Web Application Firewall 的常見偵測原理 這篇文章主要討論 WAF (Web Application Firewall ) 的偵測與防護基本原理 1. 正規化 由於黑客會利用各種編碼的方式繞過驗證或是檢查, 所以 WAF 必須將原始 Http Request 的數據內容進行正規化…
Web Security
6個安全編碼檢視小技巧
6個安全編碼檢視小技巧 這篇文章主要介紹幾個常見的編碼問題的識別, 如何透過常見的關鍵字或是特徵識別出編碼上可能會產生的安全風險 1. 檔案的輸入與輸出 檢查重點: 檢查的重點在於檔案檔名, 路徑與資料輸入的合法性較驗 資訊安全風險: 程式碼關鍵字範例: openFileOutput, FileInputStream, FilterInputStream, SequenceInputStream ObjectInputStream, PipedInputStream, StreamTokenizer, getResourceAsStream java.io.FileReader, java.io.FileWriter, java.io.RandomAccessFile, java.io.File, java.io.FileOutputStream 2. 網站參數 檢查重點: 資料輸入的驗證…
4個免費 C/C++程式碼白盒掃描開源工具
4個免費 C/C++程式碼白盒掃描開源工具 visual code grepper http://sourceforge.net/projects/visualcodegrepp cppCheck http://cppcheck.sourceforge.net/ CodeNavi http://github.com/nccgroup/ncccodenavi Doxygen http://www.stack.nl/~dimitri/doxygen/ Flawfinder https://www.dwheeler.com/flawfinder/ 參考 https://samate.nist.gov/index.php/Source_Code_Security_Analyzers.html https://samate.nist.gov/SRD/testsuite.php