Web應用程式以及資安問題的探討kewang1今日主題今日主題今日主題OWASPTop10自我介紹宜蘭讀書6年自我介紹任職大X資訊自我介紹2008/9/16自我介紹2011/8/24自我介紹44/1072自我介紹據說比willie早退伍!關於OWASP開放Web軟體安全計畫OpenWebApplicationSecurityProjectOWASP目標研議協助解決Web軟體安全之標準、工具與技術文件目前五大資安困境•IT人員不足•缺乏資安領域專業知識•功能性驗收為主•缺乏自動化工具•成本、效率導向專案模式不利確保專案品質12OWASPTop10#10OWASPTop10-#10疏於限制URL存取FailuretoRestrictURLAccessOWASPTop10-#10[WEBROOT]/admin/[admin.html|index.html|index.jsp|index.asp|index.php]/products/sales...index.htmllogin.html.../backup//logs//vulnerable.cgiOWASPTop10-#10OWASPTop10-#10–解決•阻擋存取所有不會在伺服器上執行的檔案•將所有需要加入權限控管的檔案,設定正確的權限•利用MVC架構(如RoR)控制所有需要加入權限控管的檔案•不要把使用者當笨蛋17OWASPTop10#9OWASPTop10-#9不安全的通訊InsecureCommunicationOWASPTop10-#9OWASPTop10-#9–解決使用SSL!OWASPTop10#8OWASPTop10-#8不安全的密碼儲存器InsecureCryptographicStorageOWASPTop10-#8•thisisatext•MD4:24886fa61e16a6e5dd12fd180c878251•MD5:78821a05d282822e4abec190c061ba78•SHA-1:703c445982e074e33a05c161d221217f2facbf5e•RSA:45683425c7df8a78f80d4801ff277888fdba7a72150541e8eca1d7329ca2cf53f8ca1f2d2dcd34513067b1f6db402bfee48143288f2b7b448da015e5a6b0aababb1f95ef4a653547c98c6492a552d0d7f7425c1663f4f300891b6d0abc0ee17a499ad4f46ace65182c5bf26577021d49f26abb1a4961f3e9e7e339ff2b4e778a24OWASPTop10-#8–解決•使用較安全的加密演算法–AES–RSA–SHA-25625OWASPTop10#7OWASPTop10-#7遭破壞的鑑別與連線管理BrokenAuthenticationandSessionManagementOWASPTop10-#7OWASPTop10-#7–解決•不要允許來自網址列或是外部request的sessionid•將隱密性的資料使用已註冊的email傳送•修改密碼時需要再次確認舊密碼•每個網頁都需要有登出連結29OWASPTop10#6OWASPTop10-#6資訊揭露與不適當錯誤處置InformationLeakageandImproperErrorHandlingOWASPTop10-#6想不到例子了啦…OWASPTop10-#6–解決•確保每一個專案在開發時,都會有一個共同的例外處理方法(exceptionhandlingapproach)•關閉/限制顯示錯誤資訊的大小33OWA...