前言
身為一個網站後端兼前端的開發者,多少也是需要知道Web 應用程式安全相關的技術
OWASP,全名是「Open Web Application Security Project」。在我三年前的時候,我已經知道有OWASP Web Top 10的報告,內容在描述目前前十大的網站應用程式安全。
當然,有我們熟知的SQL injection, XSS, 還有 CSRF 跨站請求偽造等。
有攻擊的手法與防禦的方法。
那這次的Workshop我想去的原因是因為,我想要補充這個組織相關的發展。
剛好看到 OWASP 台灣社群有這個相關活動訊息,所以我就向公司申請了一下就去參加了。
議程感想
因為早上下個超大西北雨,有議程落掉了,因此我只擷取我聽到的部份。
我在OWASP的一千零一夜,Top 10的故事!
內容已經是後半段了,大部份是在介紹在OWASP社群裡面發生的事情,當志工的經歷,還有介紹目前OWASP目前有什麼樣的資源。
完全免費! 活用OWASP文件與工具強化資安
本議程,也是在講述在OWASP有什麼樣的資源,像是除了有Web Top 10之外,也有IoT Top 10,也有privacy Top 10等相關白皮書。
那也有講到一個重點,通常都是在網站應用程式開發得初期就要有資安危機意識,因為在軟體/系統開發期間,越後面期間,修漏洞所花費的成本與金錢越高。
舉例來說,在開發過程發現錯誤或是漏洞,修改大概是成本的5%,到了開發環境上線,像是Beta版本等,發現漏洞所花成本大概是成本的10%,但是到的線上環境的時候,要改成本已經來到成本的15%,那在營運一段過程中,發現有問題,要修正,已經是成本的25%了。
Discover Vulnerabilities in IoT devices
此議程是唯一技術有關的議程,由Bamboofox co-funder 陳仲寬大帶來的IoT裝置安全與研究。
看起來像是他之前所做的此方面研究的論文,描述整個IoT的架構,包含嵌入式作業系統,韌體(firmware),還有再更上層的應用程式等。
利用一連串方法,如猜測SQL組出的字串去猜測SQL查詢語法的注入點等。
內容是很豐富但是講者講到超過時間了XD,後面像是在趕火車的講過去,感覺要去看這幾篇引用的論文來看看。
才知道每種的方法跟詳細的對IoT裝置安全上所做的方法與分析。
工作坊感想
吃完午餐之後,接下來就是平行的工作坊時間了。主要有兩個議程在報名的時候可以做選擇。
分別是「Workshop-ZAP」與「Workshop-DVWA」前者是跟網路探測有關,而後者是跟網頁應用程式安全有關,那我本身是網站開發人員,自然想要對網站應用程式多一些的了解,因此我選擇了後者當做下午的Workshop
那一開始,講者使用他在CDX2.0平台上所建立的帳號作為練習此課程的環境。
因為透過此帳號,我們可以選定上面平台提供的上課課程包,透過開始上課課程包就可以讓我們輕易的部署好此課程所需要的學習環境。
接著安裝一些工具,像是「BurpSuite」,還有「Fortis SSL Client」等。
整個Workshop都圍繞在OWASP Web Top 10 的議題上,透過DVWA這個漏洞展示網頁應用程式上操作與教導該如何找到這些漏洞。
那我預計後面的文章,會有一篇介紹透過DVWA所操作得到的漏洞還有分析程式碼,也就是代碼審查。利用上述這樣的操作,來達到日後開發網站應用系統上的避免開發出漏洞的技巧。