• 核心技術


資訊安全



針對大型系統、牽涉到公司重要資訊或是個資等隱私資料時,資訊安全之重要性更顯得非常重要。以下為資訊安全攻防之重點概要:



 系統安全方面(參考OWASP 2010 年TOP10)



1. SQL 嵌入攻擊漏洞(SQL Injection)、注入攻擊(LDAP Injection、Command Injection)

2. 跨站腳本攻擊(Cross Site Scripting;XSS)17

3. 遭破壞的鑑別與連線管理(Broken Authentication and SessionManagement)

4. 不安全的物件參考(Insecure Direct Object Reference)

5. 跨網站冒名請求(Cross Site Request Forgery;CSRF)

6. 網站安全組態不當設定(Security Misconfiguration)

7. 未適當限制的URL 存取(Failure to Restrict URL Access)

8. 未驗證的網頁重新導向(Unvalidated Redirects and Forwards)

9. 不安全的加密儲存(Insecure CryptographicStorage)

10. 不安全的傳輸防護(Insufficient Transport Layer Protection)





 資料品質及效能方面

1. 記憶體緩衝區溢位(Buffer Overflow)

2. 程式碼含未加密之普查資料

3. 使用者輸入可控制檔案系統操作的路徑,讓攻擊者可存取或修改其他受保護的資源系統(Path Manipulation)

4. 程式未釋出資料庫連線資源(Unreleased Resource:Database)

5. 程式未釋出系統資源(Unreleased Resource:Stream)

6. 記憶體未正常釋放(Memory Leak)

7. 忽略異常處理, 導致程式出現無法預期的情況(Poor ErrorHandling:Empty Catch Block)

8. 程式中已宣告的函式未被呼叫使用(Unused Method)







根據行政院國家資通安全會報技術服務中心指出目前網站攻擊最嚴重的前四名為

1. Cross Site Scripting (XSS)

2. Injection Flaws

3. Malicious File Execution

4. Insecure Direct Object Reference



其中Cross Site Scripting (XSS)之危害佔25%,目前全台灣90%互動式網站均有此漏洞,其實上述危害均屬於資料庫隠碼(SQL Injection)的一種延伸,都是一種未做好輸入查驗(Input Validation)的問題,也就是說撰寫程式時,沒有對使用者的輸入作妥善的過濾與處理,只要使用者是用瀏覽器(Browser)不論任何品牌(Internet Expleror、Fire Fox、、、、)任何版本,執行Script,進而對網頁瀏覽者造成危害。



 



針對以上重大漏洞,呈明有完整配套措施可因應。雖然資安上的攻防是永無止境的,在不斷的虛心求教下搭配系統與資料庫自動備份機制,呈明有信心為 貴單位建構一個安全的網站環境。