OWASP 是一個開放社群、非營利性組織,全球目前有超過250個分會,其主要任務目標是不再有不安全的軟體。長期支持與協助提供改善應用程式的安全性解決方案,諸如網路軟體安全指南、工具與技術文件 OWASP Top Ten, OWASP Web Security Testing Guide, OWASP ZAP ...等等具有影響力的項目,並通過世界各地的活動和分會會議發展和培育社區。 美國聯邦貿易委員會(FTC)更強烈建議所有企業務必遵循OWASP所發佈的十大網路弱點防護守則 ( 參考 OWASP Response to FTC Staff Report

Compile ModSecurity 成 Nginx 的模組: apt-get

公司治理需要找到一個好的方式來綜覽是否各個事務都有做好資安配置,之前網路星期二聽到 Allen Own 演講的內容提到的 NIST Cybersecurity Framework 讓我非常感興趣,畢竟有個框架,才知道怎樣盤點公司狀態,來看我們面對資安事務的準備有哪些方面不足。

網站安全性,其中一個是擁有安全的備份檔案,尤其是資料庫的費份,包含了帳號、密碼雜湊、使用者個資等,更應該注重安全性。該備份不應明碼儲存,更不應放在同一臺主機上的 web 權限可以取得之處,以免網站被攻破時,連帶將你的備份帶走保存;甚至刪除你的原始備份,這樣就完全沒有備份的效果了。
因此,實現備份時,種種顧慮下,第一步一定是將備份的檔案正確的加密,我們建議使用非對稱金鑰來實現這樣的工作,因為非對稱金鑰可以讓系統自動備份時,使用可以公開的公鑰進行檔案加密,就算被竊取走,也不用擔心備份的檔案被解密。需要解密時,使用僅存於少數人中的私鑰解密,讓加密備份安全無虞。
1
在進行程式碼開發時,有一些開發習慣常常會造成程式漏洞,有時候會進而導致資安問題,
以下列出幾項常見的開發習慣造成的資安問題與錯誤與大家分享
摘要:$_GET 或 $_POST 參數漏洞
資料型別檢查失效漏洞
不完整的存取權限
代入的參數如果用到以

Visual Studio Code(以下簡稱 VS Code)是一款由微軟(Microsoft)開發的跨平台免費原始碼編輯器,VS Code 至今本身就已擁有強大功能,也像許多受歡迎的開源軟體一樣,VS Code 有豐富的社群參與和擴充功能,這些輔助與除錯工具讓我們改善工作流程、增進工作效率,我們可以選擇在喜歡的主題下敲打鍵盤,並進行各種客製化設定,甚至可以在編輯器裡與喜歡的動物相伴,或是玩貪吃蛇!!


筆記軟體同步雲端的功能其實有隱私疑慮,例如這裡發生過掃描使用者上傳的筆記內容,Joplin 是一個開源的免費筆記軟體,要同步到雲端目前有很多選擇,而且通通都可以加密後再同步。
其中最容易使用的雲端同步地點是 Dropbox,幾乎無痛可以使用,




