6個”檔案上傳”功能的資訊安全風險與防護

6個”檔案上傳”功能的資訊安全風險與防護 有些網站會提供檔案上傳的功能,例如 DropBox、社交網站提供照片上傳或是部落格網站提供檔案上傳分享等功能。 駭客可以透過檔案上傳的方式執行惡性程式或是產生非預期的結果。因此,檔案上傳的安全防護不亞於帳號密碼的保護措施。 這篇文章主要討論這些”檔案上傳”的網站,需要注意哪些資訊安全風險與防護的建議。 我們會舉 6 個檔案上傳相關安全風險的原因、程式範例討論與安全防護必須要注意的建議。   風險1: 檔案路徑 file path injection 又稱為 path traversal。這樣的攻擊主要是透過檔案路徑的搜尋,間接存取其他網站的資源。 當URL 網址的路徑內包含  ../ 就表示該網站有潛在的風險…

Read More

軟體品管專業課程簡介

軟體品管專業課程簡介 這篇文章主要說明,軟體品管的專業領域可以進階發展的方向。不管你是 RD,長年累月的寫程式、熟悉系統架構。或是QA對於目前不斷執行重複性的測試工作,不知道專業如何發展,可參考這些領域。有系統有計畫的學習,培養相關的專業知識。筆者歸納的六大主題。也是筆者在2014/2015 所開設的軟體專業課程。 1. 資料庫與網站效能 這個主題很廣泛除了效能測試、建立一定的測試基準,測試完之後,針對測試的結果進行分析,並且做效能調教。調教的範圍包含網頁前端、作業系統(Windows , Linux)、資料庫 (MS SQL, MySQL)的效能調教與程式語言 design best practices 等子議題。 2. 網路封包分析 透過網路封包分析可以得知網路效能慢的原因、網路遭遇的資訊安全問題、應用程式資料間傳遞的除錯。網路封包分析可以回答的問題像是:到底是 Server…

Read More

大型會議室舉行的訓練實況

大型會議室舉行的訓練實況 這場訓練參與人數較多,超過30人以上, 由於場地比較大,設備也比較先進,因此提前了一個小時準備熟悉 課程名稱為:Malicious code reverse Engineering by IDA (http://www.qa-knowhow.com/?p=1004) 課程學習的目標就是:在完全沒有組合語言與反向工程的基礎情況下,都可以學會! 場地準備方面,包含 雙投影機的測試,一台投影機播放簡報,一台投影機撥放上機操作 錄影。由於有錄影的需求,所以佩戴隨身麥克風。像是在開演唱會。麥克風還要測試是否沒有電池。 學員座位安排。由於場地很大。所以一開始的時候,盡量讓學員往前面中間來坐。 電源延長線。由於課程持續三小時,所以要準備許多電源延長線,供上課學員筆電插電用。 講台桌的使用。一台電腦實機操作,一台播放簡報。需要熟悉。 講台很大。保持所有學員的 Eye Contact 有些難度。盡可能在一些段落做一些走動。…

Read More