資安規範實戰篇 : OWASP + CWE
沒有人希望自己的網站被攻擊,但工程師想做好資安防護就像廚師想燒出一桌好菜,剛開始想參考食譜來做菜,發現食譜種類好多,同一道菜有好各式各樣的做法,到底該怎麼選怎麼做才對 ?選擇太多會讓開發人員一陣混亂,本文的目標就是整理 2 個由名國際組織整理出來對資安漏洞的排名與分類,然後藉由靶站來示範如何利用這些資料,快速的找網站可能的漏洞與修補建議。
零基礎資安系列(六)- 電影中酷駭客做的事?關於 APT(Advanced Persistent Threat)
# 前言電影中的駭客只是敲敲打打幾分鐘就可以竊取商業機密?!答案是但也不是,為什麼會這麼說呢?成功的攻擊結果也許只需要短短的幾分鐘就能將商業機密帶走,但在駭客敲鍵盤的那幾分鐘之前,其實就已經花了好幾個月甚至以年記的時間來佈局這幾分鐘的攻擊,那駭客的佈局到底是在佈局什麼呢,這就是今天想和大家分享的,電影中那些酷駭客在完成攻擊前所做的事。
從 cdnjs 的漏洞來看前端的供應鏈攻擊與防禦
以前端為例,你使用的 npm 套件或是程式碼中引入的第三方 script,這些就叫做「上游」,在使用這些第三方資源的同時,你有意識到這也伴隨了一定的風險嗎?這篇文章會以 cdnjs 為例,帶大家看看前端的供應鏈攻擊與防禦。
為什麼網站才剛上線就被攻擊?
剛出生的嬰兒最好欺負,網站也是一樣,網站初建時不管是為了方便測試或維護,都會對外開放較多的服務,駭客也容易在此時趁虛而入。本文將介紹從這些剛上線的網站中整理出的 5 種最常見卻有弱點的服務。
關於 email security 的大小事 — 延伸篇
隨著前幾篇 email security 的介紹,我陸陸續續收到了一些問題,在交流的過程中覺得有一些很重要或是很有趣的討論可以更延伸探討。以下採取 Q&A 的格式,記錄一些討論與延伸知識。
資安科普番外篇(二)-如何有效率選擇風險進行修復 feat.風險和法規息息相關?!
# 前言繼上一篇的資安科普番外篇(一)-大意了啊沒有閃!常見網站曝險你中了幾項?!)之後,接著我們要來談談關於網站風險的修復,這部分我想大家的直覺應該都是無條件高風險先修,但當以這個思維執行時,把時間以及金錢成本加入權衡之後,又總是很難給出一個符合老闆期待的高 CP 值作法,而這其實就是我們今天所要討論的主題,如何有效率的選擇風險進行修復以及風險在法規技術面上的影響。