2013/12/21

JS Group 3/30 (六) 高雄場 心得

這場演講主要在探討SecuritySecurity的好壞決定了很多事情
不過Security主題探討大多都在北部才有機會聽到,南部這邊很少有這種機會
所以非常謝謝今天主講者TonyQ帶來這樣的話題

個人認為未來網頁是開發的趨勢,未來App或是應用可能會在網頁上面實現
加上HTML5有新增了本地儲存的功能,這勢必對網頁的資訊安全造成一定的衝擊

雖然網頁部份在幾年前就有過XSS攻擊,或是歷史悠久的SQL Injection等問題
不過未來有更多攻擊方法會呈現,這是令人擔憂的

目前使用者讀入網頁時,並非所有人都有完善工具可以抵擋隱碼攻擊,這也是資訊安全的一個議題




設計程式應該考量指令作用以及副作用,TonyQ就有舉例某家程式老舊
年代問題導致指令集或是硬體設備不足,系統沿用到近代就可能產生意想不到的漏洞行為

駭客很熟悉運作原理,進而從運作原理去反向
當你安裝了Appserv,安裝過得都會知道裡面包涵了一個『phpinfo.php』
『phpinfo.php』是提供開發者知道系統架構,駭客可利用該資訊來下指令
其實非常不安全的,畢竟開發者有可能因為設計者的貼心功能會讓漏洞擺出

網頁上線時我們也可以加入一些指令來進行SQL Injection



我國中時對這個議題非常感興趣,那時後跟一位香港朋友學習如何架設Discuz!
Discuz!不難架設,但是我並不知道Install.php檔案要刪除
知道如何架設,相對也知道這件事情,所以論壇就被免費重灌不下5次

國中時候也很愛上中国红客联盟去學習攻擊的技術,那時候比較著名就是DDos攻擊或是Ping of death;當然也是針對自己同學去攻擊,有的人被打到叫苦連天了

不過去年也去了一趟南海东软信息技术职业学院,這間學校有辦了一個駭客攻防比賽還蠻有趣的;在比賽前還會先請國家級的白帽講師做講解,還記得當初講解內容有包涵XSS攻擊SQL Injection以及掃描漏洞等講解

從國中時期就很膜拜這些技術的我,聽了當然如獲至寶,對岸的資訊安全能力其實不容小覷
除了在駭客年會能聽到這些技術之外,似乎就比較少能接觸到了


沒有留言:

張貼留言