作者TonyQ (骨頭)
看板Soft_Job
標題[心得] 今天去OWASP的心得
時間Thu Sep 27 21:48:21 2007
OWASP(open web application security project)
也就是
http://www.owasp.org.tw/owasp_asia_2007/
之前就一直對 web 上資安的問題很有興趣,
如 SQL Injection 的問題早在三四年前就聽過有很慘痛的案例,
這次難得有這個免費的機會能略探究竟,就從桃園北上聽講囉~
────────────────────────────────
簡單用一些字寫下今天的聽講感想跟一些心得就好,不過由於小弟
語文能力不大好,英文聽講的部份可能不是很準確,還望各位先輩指教。:)
以下如果有指到資安的部份以 custom web application的資訊安全為主。
會議略有延遲,於下午一點二十分左右開場,
一開始先由主持人和貴賓做開幕致詞,大致上介紹了OWASP在台灣的發展現況,
以及資策會副執行長表達資策會對資安的重視與推廣,以及解釋Security在
web application 上的重要性。
※議程上分為兩項,第一項是 web攻擊趨勢 分三小節:
◎未來資安漏洞之大挑戰:邏輯漏洞 / Jeremiah 前輩
首先是 Business Login flow (企業邏輯漏洞),這段由 Jeremiah 講師帶來
許多各種不同的案例探討,短短的50分鍾內分享了八個以上具有各種特徵的
案例,也有提到對應的solution。
裡面我覺得比較新奇的是 Black Jack 賭局系統的案例,它舉出的例子是
在Black Jack 遊戲裡面,由於程式處理排列組合計算的時間不一,所以有時
候當碰上假牌 (如A可當1或11) 的時候計算時間會較久,而因此可以讓user
根據server反應時間推測出可能是哪些牌而增加贏的機率等商業邏輯上的問題。
還有Forgotten password設顏色當問題,當顏色選項太少,而很容易被硬Try出
來這類的問題。
還有比方說 url 是
http://hostname/userfile?userid=tonyq
這類的url可能會被有心人拿去猜帳號,所以url儘可能採用session id 或
難以被預測的值來當keyword等等~
商業邏輯的問題大多不能由現有的資安solution解決,只能靠設計者自己處理,
也被視為是資安世界裡面一項很大的挑戰。
◎從使用者的角度出發,企業的安全長要的是甚麼? / 徐子文 前輩
這一段的解說比較有趣,是站在CEO/使用者的角度來看CSO,
主要的focus在於如果今天我是CSO,要怎麼說服使用者把安全性排進時程內。
有一段話我覺得很有印象,『我們都認為安全是個顧慮,但是並不優先。』,
我們都覺得安全很重要,但是都不會把它當成優先性比較高的。
站在CSO的角度來講必須認知到我們究竟要做到甚麼樣的安全性,
以及必須要能夠讓決策者了解這樣的安全性究竟能夠帶來甚麼樣的效果/利益,
並且要能滿足決策者所想要的。
CSO 想要建立起堅固的城堡,不過事實上的經費只夠蓋破草屋,
這時候有創意的行銷人員就發出一個非常有建設性的意見,
『我們可以蓋一間能讓人參觀的城堡。』。(笑)
當然比較深入的話題還有『我們究竟是要蓋出一間把所有資料保護在裡面的城
堡,還是一間能保護外面利益的城堡?』
我覺得這一節是我做為一個設計者比較不會想到的。
◎決戰實況:中國網軍與海峽兩岸資訊戰 / 余俊賢、邱銘彰 前輩
這一小節分成兩部份,前面的部份是由邱銘彰前輩介紹所謂的惡意網頁,
也就是被植入惡意程式的網頁,大致上說明了惡意程式的運行概念,並且
舉出其所進行的實驗中針對台灣網站首頁惡意程式檢測所收集到的結果,
說明目前惡意程式植入的影響狀況。(Hacker被DDOS真的有爆點! 哈)
這部分比較精彩的地方是數據會說話,不過數據的部份還是不提了,
留待各看官心中自行補完吧~:P
另一個部分則是由余俊賢前輩主講,討論關於是否有大陸網軍一事,以及
其觀察到的現象與一些列舉的事證,不過我個人認為這裡比較可惜的是時
間頗趕,很多地方都只有淺淺的帶過,很想再知道多一點。
話說回來,余前輩感覺很想送人一年雜誌。XD
再來是第二項議程的部份:最佳實務與解決方案;
不過基本上這部分的說明可能是小弟的經驗還不夠,加上參與論壇的經驗不足,
第一小節有關自動工具的部份,以及第二小節關於靜態工具檢測的部份,基本上
是比較可惜的,雖然聽了卻無法理解,這部分可能如果有在場一起聽講的同好可
以互相交流一下。
最後還有一小段座談會的時間,在交流過3~4個問題之後結尾,結束了今天這一場精
采的OWASP論壇。
講完了大致上的流程,講講整體的感想:
小弟還是個很新手的工程師,當初是因為學校的老師有提到所以才接觸了SQL
Injection 這個資安問題,而之後對於小小的漏洞竟會造成大大的損失而感到
其嚴重性,所以一直相當觀注資安問題。像是最近奪冠的XSS漏洞,就讓人感到
很可怕。這些各式各樣的漏洞讓我在撰寫網頁應用程式上,總是感到戰戰兢兢,
深怕遺漏了任何一個而造成系統資料外漏/被攻擊,而且個人認為就新手而言在
這方面的參考資料其實很不足,而且在課堂上通常也不會提這些事情。
如果能從教育著手,我想相關的問題應該會少一些,過去我對資安這方面的認知
是非常倚賴Programmer的經驗,而不是工具或者是書籍。這次接觸到資安人這本
雜誌,覺得內容蠻有趣的,我想我應該也會訂閱來當作資訊安全的參考~:)
────────────────────────────────
以上,大概寫些感想,另外深深的覺得英文能力不好實在是很大的障礙,
一開始為了省錢而沒租耳機真是可惜啊,雖然是聽的懂,可是旁邊一有人
講話討論吸引注意力就完全跟不上了~~Q_Q
很希望有也有去的朋友/長輩們,可以分享一下今天的經驗。^^;;
----
資安應該可以算在 soft_job討論範圍內吧 ̄▽ ̄;;;
--
▄▅▆▇███▇▆▅▄▃ ╰┼╯─╮ ╮
◥███████████◣ ╰┼╯=│=│
◥██████───────◣ *. ╯ ╯ ╯ の 物 語 .*
◥███████──────◣ ~ ◢◣ ◢◣
◥██████───────◤ ◥◤* 空白的世界.翼
*◥◤
◥██▁▂▃▄▅▆▇███▆▅▄▃▂▂
~telnet://tony1223.no-ip.info
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 59.115.77.118
推 gpmm:推!!可惜沒有去聽…殘念 09/27 21:52
推 shring:囧...不知道有...早知道就去了 09/27 22:19
推 zekly:推!徐子文前輩最後有一個模型是從理論到產品價值的~ 09/27 22:18
→ zekly:對於這個觀點感觸蠻深的,必竟end user很少會在意運作的原理 09/27 22:20
推 TonyQ:樓上可以回一下(或mail我信箱)詳細的資料嗎 我想知道XD 09/27 22:21
→ TonyQ:可能我沒有注意到 , 想多了解一點... 09/27 22:22
→ zekly:從研發端跳到業務端,感覺是換了不同的腦袋,思維變很多~冏 09/27 22:23
推 justben:有沒有主動送假資料給駭客的計畫呀? XDD 09/27 23:13
→ justben:有的話計畫就叫:"草木皆兵"好了..今天去聽突然想到的XDD 09/27 23:14
推 wa120:網軍的部份我覺得說的很假...而且也沒有提出證據證明... 09/27 23:48
推 wa120:而且他們怎麼都在批我最熱愛的php>"< 09/27 23:53
推 freeunixer:坦白說, php + mysql, 沒處理好,問題的確很多 -_- 09/28 00:01
推 iincho:不是PHP + MySQL的問題....-_-;;; 09/28 00:02
推 TonyQ:不是 PHP + MySQL的問題 +1...是Programmer沒有注意到 09/28 09:03
→ TonyQ:不過這可能會發生在任何語言 除非該語言有提供安全的方式 09/28 09:05
→ TonyQ:如J2EE 的 PreparedStatement 可以透過setString(..)處理 09/28 09:05