資訊安全需要注意的地方,如下列: 測試個案…