網站安全 — Logging 系統與使用者使用記錄 Logging 對於資訊安全系統來說是很重要的, 除了可以知道系統的使用狀況,更可以做系統的稽核 同時,也可以針對異常的使用行為追蹤與預防 這邊文章主要要探討什麼應該要記錄、什麼不應該被記錄,測試的注意項目 記錄檔的設計 設計記錄檔的時候必須考量下列問題: 記錄檔是否包含敏感性資訊 是否儲存在特定伺服器 是否有可能被誤用為 DoS攻擊 記錄檔按多久循環保存 記錄檔案多久被審查一次 記錄檔案如何被備份 記錄檔案紀錄的資訊是否會事先被驗證字元長度、合法字元等…
OWASP
網站資訊安全測試 — Logout
網站資訊安全測試 — Logout 許多網站都繪有登入與登出的設計,登入因為需要帳號密碼,身分的驗證,所以相關的檢查相對會比較嚴謹 相對來說登出 logout 所需注意的資訊安全常被忽略 那麼 logout 會有哪些潛在的資訊安全風險與需要注意的地方呢? 一個安全的 logout設計應該要包含下列項目: UI 的設計讓使用者可以自己 logout,這當然是基本的需求, Logout的選項應該要在登入之後,出現在每一個頁面,通常是在畫面的最上方。 當一段時間之後,自動 logout。例如,很多銀行網站在五分鐘內如果沒有動作,就會強迫logout Session 在l…
File Upload 的資訊安全風險
File Upload 的資訊安全風險 許多的網站都會提供檔案上傳的功能, 特別是社交網站,例如照片分享、例如多媒體影片分享等 檔案上傳如果沒有做好相關的檢查,很容易讓駭客做其他程式攻擊的使用 這裡舉幾個例子: Case 1. 惡意程式碼的上傳 駭客透過特別寫好的 Malicious.php,上傳時, 透過修改 HTTP Post 中 MIME的檔案型態, 上傳至網站,該網站的檔案位置為 website…