雲端產品資訊安全測試方法與流程研討會剪影 這次的研討會大約有 100-200人參予,下雨天還有這麼多人真是感動。 演講的過程中許多人拿手機不斷的拍講報內容,希望參予者都有 Takeaway 也有所收穫。 另外,要把演講簡報的內容背熟! 因為不是很多演講會場會有講台或是可以看到電腦的!
Web Security
錯誤處理的資訊安全風險
錯誤處理的資訊安全風險 這篇文章主要說明系統發生錯誤時,通常會顯示一些錯誤訊息給使用者或是給系統管理員參考, 這些系統或是應用程式的錯誤訊息有助於未來除錯使用, 但是駭客也會利用這些錯誤訊息獲取應用系統相關的資訊與弱點, 因此,錯誤訊息所帶來的前在資訊安全風險為何、如何防護、個案討論等就是這篇文章要討論的議題。 錯誤訊息處理的原則 處理非預期的行為:Expect the unexpected – your data won’t always be what you assume 遇到錯誤狀況時:When you…
Logging 衍生的資訊安全風險
Logging 衍生的資訊安全風險 這篇文章主要說明 Log 會帶來的資訊安全風險與防範。 Log原本主要用在紀錄系統或是程式執行過程中發生的錯誤或是異常, Log記錄這些系統的資訊以便未來開發或是系統人員可以根據這些log 加以除錯。 但是,對於駭客來說 Log 也被用來了解系統行為的一個管道之一。 我們會討論三個實際個案,最後說明Log所要注意的資訊安全設計與建議。 Log主要目的 不管是系統或是程式Log的主要目的不外乎是紀錄系統活動事件。Log的資訊內容包含: 發生什麼事情? 何時、何地、誰、做了什麼使事情? 除了系統本身的 log之外,還有應用程式 Log…