Submit Search
Upload
基礎網頁程式攻擊檢驗
•
8 likes
•
3,541 views
Taien Wang
Follow
基礎網頁程式攻擊檢驗 希望大家有能力透過工具找出弱點修補 Hiiir - Taien 內部資安講座 1011212 Taien Wang
Read less
Read more
Technology
Report
Share
Report
Share
1 of 13
Download now
Download to read offline
Recommended
伺服器端攻擊與防禦II
伺服器端攻擊與防禦II
Taien Wang
OWST - Orange Web Security Toolkit Documentation
OWST - Orange Web Security Toolkit Documentation
Orange Tsai
伺服器端攻擊與防禦III
伺服器端攻擊與防禦III
Taien Wang
網頁弱點掃描服務簡報 20120606
網頁弱點掃描服務簡報 20120606
Fionsu
網頁安全 Web security 入門 @ Study-Area
網頁安全 Web security 入門 @ Study-Area
Orange Tsai
伺服器端攻擊與防禦I
伺服器端攻擊與防禦I
Taien Wang
WebConf 2013「Best Practices - The Upload」
WebConf 2013「Best Practices - The Upload」
Orange Tsai
網站程式資安白箱與黑箱檢測處理經驗分享
網站程式資安白箱與黑箱檢測處理經驗分享
Ying-Chun Cheng
Recommended
伺服器端攻擊與防禦II
伺服器端攻擊與防禦II
Taien Wang
OWST - Orange Web Security Toolkit Documentation
OWST - Orange Web Security Toolkit Documentation
Orange Tsai
伺服器端攻擊與防禦III
伺服器端攻擊與防禦III
Taien Wang
網頁弱點掃描服務簡報 20120606
網頁弱點掃描服務簡報 20120606
Fionsu
網頁安全 Web security 入門 @ Study-Area
網頁安全 Web security 入門 @ Study-Area
Orange Tsai
伺服器端攻擊與防禦I
伺服器端攻擊與防禦I
Taien Wang
WebConf 2013「Best Practices - The Upload」
WebConf 2013「Best Practices - The Upload」
Orange Tsai
網站程式資安白箱與黑箱檢測處理經驗分享
網站程式資安白箱與黑箱檢測處理經驗分享
Ying-Chun Cheng
使安全成為軟體開發必要部分
使安全成為軟體開發必要部分
Taien Wang
Android Taipei 2013 August - Android Apps Security
Android Taipei 2013 August - Android Apps Security
Taien Wang
淡江大學 - 產品測試+安全性測試+壓力測試
淡江大學 - 產品測試+安全性測試+壓力測試
Taien Wang
滲透測試 Talk @ Nisra
滲透測試 Talk @ Nisra
Orange Tsai
OWASP Top 10 (2013) 正體中文版
OWASP Top 10 (2013) 正體中文版
Bruce Chen
網站系統安全及資料保護設計認知
網站系統安全及資料保護設計認知
Justin Lin
2017.11.22 OWASP Taiwan Week (Lucas Ko)
2017.11.22 OWASP Taiwan Week (Lucas Ko)
Lucas Ko
用戶端攻擊與防禦
用戶端攻擊與防禦
Taien Wang
議題二:Web應用程式安全防護
議題二:Web應用程式安全防護
Nicolas su
網站系統安全及資料保護設計認知 2019
網站系統安全及資料保護設計認知 2019
Justin Lin
一個微信專案從0到000的效能調教
一個微信專案從0到000的效能調教
Bruce Chen
运维安全 抵抗黑客攻击_云络安全沙龙4月上海站主题分享
运维安全 抵抗黑客攻击_云络安全沙龙4月上海站主题分享
ChinaNetCloud
滲透測試簡述(資訊安全顧問服務)
滲透測試簡述(資訊安全顧問服務)
wanhung1911
Artifacts management with CI and CD
Artifacts management with CI and CD
Chen-Tien Tsai
.NET Security Application/Web Development - Part II
.NET Security Application/Web Development - Part II
Chen-Tien Tsai
.NET Security Application/Web Development - Part III
.NET Security Application/Web Development - Part III
Chen-Tien Tsai
SITCON2021 Web Security 領航之路
SITCON2021 Web Security 領航之路
Tzu-Ting(Fei) Lin
資訊安全入門
資訊安全入門
Tyler Chen
6.web 安全架构浅谈
6.web 安全架构浅谈
Hsiao Tim
Hiiir 資安講座 I 基礎網頁程式攻擊檢驗
Hiiir 資安講座 I 基礎網頁程式攻擊檢驗
Hiiir Lab
网站离线数据安全分析漫谈 2012cert
网站离线数据安全分析漫谈 2012cert
ph4nt0m
Hiiir 資安講座 III 用戶端攻擊與防禦
Hiiir 資安講座 III 用戶端攻擊與防禦
Hiiir Lab
More Related Content
What's hot
使安全成為軟體開發必要部分
使安全成為軟體開發必要部分
Taien Wang
Android Taipei 2013 August - Android Apps Security
Android Taipei 2013 August - Android Apps Security
Taien Wang
淡江大學 - 產品測試+安全性測試+壓力測試
淡江大學 - 產品測試+安全性測試+壓力測試
Taien Wang
滲透測試 Talk @ Nisra
滲透測試 Talk @ Nisra
Orange Tsai
OWASP Top 10 (2013) 正體中文版
OWASP Top 10 (2013) 正體中文版
Bruce Chen
網站系統安全及資料保護設計認知
網站系統安全及資料保護設計認知
Justin Lin
2017.11.22 OWASP Taiwan Week (Lucas Ko)
2017.11.22 OWASP Taiwan Week (Lucas Ko)
Lucas Ko
用戶端攻擊與防禦
用戶端攻擊與防禦
Taien Wang
議題二:Web應用程式安全防護
議題二:Web應用程式安全防護
Nicolas su
網站系統安全及資料保護設計認知 2019
網站系統安全及資料保護設計認知 2019
Justin Lin
一個微信專案從0到000的效能調教
一個微信專案從0到000的效能調教
Bruce Chen
运维安全 抵抗黑客攻击_云络安全沙龙4月上海站主题分享
运维安全 抵抗黑客攻击_云络安全沙龙4月上海站主题分享
ChinaNetCloud
滲透測試簡述(資訊安全顧問服務)
滲透測試簡述(資訊安全顧問服務)
wanhung1911
Artifacts management with CI and CD
Artifacts management with CI and CD
Chen-Tien Tsai
.NET Security Application/Web Development - Part II
.NET Security Application/Web Development - Part II
Chen-Tien Tsai
.NET Security Application/Web Development - Part III
.NET Security Application/Web Development - Part III
Chen-Tien Tsai
SITCON2021 Web Security 領航之路
SITCON2021 Web Security 領航之路
Tzu-Ting(Fei) Lin
資訊安全入門
資訊安全入門
Tyler Chen
6.web 安全架构浅谈
6.web 安全架构浅谈
Hsiao Tim
What's hot
(19)
使安全成為軟體開發必要部分
使安全成為軟體開發必要部分
Android Taipei 2013 August - Android Apps Security
Android Taipei 2013 August - Android Apps Security
淡江大學 - 產品測試+安全性測試+壓力測試
淡江大學 - 產品測試+安全性測試+壓力測試
滲透測試 Talk @ Nisra
滲透測試 Talk @ Nisra
OWASP Top 10 (2013) 正體中文版
OWASP Top 10 (2013) 正體中文版
網站系統安全及資料保護設計認知
網站系統安全及資料保護設計認知
2017.11.22 OWASP Taiwan Week (Lucas Ko)
2017.11.22 OWASP Taiwan Week (Lucas Ko)
用戶端攻擊與防禦
用戶端攻擊與防禦
議題二:Web應用程式安全防護
議題二:Web應用程式安全防護
網站系統安全及資料保護設計認知 2019
網站系統安全及資料保護設計認知 2019
一個微信專案從0到000的效能調教
一個微信專案從0到000的效能調教
运维安全 抵抗黑客攻击_云络安全沙龙4月上海站主题分享
运维安全 抵抗黑客攻击_云络安全沙龙4月上海站主题分享
滲透測試簡述(資訊安全顧問服務)
滲透測試簡述(資訊安全顧問服務)
Artifacts management with CI and CD
Artifacts management with CI and CD
.NET Security Application/Web Development - Part II
.NET Security Application/Web Development - Part II
.NET Security Application/Web Development - Part III
.NET Security Application/Web Development - Part III
SITCON2021 Web Security 領航之路
SITCON2021 Web Security 領航之路
資訊安全入門
資訊安全入門
6.web 安全架构浅谈
6.web 安全架构浅谈
Similar to 基礎網頁程式攻擊檢驗
Hiiir 資安講座 I 基礎網頁程式攻擊檢驗
Hiiir 資安講座 I 基礎網頁程式攻擊檢驗
Hiiir Lab
网站离线数据安全分析漫谈 2012cert
网站离线数据安全分析漫谈 2012cert
ph4nt0m
Hiiir 資安講座 III 用戶端攻擊與防禦
Hiiir 資安講座 III 用戶端攻擊與防禦
Hiiir Lab
議題三:政府網站常見弱點與分析
議題三:政府網站常見弱點與分析
Nicolas su
渗透测试思路技术与方法
渗透测试思路技术与方法
挺
在互联网公司推行SDL(Security Development Lifecycle)的一些经验和教训
在互联网公司推行SDL(Security Development Lifecycle)的一些经验和教训
zhiyanhui
基于大数据的Web攻击溯源
基于大数据的Web攻击溯源
正炎 高
Web2.0 attack and defence
Web2.0 attack and defence
hackstuff
Hiiir 資安講座 II 使安全成為軟體開發的一部分
Hiiir 資安講座 II 使安全成為軟體開發的一部分
Hiiir Lab
Web安全分享 -公开版
Web安全分享 -公开版
piao2010
PIC_Experience2
PIC_Experience2
ray chen
雲端上的資訊安全-Global Azure Bootcamp 2015 臺北場
雲端上的資訊安全-Global Azure Bootcamp 2015 臺北場
twMVC
HITCON FreeTalk 2024 台灣駭客協會媒體小聚【議題一:資安地圖 - 資安領域與趨勢介紹】
HITCON FreeTalk 2024 台灣駭客協會媒體小聚【議題一:資安地圖 - 資安領域與趨勢介紹】
Hacks in Taiwan (HITCON)
【反讲 银翘】Web安全
【反讲 银翘】Web安全
xiaomogu11
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
Wales Chen
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
T客邦
Hiiir 資安講座 IV 伺服器端攻擊與防禦I
Hiiir 資安講座 IV 伺服器端攻擊與防禦I
Hiiir Lab
互联网公司web安全挑战与防护思路浅谈
互联网公司web安全挑战与防护思路浅谈
zhiyanhui
雲端分散架構的駭客事件與安全問題
雲端分散架構的駭客事件與安全問題
Alan Lee
HITCON GIRLS 資安萌芽推廣 2017: 你知道你連線的網站黑黑的嗎
HITCON GIRLS 資安萌芽推廣 2017: 你知道你連線的網站黑黑的嗎
HITCON GIRLS
Similar to 基礎網頁程式攻擊檢驗
(20)
Hiiir 資安講座 I 基礎網頁程式攻擊檢驗
Hiiir 資安講座 I 基礎網頁程式攻擊檢驗
网站离线数据安全分析漫谈 2012cert
网站离线数据安全分析漫谈 2012cert
Hiiir 資安講座 III 用戶端攻擊與防禦
Hiiir 資安講座 III 用戶端攻擊與防禦
議題三:政府網站常見弱點與分析
議題三:政府網站常見弱點與分析
渗透测试思路技术与方法
渗透测试思路技术与方法
在互联网公司推行SDL(Security Development Lifecycle)的一些经验和教训
在互联网公司推行SDL(Security Development Lifecycle)的一些经验和教训
基于大数据的Web攻击溯源
基于大数据的Web攻击溯源
Web2.0 attack and defence
Web2.0 attack and defence
Hiiir 資安講座 II 使安全成為軟體開發的一部分
Hiiir 資安講座 II 使安全成為軟體開發的一部分
Web安全分享 -公开版
Web安全分享 -公开版
PIC_Experience2
PIC_Experience2
雲端上的資訊安全-Global Azure Bootcamp 2015 臺北場
雲端上的資訊安全-Global Azure Bootcamp 2015 臺北場
HITCON FreeTalk 2024 台灣駭客協會媒體小聚【議題一:資安地圖 - 資安領域與趨勢介紹】
HITCON FreeTalk 2024 台灣駭客協會媒體小聚【議題一:資安地圖 - 資安領域與趨勢介紹】
【反讲 银翘】Web安全
【反讲 银翘】Web安全
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
賽門鐵克端點安全教戰守則 - Symantec Endpoint Protection 及 Symantec Critical System Protec...
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
Hiiir 資安講座 IV 伺服器端攻擊與防禦I
Hiiir 資安講座 IV 伺服器端攻擊與防禦I
互联网公司web安全挑战与防护思路浅谈
互联网公司web安全挑战与防护思路浅谈
雲端分散架構的駭客事件與安全問題
雲端分散架構的駭客事件與安全問題
HITCON GIRLS 資安萌芽推廣 2017: 你知道你連線的網站黑黑的嗎
HITCON GIRLS 資安萌芽推廣 2017: 你知道你連線的網站黑黑的嗎
More from Taien Wang
[MOPCON2019]從零建立商業技術團隊
[MOPCON2019]從零建立商業技術團隊
Taien Wang
[ModernWeb2019] Taien - 高併發的道與術
[ModernWeb2019] Taien - 高併發的道與術
Taien Wang
[ModernWeb2018] Web3.0 區塊鏈 DApp + 智能合約開發:你必要挑戰的坑坑洞洞
[ModernWeb2018] Web3.0 區塊鏈 DApp + 智能合約開發:你必要挑戰的坑坑洞洞
Taien Wang
百人團隊敏捷轉型暨持續性整合與交付實踐
百人團隊敏捷轉型暨持續性整合與交付實踐
Taien Wang
淡江Git與GitHub操作介紹
淡江Git與GitHub操作介紹
Taien Wang
成長駭客 Growth Hacker
成長駭客 Growth Hacker
Taien Wang
20160105 wnmp & phalcon micro app - part II
20160105 wnmp & phalcon micro app - part II
Taien Wang
20151229 wnmp & phalcon micro app - part I
20151229 wnmp & phalcon micro app - part I
Taien Wang
我編程.我快樂
我編程.我快樂
Taien Wang
Scrum深入淺出
Scrum深入淺出
Taien Wang
淡江大學 - ios+android+html5(javascript)
淡江大學 - ios+android+html5(javascript)
Taien Wang
淡江大學 - 網站開發應用技術及雲端應用技術
淡江大學 - 網站開發應用技術及雲端應用技術
Taien Wang
PHP更有效率的除錯 - XDebug
PHP更有效率的除錯 - XDebug
Taien Wang
More from Taien Wang
(13)
[MOPCON2019]從零建立商業技術團隊
[MOPCON2019]從零建立商業技術團隊
[ModernWeb2019] Taien - 高併發的道與術
[ModernWeb2019] Taien - 高併發的道與術
[ModernWeb2018] Web3.0 區塊鏈 DApp + 智能合約開發:你必要挑戰的坑坑洞洞
[ModernWeb2018] Web3.0 區塊鏈 DApp + 智能合約開發:你必要挑戰的坑坑洞洞
百人團隊敏捷轉型暨持續性整合與交付實踐
百人團隊敏捷轉型暨持續性整合與交付實踐
淡江Git與GitHub操作介紹
淡江Git與GitHub操作介紹
成長駭客 Growth Hacker
成長駭客 Growth Hacker
20160105 wnmp & phalcon micro app - part II
20160105 wnmp & phalcon micro app - part II
20151229 wnmp & phalcon micro app - part I
20151229 wnmp & phalcon micro app - part I
我編程.我快樂
我編程.我快樂
Scrum深入淺出
Scrum深入淺出
淡江大學 - ios+android+html5(javascript)
淡江大學 - ios+android+html5(javascript)
淡江大學 - 網站開發應用技術及雲端應用技術
淡江大學 - 網站開發應用技術及雲端應用技術
PHP更有效率的除錯 - XDebug
PHP更有效率的除錯 - XDebug
基礎網頁程式攻擊檢驗
1.
Taien內部資安講座 I
基礎網頁程式攻擊檢驗 2012.12.12 @ Hiiir Inc. Taien Wang<taien_wang@hiiir.com> 英屬維京群島商時間軸科技股份有限公司新創事業部
2.
網頁程式攻擊與防範 •
常見弱點 • 弱點掃描工具 • 基本架構防禦 • 推薦書籍
3.
駭客看到的?
4.
常用弱點
非官方網頁應用程式安全組織 OWASP OWASP 2007 10大弱點 OWASP 2010 10大弱點 1 跨站腳本攻擊 (XSS) 注入攻擊 2 注入攻擊 跨站腳本攻擊(XSS) 3 惡意程式執行 身分驗證功能缺失 4 不安全的物件參考 不安全的物件參考 5 跨站請求偽造(CSRF) 跨站請求偽造(CSRF) 6 程式碼錯誤訊息外漏 安全性設定疏失 7 身分驗證功能缺失 未加密的儲存設備 8 未加密的儲存設備 無權限的URL控制 9 不安全的網路連練 不安全的傳輸防護 10 無權限的URL控制 未驗證的導向
5.
常見的網路攻擊 •
注入(Injection) – SQL注入(SQL Injection) – 命令注入(Command Injection) – LDAP注入(LDAP Injection) • 跨網站腳本(Cross-Site Script) • 跨網站請求偽造(Cross-Site Request Forgery, CSRF) • Cookie挾持/偽造(Cookie, Session Hijacking/Spoofing) • 跳脫目錄(Escape Directory) • 上傳過濾(Upload Filter) • 遠端檔案引入(Remote File Inclusion) • 非驗證重導/重送(Unvaildated Redirects and Forwards)
6.
弱點掃描工具 •
OWASP Zed Attack Proxy Project • Paros • Nikto • Google skipfish • Burp Suite • Shadow Security Scanner • Acunetix Web Vulnerability Scanner • Xscan • NeXpose • Nessus
7.
基本防禦架構 •
Model(商業模型) – 白名單、資料淨化 – 拋出錯誤 • View – 客戶端Script檢查 – XSS、CSRF/XSRF • Controller – 接收欄位檢查必要欄位 – 處理錯誤
8.
範例(1/2)
9.
範例(2/2)
10.
未來上線必要流程 OWASP弱點測試報告書
11.
推薦書籍 •
程式開發安全 – 網路竟然這麼危險!阿里巴巴首席安全專家教你全方位保護網站 – 網頁程式駭客攻防實戰-以 PHP 為例 – The Web Application Hacker’s Handbook – Hacking Exposed Web 2.0: Web 2.0 Security Secrets and Solutions – Web 2.0 Security - Defending AJAX, RIA, AND SOA – OWASP Testing Guide – OWASP Code Review Guide – The Database Hacker's Handbook Defending Database Servers • 軟體安全開發架構 – Software Security: Building Security In – Secure Software Development Life Cycle, SSDLC
12.
網路攻擊與防禦系列分享 •
主題: 網頁程式攻擊與防範 – 2012.12.12 10:30-11:30 • 主題: 安全的開發流程 – 2013.01.16 10:30-11:30 • 主題: 網路攻擊詳解(一) – 用戶端攻擊與防禦 – 2013.02.05 10:30-11:30 • 主題: 網路攻擊詳解(二) – 伺服器端攻擊與防禦 • 主題: 存取控制與加密演算法
Download now