週末和閃光出門去慶祝記念日
本來想趕在萬聖節結束前多寫個一篇的
可惜.....最後還是沒趕上 XDD
今天來把剩下的 owasp 心得補完
兩天的行程終於到了最後半天
所謂行百里者半九十 可是坎尼在第75公里時就覺得撐不下去了
吃完好吃的便當後 坎尼逛了逛廠商的攤位
(經濟部做的檢測軟體坎尼還覺得蠻厲害的
回座位時已經快開始下半場 此時坎尼才驚覺...還沒休息啊 orz
下午第一場的 Dhruv & Pukhraj Singh 兩人所講的瀏覽器威脅
坎尼完全在昏睡中渡過 真是覺得很對不住他們兩位
第二場是來自 owasp Thailand分會的 Tim Bass
坎尼覺得他演講很有技巧 而且不會趕 讓聽眾不會覺得有壓力
他以 Google Docs 為例 來說明 proxy cache 所可能造成的資安威脅
起因是他某天不小心看到了別人的 Google Docs文件
經研究之後 發現是 proxy cache 造成 而且這威脅無法被避免 (要和ISP配合才可能
要是這種事情發生在重要的機密文件上 造成的損失可能就很難預估了
第三場是 Alexander Meisel所講的 Web Application Firewalls (WAF)
說真的 坎尼現在看著筆記 卻想不起那時 Alex 講的是什麼
不過坎尼有個印象比較深的就是
惡意的指令是可以用2進位編碼的方式 將之編成圖片格式
只要使用者讀取到圖片的內容 就會進行惡意行為
第四場是 Steven Adair 所講的 Botnet 及 Ddos 研究
Botnet (僵屍網路) 坎尼最近才知道這個名詞
DDoS 則是 Distributed DoS 的縮寫
坎尼以前寫過一支程式 專門用來抓取一些網路上的資訊
沒想到卻不小心對某網站造成 Denied Of Service 導致一下午該網站都連不上去
坎尼當時只是用單一台電腦 對單一台Server做不斷存取的動作
可是這DDoS可不同 它利用了被控制的眾多電腦 (也就是 Botnet) 來對目標進行攻擊
再強大的Server 面對這樣的攻勢 (如果又沒建白名單) 應該很難繼續有所動作
另外 Steven 還有提到 Botnet 還會自動變形
讓使用者防不勝防 更何況還有一堆人不曉得這東西的存在
最後是講師們的綜合會談
由聽眾提問題 再由台上的講師們提出看法
這邊坎尼就沒做筆記了
這兩天坎尼聽了很多以前沒接觸過的領域
也了解資安不能只依靠軟體 更要有良好的規劃
程設師更要有良好的寫作習慣 先讓風險從自己手上降低一半
接著才是從硬體及軟體上著手
訂閱:
張貼留言 (Atom)
Google Spreadsheet 裡用規則運算式
最近因為工作關係,遇到要用 Google Form 及 Google Sheet 所以研究了 Google Sheet 裡的一些 function 怎麼用 首先,分享一下如何在 Google Sheet 裡用規則運算 :D
-
今天坎尼去上課老師講了一題很有趣的題目 所以回到家坎尼就順手試驗了一下 I. XOR (exclusive OR) XOR 是邏輯運算子之一,定義為: 當兩數的值不同才為 true,相同則為 false 其他相關說明可以參考 維基百科:XOR II. 程式 以往的做法會宣...
-
好久沒開 Chart Control 議題了 剛好前陣子 Codeplex 出現可以輕鬆建立 Excel 檔案的 Library- NPOI 於是坎尼想說研究一下,看能不能把 Chart Control 匯出圖片到 Excel 中 沒想到只花了不到1小時就研究...
-
上個週末打開一個影片檔,發現字幕檔是中英文混合的,造成字幕吃掉畫面很大的空間, 打開字幕檔一看,果然每一段時間都有先英文後中文的字幕: 因此我想要自己作成「只有中文」&「只有英文」兩個字幕檔,但這個檔案有6418 行,如果要手動一行一行的刪除...
1 則留言:
補充一下 就在數天後坎尼去出差
發現了應該是瀏覽器cache的關係 導致坎尼是用某位比較有權力的身分登入該單位的系統
坎尼馬上連想到了 proxy cache 的案例 不知該單位漏洞補的如何???
真的沒想到...資安漏洞就在你我身邊
張貼留言