Browser Cache 的資訊安全測試 瀏覽器可以將瀏覽過的網頁資訊或是輸入過的資訊快取記錄, 問題是有些敏感性資料也會因此被快取記錄起來 間接造成資訊安全風險, 其他人可以利用 “Back”鍵或是 history可以看見之前所瀏覽的紀錄。 筆者前陣子到銀行開新帳戶,申請網路銀行時,第一次使用需要更改帳號密碼 於是銀行行員就導引筆者使用一台公用電腦,登入並且修改帳號密碼, 想像如果該電腦的瀏覽器是有快取的設定, 那麼該電腦就很容易造成帳號密碼外洩的管道。 因此,這篇文章主要介紹網站設定與測試所需要注意的地方。 如何測試 1. Back 最快與簡便的方式就是按瀏覽器的 “Back”,…
網站安全
SSL 運作原理、安全威脅與防護之道
SSL 運作原理、安全威脅與防護之道 2014許多SSL 的資訊安全風險發生, SSL 被廣泛運用在 Browser 與 Web Site 溝通的加密與身分驗證 因為Browser 都會內建 CA 認證, 只要透過 HTTS 就可以建立以 SSL/TLS 的驗證與加密機制…
網站安全風險前五名
網站安全風險前五名 這篇文章主要介紹網站資訊安全風險排行榜前五名, 分別針對每一個風險說明資訊安全風險的情境,網站保護的建議 5. Security Misconfiguration 如何檢查 使用的軟體或是系統元件是否有過期沒有更新? 例如作業系統、網站、資料庫、程式庫等。駭客會利用已知的弱點進行攻擊。 額外安裝其他不需要的服務。例如:ports、服務、Demo網頁、Demo帳號 是否有預設的帳號與密碼沒有改變 是否有過多額外的錯誤訊息,例如版本資訊、語法錯誤等 各個程式語言架構相關的資訊安全設定 駭客攻擊情境 網站預設的帳號密碼沒有更改,駭客用預設的系統管理頁面登入 網站 Directory listing 沒有取消,因此駭客可以輕易地瀏覽該網站所有的檔案與路徑,進一步找到相關的程式與系統資訊。 Demo或是示範的網站沒有被移除。例如…