从工程师到资安顾问.PDF

資訊安全 從入門到差點入獄 1 虎虎／劉家如 資訊安全 從入門到差點入獄  開發人員與軟體安全  資安．生活無處不在  從工程師到資安顧問  問答x總結x工商時間 2 活動共筆：https://goo.gl/hWWVSH 虎虎 。敦陽科技 資安專業服務處 資安顧問 。HITCON GIRLS 惡意程式分析組→Web PT 組 。金融／電信／科技／製造單位原始碼檢測專案 。金融/電信／教育／政府單位弱點掃瞄專案 。7 年程式開發經驗 2 年資安社群經驗 。2017 iT 邦幫忙鐵人賽 資安x系統x絕對領域 。ViolinTiger@ 3 個人聲明 此次活動內容僅用於瞭解攻擊手法 以利進行防禦部署及驗證系統弱點 若有任何學員用於進行非法行為 一切行為與本人無關 由學員自行負責 4 刑法防駭條款 第 三十六 章 妨害電腦使用罪 第358 條－入侵電腦或其相關設備罪 第359 條－破壞電磁紀錄罪 第360 條－干擾電腦或其相關設備罪 第361 條－對公務機關，加重其刑至 1/2 第362 條－製作犯罪電腦程式罪 5 開發人員與軟體安全 6 活動共筆：https://goo.gl/hWWVSH 6 商業邏輯：金額不應為負數 (1) 系統分析師規格沒有定義明確 (2) 系統應該在後端增加金額檢核點 (3) 建議做人工原始碼檢核、滲透測試 7 商業邏輯：抽不到的 iPhone (1) 建議函式加密由後端處理 (2) 第三方單位測試後再正式上線 8 常見程式弱點( ！) 9 SQL Injection漏洞資料造成數億個資外洩 資料來源：科技新報資料來源：科技新報 10 2016/03/042016/03/04 資安新聞資安新聞 機敏暴露：沒有篩選條件的結果 (1) 建議做 Code Review (2) 第三方滲透測試後再正式上線 11 輸入值驗證：SQL Injection  Web 應用程式未檢查使用者的輸入參數 ，直接 將其傳入資料庫執行SQL  Error Based ( ASP + MSSQL )  Union / Blind / Upd