十大web资安漏洞列表课件

《十大web资安漏洞列表课件》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、OWASP心得許家瑞1大網簡介十大Web資安漏洞列表網站掛馬修改密碼無效結論參考2簡介OWASP(OpenWebApplicationSecurityProject,開放web軟安全計畫)是一個開放社群、非營利性組織。研議助解決Web軟安全之標準、工具與技術文件。3十大Web資安漏洞列表跨網站的入侵字串(CrossSiteScripting，簡稱XSS，亦稱為跨站腳本攻擊)注入缺失(InjectionFlaw)惡意檔案執行(MaliciousFileExecution)不安全的物件參考(InsecureDirect

2、ObjectReference)跨網站的偽造要求(Cross-SiteRequestForgery，簡稱CSRF)資訊揭露與不適當錯誤處置(InformationLeakageandImproperErrorHandling)遭破壞的鑑別與連線管理(BrokenAuthenticationandSessionManagement)不安全的密碼儲存器(InsecureCryptographicStorage)不安全的通訊(InsecureCommunication)疏於限制URL存取(FailuretoRestric

3、tURLAccess)4網頁掛馬(1/2)駭客攻擊企業組織或政府機關的網站，網頁遭到竄改，植入一段惡意連結，或者是設立惡意網站，透過各種宣傳手法，吸引民眾到站瀏覽。網站的使用者連上該網站。使用者看不到這個連結，也不必點選這個連結，只要連上網站，就會轉引自駭客預先設計好的陷阱。在不知情的情況下，使用者被植入木馬程式。5網頁掛馬(2/2)62007-07-05中國2007年上半年病毒疫情及互聯網安全報告72008-08-08阿碼科技非官方blog–阿碼外傳82008-08-08阿碼科技非官方blog–阿碼外傳9回避偵測

4、技巧2008-08-08阿碼科技非官方blog–阿碼外傳102008-08-08阿瑪科技非官方blog–阿瑪外傳11使用電子郵件應有的警覺性觀念為何會收到這封郵件？為何對方會有我的郵件信箱的地址？郵件地址外流的原因？就像詐騙集團怎會有我的手機電話或個人資料一樣。是不是應該收到這封郵件？需要注意的是“郵件內容”，包含郵件主旨及信件內容，是不是跟我有關聯？內容是否合理？有沒有威脅利誘的字眼？有沒有詐騙的可能？。是不是有必要開啟附件或點選連結？真正危害的動作是開啟附件或點選連結，是這兩個動作開始讓我的電腦被植入惡意程式，

5、所以在這兩個動作上務必審慎之。基本上，有心人士堅信一件事...「總有一天釣到你」122008-08-06阿碼科技非官方blog–阿碼外傳13分析鏈結的工具1.HackAlerthttp://hackalert.armorize.com/2.LinkScannerhttp://linkscanner.explabs.com/3.Dr.Webhttp://online.us.drweb.com/4.Finjanhttp://www.finjan.com/14作業系統vsE-mail系統作業系統若中毒=重灌E-mail系

6、統密碼被知=改密碼？？15修改密碼無效16參考資料http://armorize-cht.blogspot.com/2008/08/cnn.htmlhttp://armorize-cht.blogspot.com/2008/08/blog-post_06.htmlhttp://armorize-cht.blogspot.com/2008/08/awareness-of-e-mail.html17