OWASP(open web application security project) 也就是 http://www.owasp.org.tw/owasp_asia_2007/ 之前就一直对 web 上资安的问题很有兴趣， 如 SQL Injection 的问题早在三四年前就听过有很惨痛的案例， 这次难得有这个免费的机会能略探究竟，就从桃园北上听讲罗～ ──────────────────────────────── 简单用一些字写下今天的听讲感想跟一些心得就好，不过由於小弟 语文能力不大好，英文听讲的部份可能不是很准确，还望各位先辈指教。:) 以下如果有指到资安的部份以 custom web application的资讯安全为主。 会议略有延迟，於下午一点二十分左右开场， 一开始先由主持人和贵宾做开幕致词，大致上介绍了OWASP在台湾的发展现况， 以及资策会副执行长表达资策会对资安的重视与推广，以及解释Security在 web application 上的重要性。 ※议程上分为两项，第一项是 web攻击趋势 分三小节： ◎未来资安漏洞之大挑战：逻辑漏洞 / Jeremiah 前辈 首先是 Business Login flow (企业逻辑漏洞)，这段由 Jeremiah 讲师带来 许多各种不同的案例探讨，短短的50分锺内分享了八个以上具有各种特徵的 案例，也有提到对应的solution。 里面我觉得比较新奇的是 Black Jack 赌局系统的案例，它举出的例子是 在Black Jack 游戏里面，由於程式处理排列组合计算的时间不一，所以有时 候当碰上假牌 (如A可当1或11) 的时候计算时间会较久，而因此可以让user 根据server反应时间推测出可能是哪些牌而增加赢的机率等商业逻辑上的问题。 还有Forgotten password设颜色当问题，当颜色选项太少，而很容易被硬Try出 来这类的问题。 还有比方说 url 是 http://hostname/userfile?userid=tonyq 这类的url可能会被有心人拿去猜帐号，所以url尽可能采用session id 或 难以被预测的值来当keyword等等～ 商业逻辑的问题大多不能由现有的资安solution解决，只能靠设计者自己处理， 也被视为是资安世界里面一项很大的挑战。 ◎从使用者的角度出发，企业的安全长要的是甚麽？ / 徐子文 前辈 这一段的解说比较有趣，是站在CEO/使用者的角度来看CSO， 主要的focus在於如果今天我是CSO，要怎麽说服使用者把安全性排进时程内。 有一段话我觉得很有印象，『我们都认为安全是个顾虑，但是并不优先。』， 我们都觉得安全很重要，但是都不会把它当成优先性比较高的。 站在CSO的角度来讲必须认知到我们究竟要做到甚麽样的安全性， 以及必须要能够让决策者了解这样的安全性究竟能够带来甚麽样的效果/利益， 并且要能满足决策者所想要的。 CSO 想要建立起坚固的城堡，不过事实上的经费只够盖破草屋， 这时候有创意的行销人员就发出一个非常有建设性的意见， 『我们可以盖一间能让人参观的城堡。』。(笑) 当然比较深入的话题还有『我们究竟是要盖出一间把所有资料保护在里面的城 堡，还是一间能保护外面利益的城堡？』 我觉得这一节是我做为一个设计者比较不会想到的。 ◎决战实况：中国网军与海峡两岸资讯战 / 余俊贤、邱铭彰 前辈 这一小节分成两部份，前面的部份是由邱铭彰前辈介绍所谓的恶意网页， 也就是被植入恶意程式的网页，大致上说明了恶意程式的运行概念，并且 举出其所进行的实验中针对台湾网站首页恶意程式检测所收集到的结果， 说明目前恶意程式植入的影响状况。(Hacker被DDOS真的有爆点! 哈) 这部分比较精彩的地方是数据会说话，不过数据的部份还是不提了， 留待各看官心中自行补完吧～:P 另一个部分则是由余俊贤前辈主讲，讨论关於是否有大陆网军一事，以及 其观察到的现象与一些列举的事证，不过我个人认为这里比较可惜的是时 间颇赶，很多地方都只有浅浅的带过，很想再知道多一点。 话说回来，余前辈感觉很想送人一年杂志。XD 再来是第二项议程的部份：最佳实务与解决方案； 不过基本上这部分的说明可能是小弟的经验还不够，加上参与论坛的经验不足， 第一小节有关自动工具的部份，以及第二小节关於静态工具检测的部份，基本上 是比较可惜的，虽然听了却无法理解，这部分可能如果有在场一起听讲的同好可 以互相交流一下。 最後还有一小段座谈会的时间，在交流过3~4个问题之後结尾，结束了今天这一场精 采的OWASP论坛。 讲完了大致上的流程，讲讲整体的感想： 小弟还是个很新手的工程师，当初是因为学校的老师有提到所以才接触了SQL Injection 这个资安问题，而之後对於小小的漏洞竟会造成大大的损失而感到 其严重性，所以一直相当观注资安问题。像是最近夺冠的XSS漏洞，就让人感到 很可怕。这些各式各样的漏洞让我在撰写网页应用程式上，总是感到战战兢兢， 深怕遗漏了任何一个而造成系统资料外漏/被攻击，而且个人认为就新手而言在 这方面的参考资料其实很不足，而且在课堂上通常也不会提这些事情。 如果能从教育着手，我想相关的问题应该会少一些，过去我对资安这方面的认知 是非常倚赖Programmer的经验，而不是工具或者是书籍。这次接触到资安人这本 杂志，觉得内容蛮有趣的，我想我应该也会订阅来当作资讯安全的参考～:) ──────────────────────────────── 以上，大概写些感想，另外深深的觉得英文能力不好实在是很大的障碍， 一开始为了省钱而没租耳机真是可惜啊，虽然是听的懂，可是旁边一有人 讲话讨论吸引注意力就完全跟不上了～～Q_Q 很希望有也有去的朋友/长辈们，可以分享一下今天的经验。^^;; ---- 资安应该可以算在 soft_job讨论范围内吧￣▽￣;;; -- 　▄▅▆▇███▇▆▅▄▃　　　　　　　　╰┼╯─╮ ╮　　　　　 　 　◥███████████◣　　　　　　　╰┼╯＝│=│　　　　　　　　 ◥██████───────◣　　　　＊．　╯　 ╯ ╯ の　物　语　．＊ 　◥███████──────◣　～　◢◣　　　　　　　　　　　　 ◢◣ 　◥██████───────◤　　　◥◤＊　　空白的世界．翼 ＊◥◤ 　◥██▁▂▃▄▅▆▇███▆▅▄▃▂▂～telnet://tony1223.no-ip.info --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 59.115.77.118