Authentication 的資訊安全設計原則、測試、個案與實作 這篇文章主要討論 Authentication 認證的資訊安全議題,涵蓋下列主題: 認證的資訊安全設計原則, 針對認證測試可以用的工具與測試方法作討論 認證所導致資訊安全事件的實際新聞與個案討論, 最後舉一個程式碼範例說明好的設計與不好的設計差異。 認證基本原則 認證不外乎是運用下列三個的組合。 知道:例如知道帳號密碼 擁有:例如擁有手機或是實體的憑證 誰:生物辨識。像是指紋或是視網膜 認證的安全設計基本原則為 定義密碼規則 登入錯誤失敗時的鎖定(Lock-out)機制 忘記密碼的處理流程 禁止使用 Http或是…
Web Security
資訊安全程式設計與代碼審查 (Java)
資訊安全程式設計與代碼審查 (Java) 這篇文章者要特別針對 Security Code Review的一些做法討論,Code Review 其實很花時間, 特別是一個大型的軟體專案,程式碼可能會有上百萬行的情況下, 要如何有效率的做程式碼的檢查,盡早找出潛在的資訊安全風險就是一個挑戰。 筆者舉一些實務上的作法,並且分享一些小技巧。最後以 Java 為例子, 說明如何從 Java 程式”關鍵字”中連結到潛在要注意的資訊安全風險。 介紹幾種”測試”程式碼的策略。 Secure Coding…
完整的資安測試為什麼還是被攻擊? Known Vulnerability
完整的資安測試為什麼還是被攻擊? Known Vulnerability 這篇文章主要說明當應用系統已經做完完整的測試與安全設計評審後,為什麼還會遭受攻擊呢? 其中一個很常見的原因也是常被忽略的,就是使用第三方的工具或程式庫。 這些第三方的程式庫沒有適當的更新而導致資訊安全風險。 加上這些資訊安全風險都是公開的資訊,駭客按圖索驥透過這個方式攻擊。 常見的像是 OpenSSL,Apache or PHP 等。 那麼到底有什麼方式可以得知目前我使用的第三方工具或是程式庫是否有重大資安風險呢? 如果有,駭客又是透過什麼方式攻擊? 業界又是怎樣對於”資安風險” 評分出一個客觀的指標呢? 重大風險還是中度風險? 當使用的第三方工具與程式庫有上百個怎麼有效率的查詢呢? 什麼是 CVE?…