owasp Day2 下

週末和閃光出門去慶祝記念日
本來想趕在萬聖節結束前多寫個一篇的
可惜.....最後還是沒趕上 XDD
今天來把剩下的 owasp 心得補完

---

兩天的行程終於到了最後半天
所謂行百里者半九十 可是坎尼在第75公里時就覺得撐不下去了
吃完好吃的便當後 坎尼逛了逛廠商的攤位
(經濟部做的檢測軟體坎尼還覺得蠻厲害的
回座位時已經快開始下半場 此時坎尼才驚覺...還沒休息啊 orz

下午第一場的 Dhruv & Pukhraj Singh 兩人所講的瀏覽器威脅
坎尼完全在昏睡中渡過 真是覺得很對不住他們兩位

第二場是來自 owasp Thailand分會的 Tim Bass
坎尼覺得他演講很有技巧 而且不會趕 讓聽眾不會覺得有壓力
他以 Google Docs 為例 來說明 proxy cache 所可能造成的資安威脅
起因是他某天不小心看到了別人的 Google Docs文件
經研究之後 發現是 proxy cache 造成 而且這威脅無法被避免 (要和ISP配合才可能
要是這種事情發生在重要的機密文件上 造成的損失可能就很難預估了

第三場是 Alexander Meisel所講的 Web Application Firewalls (WAF)
說真的 坎尼現在看著筆記 卻想不起那時 Alex 講的是什麼
不過坎尼有個印象比較深的就是
惡意的指令是可以用2進位編碼的方式 將之編成圖片格式
只要使用者讀取到圖片的內容 就會進行惡意行為

第四場是 Steven Adair 所講的 Botnet 及 Ddos 研究
Botnet (僵屍網路) 坎尼最近才知道這個名詞
DDoS 則是 Distributed DoS 的縮寫

坎尼以前寫過一支程式 專門用來抓取一些網路上的資訊
沒想到卻不小心對某網站造成 Denied Of Service 導致一下午該網站都連不上去
坎尼當時只是用單一台電腦 對單一台Server做不斷存取的動作
可是這DDoS可不同 它利用了被控制的眾多電腦 (也就是 Botnet) 來對目標進行攻擊
再強大的Server 面對這樣的攻勢 (如果又沒建白名單) 應該很難繼續有所動作

另外 Steven 還有提到 Botnet 還會自動變形
讓使用者防不勝防 更何況還有一堆人不曉得這東西的存在

最後是講師們的綜合會談
由聽眾提問題 再由台上的講師們提出看法
這邊坎尼就沒做筆記了

這兩天坎尼聽了很多以前沒接觸過的領域
也了解資安不能只依靠軟體 更要有良好的規劃
程設師更要有良好的寫作習慣 先讓風險從自己手上降低一半
接著才是從硬體及軟體上著手