資訊安全滲透測試課程 這堂課程主要說明網站十大資訊安全風險的測試與防護 課程涵蓋下列主題,上機、實際演練與個案討論。 避免很多情況下”知道”,但是卻無從下手,且無法了解整個攻擊手法的全貌。 因此課程上模擬一些網站,並且運用相關的工具與手法,了解整個攻擊的全貌。 並且針對該攻擊,進一步討論應該防護的措施。 十大網站資訊安全風險 如何手動、半自動與自動測試 如何解析測試結果 安全防護的建議 參考資料 OWASP Top 10 Web Vulnerability https://www.owasp.org/index.php/Top_10_2013-Top_10
Web Security
6個”檔案上傳”功能的資訊安全風險與防護
6個”檔案上傳”功能的資訊安全風險與防護 有些網站會提供檔案上傳的功能,例如 DropBox、社交網站提供照片上傳或是部落格網站提供檔案上傳分享等功能。 駭客可以透過檔案上傳的方式執行惡性程式或是產生非預期的結果。因此,檔案上傳的安全防護不亞於帳號密碼的保護措施。 這篇文章主要討論這些”檔案上傳”的網站,需要注意哪些資訊安全風險與防護的建議。 我們會舉 6 個檔案上傳相關安全風險的原因、程式範例討論與安全防護必須要注意的建議。 風險1: 檔案路徑 file path injection 又稱為 path traversal。這樣的攻擊主要是透過檔案路徑的搜尋,間接存取其他網站的資源。 當URL 網址的路徑內包含 ../ 就表示該網站有潛在的風險…
11個網站安全防護的 http Header 設定
11個網站安全防護的 http Header 設定 這篇文章主要介紹 11個網站安全防護的 http Header 只要透過網站的設定,安全設定值加入到 http header 中,不需大幅度的修改程式, 就可以讓網站與使用者瀏覽器之間有更多的安全防護,因此這個方法是比較簡便可以達成。 缺點就是這些 Http Header 在比較舊版本的瀏覽器有些是不支援的。 http Header 用途…