Day 04
線上課程:
.ACW 資安網路學院:https://www.acwacademy.org.tw/
科目:應用程式安全
講者:呂政周
時間:2 小時
連結:https://bit.ly/3l7ORkh
課科叫做應用程式安全,重點放在網路應用程式安全裡面解釋了很多關於
OWASP Top 10 以及 OWASP 的防護建議,在應用程式中用了一定篇幅介紹
了關於銀行應用程式必須注意的地方。最後的測驗必須確實了解什麼樣的
清況對應到那個 OWASP Top10 (有些會混淆)。
◎應用程式安全性
應用程式層級的安全性措施可防止資料或程式碼遭竊或遭到劫持,包含
應用程式開發與設計期間所顯現的各項安全性考量以及為了保護應用程式
而部署的系統及方法也包括硬體、軟體以及可識別或是有效減少安全性漏
洞的程序;應用程式防火牆是一種部署在應用程式層級的安全性措施。另
外安全性程序也包括應用程式安全性例行性作業。
◎應用程式安全的定義與重要性
應用程式安全性是一個流程會開發安全功能並新增至應用程式內然後經
過測試以防範未經授權的存取與修改等威脅成為安全性漏洞。
現今的應用程式經常會透過多個網路提供並連接至雲端使得抵禦安全性
威脅與漏洞的能力減弱,因此應用程式安全性已成為刻不容緩的議題。
應用程式安全性測試有助於凸顯應用程式層級的弱點,協助人員防範駭
客攻擊。
應用程式安全性除了要兼顧網路層級以及應用程式層級安全性。駭客會
發出比以往更密集的攻擊,以試圖攻破應用程式的防線,因此採取行動的
動機也愈來愈強烈。
◎應用程式安全性的特定
.安全性的舉證: 機密性、完整性、可用性。
.身份驗證、授權、稽核
.會談管理、錯誤及例外管理、組態管理
◎應用程式安全性
雲端環境:雲端環境可提供共用資源,因此必須小心確保使用者在各自
雲端式應用程中的存取權限,另外裡面的敏感資料也相對脆弱。
行動應用程式:泛指手機上的App需注意識別或假冒的App,不允許從不
信任的地方下載第三方應用程式。
行動應用程式(銀行):
僅從可靠、合法的來源下載應用程式、讓應用程式隨時保持更新、啟用
銀行應用程式提供的內建資安功能、定期清除垃圾郵件和垃圾訊息以降低
不小心點到惡意連結的機會。
建立安全連線:勿以公共場所的不安全 Wi-Fi 使用。使用手機瀏覽器
時,注意連上的銀行或金融機構網站的網址是否以 https 為開頭並注意
是否有鎖頭的符號。
保護帳號安全:啟用銀行應用程式的雙因子身份認證必要時安裝相關的
認證軟體。停用應用程式或瀏覽器的自動完成輸入功能;切勿回覆任何要
求您提供 PIN 碼、帳號、金融卡或信用卡卡號的簡訊或電子郵件。
最後,使用高強度且非重複的密碼使用完畢請務必登出,隨時留意您的
帳戶當中是否有任何可疑的活動。
.網站應用程式 (OWASP Top10, OWASP ASVS)
https://owasp.org/Top10/zh_TW/assets/image1.png
OWASP Top10
課程內容是 OWASP Top10 2017, 上圖是 OWASP Top10 2021 的版本
.A01:2021 – 權限控制失效, 2017 A05
.A02:2021 – 加密機制失效, 2017 A03
.A03:2021 – 注入式攻擊, 2017 A01
.A04:2021 – 不安全設計, New
.A05:2021 – 安全設定缺陷, 2017 A06
.A06:2021 – 危險或過舊的元件, 2017 A02
.A07:2021 – 認證及驗證機制失效, 2017 A08
.A08:2021 – 軟體及資料完整性失效, New
.A09:2021 – 資安記錄及監控失效, 2017 A10
.A10:2021 – 伺服端請求偽造, New
*考試多實例題要能確認問題是屬於那攻擊。
OWASP ASVS(安全驗證標準) 分成四個等級:
等級1: 使用工具,自動驗證
自動化弱點掃瞄、自動化源碼檢測。
等級2: 人工測試與檢查,執行人工驗證
滲透測試、人工源碼測試。
等級3: 人工測試與檢查,執行設計驗證
應用程式機敏資料,設計間必須透商業邏輯與安全機制。
等級4: 人工測試與檢查,執行內部驗證
滿足所有Web應用系統檢核項目。
OWASP ASVS 標準在各等級中定義有詳細的驗證需求,
包含下列 14 個安全驗證:
V1. 安全架構(Security Architecture)
V2. 身分鑑別(Authentication)
V3. 會談管理(Session Management)
V4. 存取控制(Access Control)
V5. 輸入驗證(Input Validation)
V6. 輸出編碼/跳脫(Output Encoding/Escaping)
V7. 加密(Cryptography)
V8. 錯誤管理及紀錄(Error Handling and Logging)
V9. 資料保護(Data Protection)
V10. 通訊安全(Communication Security)
V11. HTTP協定安全(HTTP Security)
V12. 安全組態(Security Configuration)
V13. 惡意程式碼搜尋(Malicious Code Search)
V14. 內部安全(Internal Security)
縱深防禦安全防護網:多層次保護,包山包海每項安全都要檢查確認的意思。
◎小結:這部份的考題很多實例看到題目要能確認這樣的處理是屬於 OWASP
的那一種攻擊或防護措施。另外銀行相關的應用程式也要特別注意。