Web服務的 SSO 與代理授權的基礎 – OAuth 2.0 這篇文章主要講解 Oauth 2.0 生活中我們常常遇到網頁要求您授權的案例 當使用服務A的時候, 告知您可以用您的Google帳號登入 或是使用服務B的時候, 需要授權存取 Google 相簿等 這些背後的運作就是 Oauth2.0 ! Oauth…
Web Security
Open API 的安全威脅與防護個案討論
Open API 的安全威脅與防護個案討論 這篇文章主要用一個實際個案說明 Open API 可能造成的風險 藉由這個例子討論Open API 的威脅與安全防護建議. 什麼是 Open API? Web 服務的開放整合, 服務之間以 HTTP/HTTPS為基礎相互溝通 透過開放的 API 讓整個Web…
SQL injection 幾種無效的防護程式範例迷思
SQL injection 幾種無效的防護程式範例迷思 這篇文章主要用兩個常見的範例說明無效的編碼防護方式 許多人常認為只要將特殊服務去除或是使用 Store procedure 就自然不會受到 SQL injection的攻擊 筆者舉兩個例子說明這樣的迷思與錯誤的觀念 迷思一: 過濾特殊字元 許多開發人員認為只要將 SQL 特殊符號去除就可以避免SQL injection 常見的簡單方式包含將 ‘…