部落格

您在這裡

harry

OWASP 簡介

OWASP 是一個開放社群、非營利性組織,全球目前有超過250個分會,其主要任務目標是不再有不安全的軟體。長期支持與協助提供改善應用程式的安全性解決方案,諸如網路軟體安全指南、工具與技術文件 OWASP Top Ten, OWASP Web Security Testing Guide, OWASP ZAP ...等等具有影響力的項目,並通過世界各地的活動和分會會議發展和培育社區。 美國聯邦貿易委員會(FTC)更強烈建議所有企業務必遵循OWASP所發佈的十大網路弱點防護守則 ( 參考 OWASP Response to FTC Staff Report Protecting Consumer Privacy in an Era of Rapid Change ),美國防資訊系統局(DISA-STIG)亦將此守則列為最佳實務,而國際信用支付卡資料安全技術標準 PCI DSS 更將其列為必要元件。

OWASP贊助的ZAP簡介

OWASP Zed Attack Proxy (簡稱 ZAP) 於2010年9月從 Open Web Application Security

junsuwhy
你會擔心你用 NGINX 架設的網站安不安全嗎?會不會很容易就被駭客用大量測試的方式找出漏洞呢?ModSecurity 是一個開源軟體,提供 NGINX 伺服器軟體一個完整的防護機制,搭配開源的規則 Core Rule Set 專案,可以防護大部份的駭客攻擊。
 
以下教學描述如何安裝、設定 ModSecurity 在 Debian 的 NGINX,如果您使用不同的作業系統,其中有些指令可能略有不同。
 

安裝 ModSecurity 在 NGINX


Compile ModSecurity 成 Nginx 的模組:
 
apt-get install 必要的套件
apt-get install -y -qq apt-utils autoconf automake build-essential git libcurl4-openssl-dev libgeoip-dev liblmdb-dev libpcre++-dev libtool libxml2-dev libyajl-dev pkgconf wget zlib1g-dev libmodsecurity-dev libmodsecurity3
jimmy

公司治理需要找到一個好的方式來綜覽是否各個事務都有做好資安配置,之前網路星期二聽到 Allen Own 演講的內容提到的 NIST Cybersecurity Framework 讓我非常感興趣,畢竟有個框架,才知道怎樣盤點公司狀態,來看我們面對資安事務的準備有哪些方面不足。

 

NIST Cybersecurity Framework 很有趣的是,把資安相關的事情,做了一個生命週期的分類。從識別、安全保護、偵測資安事件、應對資安事件、和從資安事件復原,可以看出其概念上是想要傳輸大家對資安事件有正確的理解,裡頭的內容也算簡單易讀,對於公司治理的管理人、負責研發的人員、負責業務的人員、客服等等,都有幫助。雖然國內盛行的認證是 ISO 27001,較無聽說根據 NIST Cybersecurity

jimmy

網站安全性,其中一個是擁有安全的備份檔案,尤其是資料庫的費份,包含了帳號、密碼雜湊、使用者個資等,更應該注重安全性。該備份不應明碼儲存,更不應放在同一臺主機上的 web 權限可以取得之處,以免網站被攻破時,連帶將你的備份帶走保存;甚至刪除你的原始備份,這樣就完全沒有備份的效果了。

因此,實現備份時,種種顧慮下,第一步一定是將備份的檔案正確的加密,我們建議使用非對稱金鑰來實現這樣的工作,因為非對稱金鑰可以讓系統自動備份時,使用可以公開的公鑰進行檔案加密,就算被竊取走,也不用擔心備份的檔案被解密。需要解密時,使用僅存於少數人中的私鑰解密,讓加密備份安全無虞。

1. 產生非對稱金鑰

使用 Linux 環境,可以使用 OpenSSL 來達成此工作。先使用以下指令產生非對稱金鑰:

openssl req -x509 -nodes -newkey rsa:2048 -keyout private.key -out public.key

該金鑰如前述,public.key 要儲存於伺服器中, private.key 則是存在真正有權限的使用者安全處。

 

2. 進行資料庫備份

如果使用 MariaDB,我們推薦使用 Markabackup 來進行資料庫的備份,比起傳統的 mysqldump,mariabackup 支援熱備份,且對網站的造成影響較小,不會讓資料庫在備份過程中斷線,詳細可以參考

chiachin

前言:

在進行程式碼開發時,有一些開發習慣常常會造成程式漏洞,有時候會進而導致資安問題,

以下列出幾項常見的開發習慣造成的資安問題與錯誤與大家分享

摘要:

  1. $_GET 或 $_POST 參數漏洞

  2. 資料型別檢查失效漏洞

  3. 不完整的存取權限 

poliphilo

什麼是 VS Code?

Visual Studio Code(以下簡稱 VS Code)是一款由微軟(Microsoft)開發的跨平台免費原始碼編輯器,VS Code 至今本身就已擁有強大功能,也像許多受歡迎的開源軟體一樣,VS Code 有豐富的社群參與和擴充功能,這些輔助與除錯工具讓我們改善工作流程、增進工作效率,我們可以選擇在喜歡的主題下敲打鍵盤,並進行各種客製化設定,甚至可以在編輯器裡與喜歡的動物相伴,或是玩貪吃蛇!!


laurie
剛開始成立法人時,組織草創時期考量到經費與人力的限制,或許不一定要架設網站,可以將組織消息、組織介紹等放在 Facebook 的粉絲專頁。
待時間久了就會發現,Facebook 的擴散效果雖然不錯又是免費的,但時間軸特性讓我們很難回溯過去特定的文章,且簡易好上手的編輯器也無法讓文章圖文並茂的呈現。這個時候就可以考慮建置一個組織的專屬網站啦!
尋找廠商或工作室洽談前要準備甚麼呢?本文章分成網站架構、網站功能、視覺風格、預算與時程五個面向說明。
 

1. 網站架構設定

  • 一般組織標準規格會有:關於我們、聯絡我們、最新消息、捐款資訊
  • 倡議型的組織通常有:主要工作/工作介紹、專題報導
  • 服務型的組織通常有:服務項目/服務說明
  • 視業務內容也可能會再加上:活動報名、合作夥伴等
 
因為網站是潛在支持者與組織接觸的重要管道,請與夥伴同仁一起腦力激盪,哪些資訊一定要揭露出來,讓(潛在)支持者知道組織多麼努力在經營,產出了哪些成果,創造了甚麼影響力。
 
腦力激盪時,有時可能會想不出來要放甚麼內容,但也有可能想要放「太多」內容,很想把各式各樣的資料線上化,跟親愛的支持者們分享。這部分除了要考量經費與時程外,也要將清整資料、上稿的人力納入考量,
jimmy

筆記軟體同步雲端的功能其實有隱私疑慮,例如這裡發生過掃描使用者上傳的筆記內容,Joplin 是一個開源的免費筆記軟體,要同步到雲端目前有很多選擇,而且通通都可以加密後再同步。

其中最容易使用的雲端同步地點是 Dropbox,幾乎無痛可以使用,可惜 Dropbox 免費版本限制僅能 3 個裝置彼此同步資料,Joplin 則提供的另一個選項 - Joplin Server,自行架設 Server,將加密後的筆記同步至雲端

頁面