網站安全 — Logging 系統與使用者使用記錄 Logging 對於資訊安全系統來說是很重要的, 除了可以知道系統的使用狀況,更可以做系統的稽核 同時,也可以針對異常的使用行為追蹤與預防 這邊文章主要要探討什麼應該要記錄、什麼不應該被記錄,測試的注意項目 記錄檔的設計 設計記錄檔的時候必須考量下列問題: 記錄檔是否包含敏感性資訊 是否儲存在特定伺服器 是否有可能被誤用為 DoS攻擊 記錄檔按多久循環保存 記錄檔案多久被審查一次 記錄檔案如何被備份 記錄檔案紀錄的資訊是否會事先被驗證字元長度、合法字元等…
Web Security
網站資訊安全測試 — Logout
網站資訊安全測試 — Logout 許多網站都繪有登入與登出的設計,登入因為需要帳號密碼,身分的驗證,所以相關的檢查相對會比較嚴謹 相對來說登出 logout 所需注意的資訊安全常被忽略 那麼 logout 會有哪些潛在的資訊安全風險與需要注意的地方呢? 一個安全的 logout設計應該要包含下列項目: UI 的設計讓使用者可以自己 logout,這當然是基本的需求, Logout的選項應該要在登入之後,出現在每一個頁面,通常是在畫面的最上方。 當一段時間之後,自動 logout。例如,很多銀行網站在五分鐘內如果沒有動作,就會強迫logout Session 在l…
Clickjacking Attack 偽裝的網頁
Clickjacking Attack 偽裝的網頁 這篇文章主要介紹一種特別的攻擊手法 clickJacking 什麼是 ClickJacking? 攻擊的技術手法 網站防護的建議 什麼是 ClickJacking ClickJacking 的主要目的是要達到讓受害者執行 Authenticated actions BUT unintentional actions 這是什麼狀況呢? 舉例來說,有兩張複寫紙,…