網站安全

雲端應用的七種使用情境

雲端應用的七種使用情境 這篇文章主要討論雲端服務的七種使用情境 (參考資料:http://cloudusecases.org)   情境一:使用者直接存取雲端服務 這個使用情境,使用者直接存取雲端的資料或是應用程式。 例如: Yahoo Email, Hotmail, Facebook, Line 等。 使用者只要有瀏覽器到處都可以存取他自己的資料,與使用該應用程式的服務。         情境二:使用者透過雲端存取企業內部資源 使用者可能為企業外部客戶或是企業員工,透過雲端存取企業內部資源。…

Read More

雲端服務的類型與權限管理

雲端服務的類型與權限管理 雲端的服務充斥著我們的生活與工作,從熟知的 Gmal, hotmail雲端郵件服務 Dropbox  儲存的服務,到企業使用的 VPN網路服務 或是虛擬作業系統環境等 這些雲端服務創造便利性的同時,也帶來衍生的資訊安全問題 根據 OWASP “權限管理”為雲端安全議題第一名,這篇文章主要介紹三種雲端服務的類型與權限管理的關係。     Accountability 這項指的主要是權限的控管。 應用程式、虛擬機器、資料庫、作業系統可以使用雲端服務。 但是權限管理的責任還是在於自己 那麼到底哪些雲端服務廠商要自己管理呢? 這必須從…

Read More

網站資訊安全測試 — Logout

網站資訊安全測試 — Logout 許多網站都繪有登入與登出的設計,登入因為需要帳號密碼,身分的驗證,所以相關的檢查相對會比較嚴謹 相對來說登出 logout 所需注意的資訊安全常被忽略 那麼 logout 會有哪些潛在的資訊安全風險與需要注意的地方呢?   一個安全的 logout設計應該要包含下列項目: UI 的設計讓使用者可以自己 logout,這當然是基本的需求, Logout的選項應該要在登入之後,出現在每一個頁面,通常是在畫面的最上方。 當一段時間之後,自動 logout。例如,很多銀行網站在五分鐘內如果沒有動作,就會強迫logout Session 在l…

Read More