Web Security

SQL Injection 基本原理與保護

SQL Injection 基本原理與保護 由於每個網站背後都會有 Database 存放資料, 這篇文章主要介紹SQL Injection 的形成原因、如何避免、 SQL injection 所帶來的資訊安全風險與建議。   通常來說,網站或是雲端服務會利用資料庫來存放下列資料 使用者資料、帳號 商品資訊、訂單 其他相關商業邏輯與權限 由於 SQL是直譯式的語言, 因此如果網站的使用者輸入與後端資料庫沒有適當的安全防護,…

Read More

Secure Code Scanning 靜態程式碼掃描

Secure Code Scanning 靜態程式碼掃描 關於 Code Review   這篇文章主要討論如何針對程式碼用自動化的工具作分析,了解程式碼潛在的問題 例如:Memory leak、SQL Injection 等 首先,我們先了解程式碼分析工具可以分析什麼問題,不能分析什麼問題?   程式碼分析擅長的是… 基本資料型態的問題 (例如:數值or 字串 overflow等)…

Read More

雲端應用的七種使用情境

雲端應用的七種使用情境 這篇文章主要討論雲端服務的七種使用情境 (參考資料:http://cloudusecases.org)   情境一:使用者直接存取雲端服務 這個使用情境,使用者直接存取雲端的資料或是應用程式。 例如: Yahoo Email, Hotmail, Facebook, Line 等。 使用者只要有瀏覽器到處都可以存取他自己的資料,與使用該應用程式的服務。         情境二:使用者透過雲端存取企業內部資源 使用者可能為企業外部客戶或是企業員工,透過雲端存取企業內部資源。…

Read More