Day 04
线上课程:
.ACW 资安网络学院:https://www.acwacademy.org.tw/
科目:应用程式安全
讲者:吕政周
时间:2 小时
连结:https://bit.ly/3l7ORkh
课科叫做应用程式安全,重点放在网络应用程式安全里面解释了很多关于
OWASP Top 10 以及 OWASP 的防护建议,在应用程式中用了一定篇幅介绍
了关于银行应用程式必须注意的地方。最后的测验必须确实了解什么样的
清况对应到那个 OWASP Top10 (有些会混淆)。
◎应用程式安全性
应用程式层级的安全性措施可防止资料或程式码遭窃或遭到劫持,包含
应用程式开发与设计期间所显现的各项安全性考量以及为了保护应用程式
而部署的系统及方法也包括硬件、软件以及可识别或是有效减少安全性漏
洞的程序;应用程式防火墙是一种部署在应用程式层级的安全性措施。另
外安全性程序也包括应用程式安全性例行性作业。
◎应用程式安全的定义与重要性
应用程式安全性是一个流程会开发安全功能并新增至应用程式内然后经
过测试以防范未经授权的存取与修改等威胁成为安全性漏洞。
现今的应用程式经常会透过多个网络提供并连接至云端使得抵御安全性
威胁与漏洞的能力减弱,因此应用程式安全性已成为刻不容缓的议题。
应用程式安全性测试有助于凸显应用程式层级的弱点,协助人员防范骇
客攻击。
应用程式安全性除了要兼顾网络层级以及应用程式层级安全性。骇客会
发出比以往更密集的攻击,以试图攻破应用程式的防线,因此采取行动的
动机也愈来愈强烈。
◎应用程式安全性的特定
.安全性的举证: 机密性、完整性、可用性。
.身份验证、授权、稽核
.会谈管理、错误及例外管理、组态管理
◎应用程式安全性
云端环境:云端环境可提供共用资源,因此必须小心确保使用者在各自
云端式应用程中的存取权限,另外里面的敏感资料也相对脆弱。
行动应用程式:泛指手机上的App需注意识别或假冒的App,不允许从不
信任的地方下载第三方应用程式。
行动应用程式(银行):
仅从可靠、合法的来源下载应用程式、让应用程式随时保持更新、启用
银行应用程式提供的内建资安功能、定期清除垃圾邮件和垃圾讯息以降低
不小心点到恶意连结的机会。
建立安全连线:勿以公共场所的不安全 Wi-Fi 使用。使用手机浏览器
时,注意连上的银行或金融机构网站的网址是否以 https 为开头并注意
是否有锁头的符号。
保护帐号安全:启用银行应用程式的双因子身份认证必要时安装相关的
认证软件。停用应用程式或浏览器的自动完成输入功能;切勿回复任何要
求您提供 PIN 码、帐号、金融卡或信用卡卡号的短信或电子邮件。
最后,使用高强度且非重复的密码使用完毕请务必登出,随时留意您的
帐户当中是否有任何可疑的活动。
.网站应用程式 (OWASP Top10, OWASP ASVS)
https://owasp.org/Top10/zh_TW/assets/image1.png
OWASP Top10
课程内容是 OWASP Top10 2017, 上图是 OWASP Top10 2021 的版本
.A01:2021 – 权限控制失效, 2017 A05
.A02:2021 – 加密机制失效, 2017 A03
.A03:2021 – 注入式攻击, 2017 A01
.A04:2021 – 不安全设计, New
.A05:2021 – 安全设定缺陷, 2017 A06
.A06:2021 – 危险或过旧的元件, 2017 A02
.A07:2021 – 认证及验证机制失效, 2017 A08
.A08:2021 – 软件及资料完整性失效, New
.A09:2021 – 资安记录及监控失效, 2017 A10
.A10:2021 – 伺服端请求伪造, New
*考试多实例题要能确认问题是属于那攻击。
OWASP ASVS(安全验证标准) 分成四个等级:
等级1: 使用工具,自动验证
自动化弱点扫瞄、自动化源码检测。
等级2: 人工测试与检查,执行人工验证
渗透测试、人工源码测试。
等级3: 人工测试与检查,执行设计验证
应用程式机敏资料,设计间必须透商业逻辑与安全机制。
等级4: 人工测试与检查,执行内部验证
满足所有Web应用系统检核项目。
OWASP ASVS 标准在各等级中定义有详细的验证需求,
包含下列 14 个安全验证:
V1. 安全架构(Security Architecture)
V2. 身分鉴别(Authentication)
V3. 会谈管理(Session Management)
V4. 存取控制(Access Control)
V5. 输入验证(Input Validation)
V6. 输出编码/跳脱(Output Encoding/Escaping)
V7. 加密(Cryptography)
V8. 错误管理及纪录(Error Handling and Logging)
V9. 资料保护(Data Protection)
V10. 通讯安全(Communication Security)
V11. HTTP协定安全(HTTP Security)
V12. 安全组态(Security Configuration)
V13. 恶意程式码搜寻(Malicious Code Search)
V14. 内部安全(Internal Security)
纵深防御安全防护网:多层次保护,包山包海每项安全都要检查确认的意思。
◎小结:这部份的考题很多实例看到题目要能确认这样的处理是属于 OWASP
的那一种攻击或防护措施。另外银行相关的应用程式也要特别注意。