OWASP - User contributions [en]

Taiwan

2008-12-30T04:43:22Z

Bensonwu: /* 直接與程式碼安全品質有關 */

[[Image:OWASP_TW_Banner.png]]

歡迎加入OWASP台灣分會！「網站安全的第一步，從加入OWASP台灣分會開始」。

<paypal>Taiwan</paypal>

台灣分會會長[mailto:wayne@owasp.org.tw 黃耀文先生（Wayne Huang）]暨分會工作同仁衷心肯定您的參與，不管您在何處，甚至您僅曾留下網路足跡於台灣，感謝您願意跟大家一起分享，讓我們用更多不同的角度來檢視Web安全的趨勢、威脅、問題與解決方案。

== 歡迎光臨 OWASP 台灣分會 ==

== 最新活動 ==
=== [[OWASP_AppSec_Asia_2007|第一屆OWASP官方亞洲年會(OWASP Asia 2007)]] ===
'''Security 3.0 in Web 2.0 Age — Practices and Challenges of Web 2.0 Security'''

[OWASP_AppSec_Asia_2007 http://www.owasp.org/images/f/f7/Owasp_taiwan_2007small.png]

Whitehat Security、美國運通(American Express)、阿碼科技(Armorize)、Qualys等跨國企業與資安公司的高階主管與首席研究員齊聚台灣，您知道他們如何看待Web 2.0時代之 Security 3.0嗎？對台灣與全球的含意是什麼？我政府、企業與一般使用者又該如何因應？從下面這些2007年的資安界大新聞，透露著怎樣的訊息？
* 5月11日起，Google開始監控遭駭網站，並貼上危險網站之標籤!
* 5月15日月OWASP公佈2007年最新的十大Web弱點，跨站腳本攻擊(XSS)登上榜首!
* 6月6日IBM購併Watchfire，HP隨即於6月19日購併SPI Dynamics!而僅存的Cenzic以滲透測試技術於6月18日獲得美國專利!
* Web 2.0的資安威脅？因應之道？Security 3.0？成功的實務案例？
[[OWASP_AppSec_Asia_2007|第一屆OWASP官方亞洲年會]]將於9月27日(週四)下午1點於台大醫院國際會議中心201室(台北市中正區徐州路二號)'''舉辦，歡迎您來共襄盛舉，滿載而歸![[OWASP_AppSec_Asia_2007|還有更多...]]

=== [http://hitcon.org 第三屆台灣駭客年會(HIT 2007)] ===

[http://hitcon.org 第三屆台灣駭客年會(HIT 2007)]已於2007年7月21日(週六)至22日(週日)在國立臺灣科技大學公館校區圓滿落幕，活動盛況空前，詳情請見 HIT 2007 官方網站:
[http://hitcon.org http://www.owasp.org/images/b/b5/Owasp_taiwan_HIT-linkLOGO.gif] http://hitcon.org

== 歡迎您的參與 ==
加入OWASP台灣分會不需任何費用，會員資格完全開放給任何對於應用程式安全有興趣的人士，
我們鼓勵會員於OWASP台灣分會分享他們的知識並提供專題演講，
而在加入會員前，請您仔細閱讀[https://www.owasp.org/index.php/Chapter_Rules 分會會員手則]。
若要加入本分會的mailing list，請連結到[http://lists.owasp.org/mailman/listinfo/owasp-taiwan mailing list]網頁，
所有的活動討論與活動地點將透過這個清單來討論，
您也可以從[http://lists.owasp.org/pipermail/owasp-taiwan/ email 討論備份]中找到我們之前討論的備份。
最後提醒您，參加活動前，請再次檢查您mailing list的信件以確定活動地點與時間，或是任何有關活動記錄的事項。

== 有關OWASP (About OWASP) ==
OWASP(開放Web軟體安全計畫 - Open Web Application Security Project)是一個開放社群、非營利性組織，目前全球有82個分會近萬名會員，其主要目標是研議協助解決Web軟體安全之標準、工具與技術文件，長期致力於協助政府或企業瞭解並改善網頁應用程式與網頁服務的安全性。由於應用範圍日廣，網頁應用安全已經逐漸的受到重視，並漸漸成為在安全領域的一個熱門話題，在此同時，駭客們也悄悄的將焦點轉移到網頁應用程式開發時所會產生的弱點來進行攻擊與破壞。

美國聯邦貿易委員會(FTC)強烈建議所有企業需遵循OWASP所發佈的十大Web弱點防護守則、美國國防部亦列為最佳實務，國際信用卡資料安全技術PCI標準更將其列為必要元件。目前OWASP有30多個進行中的計畫，包括最知名的OWASP Top 10(十大Web弱點)、WebGoat(代罪羔羊)練習平台、安全PHP/Java/ASP.Net等計畫，針對不同的軟體安全問題在進行討論與研究。

當貴單位決定開放網頁服務時，就必須讓來自於全球的網頁請求進入單位內部的網頁伺服器。駭客可以藉由隱藏在合法的網頁請求內，通過防火牆、入侵偵測系統或其他防禦系統的偵測，堂而皇之的進入單位內部或藉由單位網站充當跳板與中繼站而向其他受害者發動攻擊。這意味著企業的網頁程式碼也必須成為機關(構)單位周邊的安全防護之一，當單位網頁服務的規模與複雜性增加時，單位暴露於外的風險也逐漸增加。

== OWASP 台灣分會 (OWASP Taiwan Chapter) ==
*網頁:http://www.owasp.org.tw
*電郵:info@owasp.org.tw
*群組:owasp-taiwan@lists.owasp.org
*住址:台北市115南港區三重路19-13號(南港軟體園區)E棟5樓554室

{{Chapter Template|chaptername=Taiwan|extra=The chapter leader is [mailto:wayne@owasp.org.tw Wayne Huang]|mailinglistsite=http://lists.owasp.org/mailman/listinfo/owasp-taiwan|emailarchives=http://lists.owasp.org/pipermail/owasp-taiwan}}

Chapter meetings are held several times a year, typically in the offices of our sponsor.

Please subscribe to the mailing list for meeting announcements.

== 免費加入OWASP台灣分會 ==



'''加入OWASP台灣分會不需任何費用'''
'''加入會員方法請見本頁下方''' '''[[#如何加入會員|如何加入會員]]'''

加入OWASP台灣分會不需任何費用，會員資格完全開放給任何對於應用程式安全有興趣的人士， 
我們鼓勵會員於OWASP台灣分會分享他們的知識並提供專題演講， 
而在加入會員前，請您仔細閱讀[https://www.owasp.org/index.php/Chapter_Rules 分會會員手則]。

若要加入本分會的mailing list，請連結到[http://lists.owasp.org/mailman/listinfo/owasp-taiwan mailing list]網頁， 
所有的活動討論與活動地點將透過這個清單來討論， 
您也可以從[http://lists.owasp.org/pipermail/owasp-taiwan/ email 討論備份]中找到我們之前討論的備份。

最後提醒您，參加活動前，請再次檢查您mailing list的信件以確定活動地點與時間，或是任何有關活動記錄的事項。

== OWASP台灣分會部落格 blog ==
需要一手資安情報，技術分析，市場資訊嗎？

歡迎常來 [http://www.owasp.org.tw/blog OWASP台灣分會部落格 blog]

[http://www.owasp.org.tw/blog http://www.owasp.org/images/d/da/OWASP_Banner_Blog.png]


== 如何加入會員 ==
歡迎免費加入OWASP Taiwan台灣分會！加入方式有三種，線上報名，email報名以及傳真報名：
工作同仁會持續通知所有會員有關OWASP最新活動資訊與座談會議程.

=== 線上報名 ===
請[http://www.owasp.org.tw/member/registration.php 按此填寫線上報名單]

=== Email報名 ===
請email：[mailto:info@owasp.org.tw info@owasp.org.tw]加入台灣分會,請註明下列資訊.
#姓名
#單位
#職稱
#電子郵件
#聯絡電話

=== 傳真報名 ===
請列印此報名表,填寫後傳真至(02)6616-1100即可.

[[Image:owasp_taiwan_opening.jpg|800px]]

== 近期消息 ==

*Web應用程式安全研討會:在2008年7月22日起，行政院研考會與資通安全會報技服中心舉辦之[http://www.icst.org.tw/content/application/icst2005/a1001001100110151/guest-cnt-browse.php?var=0,1001,111,100100110017,3353,plan&PHPSESSID=d4815b38629332871cf75bb829fd5546 政府機關軟體安全技術研討會]，透過Web 應用程式安全參考指引導入案例，瞭解Web應用程式可能弱點，提供各機關(構)委外管理參考。

*Web安全新聞:在2007年6月11日，iThome報導「[http://www.ithome.com.tw/itadm/article.php?c=43813 網站安全潰堤，不安全就沒顧客]」，深入追蹤Google搜尋引擎因應惡意網站之新措施，其搜尋結果會為有資安問題的網站貼上警告標籤，並阻止使用者直接瀏覽。

*OWASP台灣分會參展:在2007年4月16至18日，台北國際資安展(http://www.secutech.com/tw/is/index.asp) 隆重登場，OWASP台灣分會邀您蒞臨攤位A402與A404，即可獲得Web資安光碟一張，並親自動手體驗比滲透測試、弱點稽核等傳統資安檢測方式更為優異的自動源碼檢測技術。

*Web安全新聞:在2007年4月11日，iThome報導「[http://www.ithome.com.tw/itadm/article.php?c=42866 OWASP台灣分會成立會員免費招募中，盼助我國Web安全防護跟上國際趨勢]」。

*Web安全新聞:在2007年4月9日，蘋果日報報導台灣已有ESPN體育台等許多與民眾生活息息相關的二十七個官網，三月以來陸續遭駭客植入木馬後門，藉由軟體廠商尚無修補程式的「零時差攻擊」（Zero-Day Attack），無辜使用者只要連上網瀏覽，電腦就中獎，輕者帳號、密碼遭竊，身分被盜用；重者機敏資料外洩或財物損失。

*Web應用程式安全研討會:在2007年3月27至4月11日，行政院研考會與資通安全會報技服中心舉辦之[http://sid.iii.org.tw/96Q1_ISMS/ 政府資通安全防護巡迴研討會－資安發展趨勢及網路應用服務資訊安全]，歡迎政府機關(構)負責資通安全相關人員踴躍參加。NEW![https://www.owasp.org/images/b/b1/%E5%B7%A1%E8%BF%B4%E7%A0%94%E8%A8%8E%E6%9C%83%E8%AC%9B%E7%BE%A9_Web.pdf 研討會講義下載]

*Web安全新聞:在2007年3月21日，中國時報報導「上網最不安全國家，台灣高居第二」，由法務部調查局、刑事局等單位共同針對台灣網路安全進行觀察發現，台灣網路的資訊安全威脅，高居亞洲第二，僅次於中國。2007年初至今，平均每天都會發生5件駭客入侵事件。

*Web安全新聞:在2007年3月8日，東森新聞報導「台灣駭客攻擊事件四小龍之冠，90％銀行曾遭入侵」，然而許多企業都以沒有預算為由，不願意增加防護設備與人力，被駭客竄改入侵網頁，不瞭解背後嚴重的意義，網頁改回後，並沒有增加防護設備，甚至還有單一企業被駭連續高達82次。[http://www.ettoday.com/2007/03/08/339-2063921.htm 原新聞連結]

[[Image:Owasp taiwan first gathering.png]]

== 網站與Web服務的五大資安困境 ==
#IT人員不足
#缺乏資安領域專業知識
#功能性驗收為主
#缺乏自動化工具
#成本、效率導向專案模式不利確保專案品質

==最新2007年OWASP十大Web資安漏洞 (2007 OWASP Top 10)==
===十大Web資安漏洞列表===
*A1. 跨網站的入侵字串(Cross Site Scripting，簡稱XSS，亦稱為跨站腳本攻擊)：Web應用程式直接將來自使用者的執行請求送回瀏覽器執行，使得攻擊者可擷取使用者的Cookie或Session資料而能假冒直接登入為合法使用者。
*A2. 注入缺失(Injection Flaw)：Web應用程式執行來自外部包括資料庫在內的惡意指令，SQL Injection與Command Injection等攻擊包括在內。
*A3. 惡意檔案執行(Malicious File Execution)：Web應用程式引入來自外部的惡意檔案並執行檔案內容。
*A4. 不安全的物件參考(Insecure Direct Object Reference)：攻擊者利用Web應用程式本身的檔案讀取功能任意存取檔案或重要資料，案例包括http://example/read.php?file=../../../../../../../c:\boot.ini。
*A5. 跨網站的偽造要求 (Cross-Site Request Forgery，簡稱CSRF): 已登入Web應用程式的合法使用者執行到惡意的HTTP指令，但Web應用程式卻當成合法需求處理，使得惡意指令被正常執行，案例包括社交網站分享的 QuickTime、Flash影片中藏有惡意的HTTP請求。
*A6. 資訊揭露與不適當錯誤處置 (Information Leakage and Improper Error Handling)：Web應用程式的執行錯誤訊息包含敏感資料，案例包括:系統檔案路徑的揭露或資料庫欄位名稱。
*A7. 遭破壞的鑑別與連線管理(Broken Authentication and Session Management)：Web應用程式中自行撰寫的身分驗證相關功能有缺陷。
*A8. 不安全的密碼儲存器 (Insecure Cryptographic Storage)：Web應用程式沒有對敏感性資料使用加密、使用較弱的加密演算法或將金鑰儲存於容易被取得之處。
*A9. 不安全的通訊(Insecure Communication)：傳送敏感性資料時並未使用HTTPS或其他加密方式。
*A10. 疏於限制URL存取(Failure to Restrict URL Access)：某些網頁因為沒有權限控制，使得攻擊者可透過網址直接存取，案例包括允許直接修改Wiki或Blog網頁內容。

這次OWASP公布新版Top 10反映出目前的攻擊現況，以今年為例，Cross-Site Scripting(XSS)調整為10大攻擊之首，真實的反映出目前網路釣魚與詐欺的攻擊濫用XSS的情形，事實上，美國國防部的BSI計畫(Build-Security In,https://buildsecurityin.us-cert.gov/) 及Mitre研究機構的CVE資安脆弱性列表(http://cve.mitre.org/) 亦顯示1)Cross Site Scripting與2)SQL Injection已連續兩年列為全球頭號嚴重資安弱點.

===直接與程式碼安全品質有關===
*[必要*]A1. 跨網站入侵字串(Cross Site Scripting)
*[必要*]A2. 注入缺失(Injection Flaw)
*[建議*]A3. 惡意檔案執行(Malicious File Execution)
*[建議*]A4. 不安全的物件參考(Insecure Direct Object Reference)
*[選擇*]A5. 跨網站要求偽造 (Cross-Site Request Forgery)

<nowiki>*</nowiki>OWASP台灣分會強烈建議各單位在進行源碼檢測時，尤以政府機關(構)，應遵循政府資通安全作業規範(http://www.giscc.org.tw) 之「Web應用程式安全參考指引」，並將1與2列為必要檢測項目，3與4列為建議檢測項目，而5列為選擇檢測項目。

＊在實務案例上，檢測並修正1與2即可避免絕大多數的Web資安威脅。

===因上述漏洞間接造成或與Web伺服器及外部設定有關===
*Information Leakage and Improper Error Handling
*Broken Authentication and Session Management
*Insecure Cryptographic Storage
*Insecure Communications
*Failure to Restrict URL Access

== 會員列表 (Member List) ==
Coming up soon!

[http://www.owasp.org.tw http://www.owasp.org.tw/dot.png]

Taiwan

2008-07-26T16:11:07Z

Bensonwu: /* 近期消息 */

[[Image:OWASP_TW_Banner.png]]

歡迎加入OWASP台灣分會！「網站安全的第一步，從加入OWASP台灣分會開始」。

台灣分會會長[mailto:wayne@owasp.org.tw 黃耀文先生（Wayne Huang）]暨分會工作同仁衷心肯定您的參與，不管您在何處，甚至您僅曾留下網路足跡於台灣，感謝您願意跟大家一起分享，讓我們用更多不同的角度來檢視Web安全的趨勢、威脅、問題與解決方案。

== 歡迎光臨 OWASP 台灣分會 ==

== 最新活動 ==
=== [[Taiwan_OWASP_2007|第一屆OWASP官方亞洲年會(OWASP Asia 2007)]] ===
'''Security 3.0 in Web 2.0 Age — Practices and Challenges of Web 2.0 Security'''

[http://www.owasp.org/index.php/Taiwan_OWASP_2007 http://www.owasp.org/images/f/f7/Owasp_taiwan_2007small.png]

Whitehat Security、美國運通(American Express)、阿碼科技(Armorize)、Qualys等跨國企業與資安公司的高階主管與首席研究員齊聚台灣，您知道他們如何看待Web 2.0時代之 Security 3.0嗎？對台灣與全球的含意是什麼？我政府、企業與一般使用者又該如何因應？從下面這些2007年的資安界大新聞，透露著怎樣的訊息？
* 5月11日起，Google開始監控遭駭網站，並貼上危險網站之標籤!
* 5月15日月OWASP公佈2007年最新的十大Web弱點，跨站腳本攻擊(XSS)登上榜首!
* 6月6日IBM購併Watchfire，HP隨即於6月19日購併SPI Dynamics!而僅存的Cenzic以滲透測試技術於6月18日獲得美國專利!
* Web 2.0的資安威脅？因應之道？Security 3.0？成功的實務案例？
[[Taiwan_OWASP_2007|第一屆OWASP官方亞洲年會]]將於9月27日(週四)下午1點於台大醫院國際會議中心201室(台北市中正區徐州路二號)'''舉辦，歡迎您來共襄盛舉，滿載而歸![[Taiwan_OWASP_2007|還有更多...]]

=== [http://hitcon.org 第三屆台灣駭客年會(HIT 2007)] ===

[http://hitcon.org 第三屆台灣駭客年會(HIT 2007)]已於2007年7月21日(週六)至22日(週日)在國立臺灣科技大學公館校區圓滿落幕，活動盛況空前，詳情請見 HIT 2007 官方網站:
[http://hitcon.org http://www.owasp.org/images/b/b5/Owasp_taiwan_HIT-linkLOGO.gif] http://hitcon.org

== 歡迎您的參與 ==
加入OWASP台灣分會不需任何費用，會員資格完全開放給任何對於應用程式安全有興趣的人士，
我們鼓勵會員於OWASP台灣分會分享他們的知識並提供專題演講，
而在加入會員前，請您仔細閱讀[https://www.owasp.org/index.php/Chapter_Rules 分會會員手則]。
若要加入本分會的mailing list，請連結到[http://lists.owasp.org/mailman/listinfo/owasp-taiwan mailing list]網頁，
所有的活動討論與活動地點將透過這個清單來討論，
您也可以從[http://lists.owasp.org/pipermail/owasp-taiwan/ email 討論備份]中找到我們之前討論的備份。
最後提醒您，參加活動前，請再次檢查您mailing list的信件以確定活動地點與時間，或是任何有關活動記錄的事項。

== 有關OWASP (About OWASP) ==
OWASP(開放Web軟體安全計畫 - Open Web Application Security Project)是一個開放社群、非營利性組織，目前全球有82個分會近萬名會員，其主要目標是研議協助解決Web軟體安全之標準、工具與技術文件，長期致力於協助政府或企業瞭解並改善網頁應用程式與網頁服務的安全性。由於應用範圍日廣，網頁應用安全已經逐漸的受到重視，並漸漸成為在安全領域的一個熱門話題，在此同時，駭客們也悄悄的將焦點轉移到網頁應用程式開發時所會產生的弱點來進行攻擊與破壞。

美國聯邦貿易委員會(FTC)強烈建議所有企業需遵循OWASP所發佈的十大Web弱點防護守則、美國國防部亦列為最佳實務，國際信用卡資料安全技術PCI標準更將其列為必要元件。目前OWASP有30多個進行中的計畫，包括最知名的OWASP Top 10(十大Web弱點)、WebGoat(代罪羔羊)練習平台、安全PHP/Java/ASP.Net等計畫，針對不同的軟體安全問題在進行討論與研究。

當貴單位決定開放網頁服務時，就必須讓來自於全球的網頁請求進入單位內部的網頁伺服器。駭客可以藉由隱藏在合法的網頁請求內，通過防火牆、入侵偵測系統或其他防禦系統的偵測，堂而皇之的進入單位內部或藉由單位網站充當跳板與中繼站而向其他受害者發動攻擊。這意味著企業的網頁程式碼也必須成為機關(構)單位周邊的安全防護之一，當單位網頁服務的規模與複雜性增加時，單位暴露於外的風險也逐漸增加。

== OWASP 台灣分會 (OWASP Taiwan Chapter) ==
*網頁:http://www.owasp.org.tw
*電郵:info@owasp.org.tw
*群組:owasp-taiwan@lists.owasp.org
*住址:台北市115南港區三重路19-13號(南港軟體園區)E棟5樓554室

{{Chapter Template|chaptername=Taiwan|extra=The chapter leader is [mailto:wayne@owasp.org.tw Wayne Huang]|mailinglistsite=http://lists.owasp.org/mailman/listinfo/owasp-taiwan|emailarchives=http://lists.owasp.org/pipermail/owasp-taiwan}}

Chapter meetings are held several times a year, typically in the offices of our sponsor.

Please subscribe to the mailing list for meeting announcements.

Our chapter is sponsored by [http://www.armorize.com/?utm_source=OWASP%2BTW%2BMain&utm_medium=web Armorize Technologies].
感謝[http://www.armorize.com/?utm_source=OWASP%2BTW%2BMain&utm_medium=web 美商阿碼科技]提供會議茶水、食物與活動贊助!

== 免費加入OWASP台灣分會 ==



'''加入OWASP台灣分會不需任何費用，會員可享有：'''

1. 不定期由OWASP台灣分會發行之Web攻防CDROM，目前為V1.0，填妥入會資料後會由工作人員郵寄送達。V1.0 CDROM內容包括：

##OWASP-Taiwan-Web安全簡介投影片
##OWASP-Taiwan-2007年首份研討會講義
##OWASP-Taiwan-免費Web安全工具
##OWASP-Top10-最新十大Web弱點
##OWASP-代罪羔羊(WebGoat)工具(免下載)
##OWASP-Guide-參考指引計畫內容
##OWASP測試計畫內容

[http://www.owasp.org.tw/member/registration.php http://www.owasp.org/images/d/d9/OWASP-TW-2.jpg]

2. OWASP台灣分會電子報。

'''加入會員方法請見本頁下方''' '''[[#如何加入會員|如何加入會員]]'''

加入OWASP台灣分會不需任何費用，會員資格完全開放給任何對於應用程式安全有興趣的人士， 
我們鼓勵會員於OWASP台灣分會分享他們的知識並提供專題演講， 
而在加入會員前，請您仔細閱讀[https://www.owasp.org/index.php/Chapter_Rules 分會會員手則]。

若要加入本分會的mailing list，請連結到[http://lists.owasp.org/mailman/listinfo/owasp-taiwan mailing list]網頁， 
所有的活動討論與活動地點將透過這個清單來討論， 
您也可以從[http://lists.owasp.org/pipermail/owasp-taiwan/ email 討論備份]中找到我們之前討論的備份。

最後提醒您，參加活動前，請再次檢查您mailing list的信件以確定活動地點與時間，或是任何有關活動記錄的事項。

== OWASP台灣分會部落格 blog ==
需要一手資安情報，技術分析，市場資訊嗎？

歡迎常來 [http://www.owasp.org.tw/blog OWASP台灣分會部落格 blog]

[http://www.owasp.org.tw/blog http://www.owasp.org/images/d/da/OWASP_Banner_Blog.png]


== 如何加入會員 ==
歡迎免費加入OWASP Taiwan台灣分會！加入方式有三種，線上報名，email報名以及傳真報名：
工作同仁會持續通知所有會員有關OWASP最新活動資訊與座談會議程.

=== 線上報名 ===
請[http://www.owasp.org.tw/member/registration.php 按此填寫線上報名單]

=== Email報名 ===
請email：[mailto:info@owasp.org.tw info@owasp.org.tw]加入台灣分會,請註明下列資訊.
#姓名
#單位
#職稱
#電子郵件
#聯絡電話

=== 傳真報名 ===
請列印此報名表,填寫後傳真至(02)6616-1100即可.

[[Image:owasp_taiwan_opening.jpg|800px]]

== 近期消息 ==

*Web應用程式安全研討會:在2008年7月22日起，行政院研考會與資通安全會報技服中心舉辦之[http://www.icst.org.tw/content/application/icst2005/a1001001100110151/guest-cnt-browse.php?var=0,1001,111,100100110017,3353,plan&PHPSESSID=d4815b38629332871cf75bb829fd5546 政府機關軟體安全技術研討會]，透過Web 應用程式安全參考指引導入案例，瞭解Web應用程式可能弱點，提供各機關(構)委外管理參考。

*Web安全新聞:在2007年6月11日，iThome報導「[http://www.ithome.com.tw/itadm/article.php?c=43813 網站安全潰堤，不安全就沒顧客]」，深入追蹤Google搜尋引擎因應惡意網站之新措施，其搜尋結果會為有資安問題的網站貼上警告標籤，並阻止使用者直接瀏覽。

*OWASP台灣分會參展:在2007年4月16至18日，台北國際資安展(http://www.secutech.com/tw/is/index.asp) 隆重登場，OWASP台灣分會邀您蒞臨攤位A402與A404，即可獲得Web資安光碟一張，並親自動手體驗比滲透測試、弱點稽核等傳統資安檢測方式更為優異的自動源碼檢測技術。

*Web安全新聞:在2007年4月11日，iThome報導「[http://www.ithome.com.tw/itadm/article.php?c=42866 OWASP台灣分會成立會員免費招募中，盼助我國Web安全防護跟上國際趨勢]」。

*Web安全新聞:在2007年4月9日，蘋果日報報導台灣已有ESPN體育台等許多與民眾生活息息相關的二十七個官網，三月以來陸續遭駭客植入木馬後門，藉由軟體廠商尚無修補程式的「零時差攻擊」（Zero-Day Attack），無辜使用者只要連上網瀏覽，電腦就中獎，輕者帳號、密碼遭竊，身分被盜用；重者機敏資料外洩或財物損失。

*Web應用程式安全研討會:在2007年3月27至4月11日，行政院研考會與資通安全會報技服中心舉辦之[http://sid.iii.org.tw/96Q1_ISMS/ 政府資通安全防護巡迴研討會－資安發展趨勢及網路應用服務資訊安全]，歡迎政府機關(構)負責資通安全相關人員踴躍參加。NEW![https://www.owasp.org/images/b/b1/%E5%B7%A1%E8%BF%B4%E7%A0%94%E8%A8%8E%E6%9C%83%E8%AC%9B%E7%BE%A9_Web.pdf 研討會講義下載]

*Web安全新聞:在2007年3月21日，中國時報報導「上網最不安全國家，台灣高居第二」，由法務部調查局、刑事局等單位共同針對台灣網路安全進行觀察發現，台灣網路的資訊安全威脅，高居亞洲第二，僅次於中國。2007年初至今，平均每天都會發生5件駭客入侵事件。

*Web安全新聞:在2007年3月8日，東森新聞報導「台灣駭客攻擊事件四小龍之冠，90％銀行曾遭入侵」，然而許多企業都以沒有預算為由，不願意增加防護設備與人力，被駭客竄改入侵網頁，不瞭解背後嚴重的意義，網頁改回後，並沒有增加防護設備，甚至還有單一企業被駭連續高達82次。[http://www.ettoday.com/2007/03/08/339-2063921.htm 原新聞連結]

[[Image:Owasp taiwan first gathering.png]]

== 網站與Web服務的五大資安困境 ==
#IT人員不足
#缺乏資安領域專業知識
#功能性驗收為主
#缺乏自動化工具
#成本、效率導向專案模式不利確保專案品質

==最新2007年OWASP十大Web資安漏洞 (2007 OWASP Top 10)==
===十大Web資安漏洞列表===
*A1. 跨網站的入侵字串(Cross Site Scripting，簡稱XSS，亦稱為跨站腳本攻擊)：Web應用程式直接將來自使用者的執行請求送回瀏覽器執行，使得攻擊者可擷取使用者的Cookie或Session資料而能假冒直接登入為合法使用者。
*A2. 注入缺失(Injection Flaw)：Web應用程式執行來自外部包括資料庫在內的惡意指令，SQL Injection與Command Injection等攻擊包括在內。
*A3. 惡意檔案執行(Malicious File Execution)：Web應用程式引入來自外部的惡意檔案並執行檔案內容。
*A4. 不安全的物件參考(Insecure Direct Object Reference)：攻擊者利用Web應用程式本身的檔案讀取功能任意存取檔案或重要資料，案例包括http://example/read.php?file=../../../../../../../c:\boot.ini。
*A5. 跨網站的偽造要求 (Cross-Site Request Forgery，簡稱CSRF): 已登入Web應用程式的合法使用者執行到惡意的HTTP指令，但Web應用程式卻當成合法需求處理，使得惡意指令被正常執行，案例包括社交網站分享的 QuickTime、Flash影片中藏有惡意的HTTP請求。
*A6. 資訊揭露與不適當錯誤處置 (Information Leakage and Improper Error Handling)：Web應用程式的執行錯誤訊息包含敏感資料，案例包括:系統檔案路徑的揭露或資料庫欄位名稱。
*A7. 遭破壞的鑑別與連線管理(Broken Authentication and Session Management)：Web應用程式中自行撰寫的身分驗證相關功能有缺陷。
*A8. 不安全的密碼儲存器 (Insecure Cryptographic Storage)：Web應用程式沒有對敏感性資料使用加密、使用較弱的加密演算法或將金鑰儲存於容易被取得之處。
*A9. 不安全的通訊(Insecure Communication)：傳送敏感性資料時並未使用HTTPS或其他加密方式。
*A10. 疏於限制URL存取(Failure to Restrict URL Access)：某些網頁因為沒有權限控制，使得攻擊者可透過網址直接存取，案例包括允許直接修改Wiki或Blog網頁內容。

這次OWASP公布新版Top 10反映出目前的攻擊現況，以今年為例，Cross-Site Scripting(XSS)調整為10大攻擊之首，真實的反映出目前網路釣魚與詐欺的攻擊濫用XSS的情形，事實上，美國國防部的BSI計畫(Build-Security In,https://buildsecurityin.us-cert.gov/) 及Mitre研究機構的CVE資安脆弱性列表(http://cve.mitre.org/) 亦顯示1)Cross Site Scripting與2)SQL Injection已連續兩年列為全球頭號嚴重資安弱點.

===直接與程式碼安全品質有關===
*[必要*]A1. 跨網站的入侵字串(Cross Site Scripting)
*[必要*]A2. 注入缺失(Injection Flaw)
*[建議*]A3. 惡意檔案執行(Malicious File Execution)
*[建議*]A4. 不安全的物件參考(Insecure Direct Object Reference)
*[選擇*]A5. 跨網站的偽造要求 (Cross-Site Request Forgery)

<nowiki>*</nowiki>OWASP台灣分會強烈建議各單位在進行源碼檢測時，尤以政府機關(構)，應遵循政府資通安全作業規範(http://www.giscc.org.tw) 之「Web應用程式安全參考指引」，並將1與2列為必要檢測項目，3與4列為建議檢測項目，而5列為選擇檢測項目。

＊在實務案例上，檢測並修正1與2即可避免絕大多數的Web資安威脅。

===因上述漏洞間接造成或與Web伺服器及外部設定有關===
*Information Leakage and Improper Error Handling
*Broken Authentication and Session Management
*Insecure Cryptographic Storage
*Insecure Communications
*Failure to Restrict URL Access

== 會員列表 (Member List) ==
Coming up soon!

[http://www.owasp.org.tw http://www.owasp.org.tw/dot.png]

Taiwan

2008-02-06T00:25:12Z

Bensonwu: /* 十大Web資安漏洞列表 */

[[Image:OWASP_TW_Banner.png]]

歡迎加入OWASP台灣分會！「網站安全的第一步，從加入OWASP台灣分會開始」。

台灣分會會長[mailto:wayne@owasp.org.tw 黃耀文先生（Wayne Huang）]暨分會工作同仁衷心肯定您的參與，不管您在何處，甚至您僅曾留下網路足跡於台灣，感謝您願意跟大家一起分享，讓我們用更多不同的角度來檢視Web安全的趨勢、威脅、問題與解決方案。

== 歡迎光臨 OWASP 台灣分會 ==

== 最新活動 ==
=== [[Taiwan_OWASP_2007|第一屆OWASP官方亞洲年會(OWASP Asia 2007)]] ===
'''Security 3.0 in Web 2.0 Age — Practices and Challenges of Web 2.0 Security'''

[http://www.owasp.org/index.php/Taiwan_OWASP_2007 http://www.owasp.org/images/f/f7/Owasp_taiwan_2007small.png]

Whitehat Security、美國運通(American Express)、阿碼科技(Armorize)、Qualys等跨國企業與資安公司的高階主管與首席研究員齊聚台灣，您知道他們如何看待Web 2.0時代之 Security 3.0嗎？對台灣與全球的含意是什麼？我政府、企業與一般使用者又該如何因應？從下面這些2007年的資安界大新聞，透露著怎樣的訊息？
* 5月11日起，Google開始監控遭駭網站，並貼上危險網站之標籤!
* 5月15日月OWASP公佈2007年最新的十大Web弱點，跨站腳本攻擊(XSS)登上榜首!
* 6月6日IBM購併Watchfire，HP隨即於6月19日購併SPI Dynamics!而僅存的Cenzic以滲透測試技術於6月18日獲得美國專利!
* Web 2.0的資安威脅？因應之道？Security 3.0？成功的實務案例？
[[Taiwan_OWASP_2007|第一屆OWASP官方亞洲年會]]將於9月27日(週四)下午1點於台大醫院國際會議中心201室(台北市中正區徐州路二號)'''舉辦，歡迎您來共襄盛舉，滿載而歸![[Taiwan_OWASP_2007|還有更多...]]

=== [http://hitcon.org 第三屆台灣駭客年會(HIT 2007)] ===

[http://hitcon.org 第三屆台灣駭客年會(HIT 2007)]已於2007年7月21日(週六)至22日(週日)在國立臺灣科技大學公館校區圓滿落幕，活動盛況空前，詳情請見 HIT 2007 官方網站:
[http://hitcon.org http://www.owasp.org/images/b/b5/Owasp_taiwan_HIT-linkLOGO.gif] http://hitcon.org

== 歡迎您的參與 ==
加入OWASP台灣分會不需任何費用，會員資格完全開放給任何對於應用程式安全有興趣的人士，
我們鼓勵會員於OWASP台灣分會分享他們的知識並提供專題演講，
而在加入會員前，請您仔細閱讀[https://www.owasp.org/index.php/Chapter_Rules 分會會員手則]。
若要加入本分會的mailing list，請連結到[http://lists.owasp.org/mailman/listinfo/owasp-taiwan mailing list]網頁，
所有的活動討論與活動地點將透過這個清單來討論，
您也可以從[http://lists.owasp.org/pipermail/owasp-taiwan/ email 討論備份]中找到我們之前討論的備份。
最後提醒您，參加活動前，請再次檢查您mailing list的信件以確定活動地點與時間，或是任何有關活動記錄的事項。

== 有關OWASP (About OWASP) ==
OWASP(開放Web軟體安全計畫 - Open Web Application Security Project)是一個開放社群、非營利性組織，目前全球有82個分會近萬名會員，其主要目標是研議協助解決Web軟體安全之標準、工具與技術文件，長期致力於協助政府或企業瞭解並改善網頁應用程式與網頁服務的安全性。由於應用範圍日廣，網頁應用安全已經逐漸的受到重視，並漸漸成為在安全領域的一個熱門話題，在此同時，駭客們也悄悄的將焦點轉移到網頁應用程式開發時所會產生的弱點來進行攻擊與破壞。

美國聯邦貿易委員會(FTC)強烈建議所有企業需遵循OWASP所發佈的十大Web弱點防護守則、美國國防部亦列為最佳實務，國際信用卡資料安全技術PCI標準更將其列為必要元件。目前OWASP有30多個進行中的計畫，包括最知名的OWASP Top 10(十大Web弱點)、WebGoat(代罪羔羊)練習平台、安全PHP/Java/ASP.Net等計畫，針對不同的軟體安全問題在進行討論與研究。

當貴單位決定開放網頁服務時，就必須讓來自於全球的網頁請求進入單位內部的網頁伺服器。駭客可以藉由隱藏在合法的網頁請求內，通過防火牆、入侵偵測系統或其他防禦系統的偵測，堂而皇之的進入單位內部或藉由單位網站充當跳板與中繼站而向其他受害者發動攻擊。這意味著企業的網頁程式碼也必須成為機關(構)單位周邊的安全防護之一，當單位網頁服務的規模與複雜性增加時，單位暴露於外的風險也逐漸增加。

== OWASP 台灣分會 (OWASP Taiwan Chapter) ==
*網頁:http://www.owasp.org.tw
*電郵:info@owasp.org.tw
*群組:owasp-taiwan@lists.owasp.org
*住址:台北市115南港區三重路19-13號(南港軟體園區)E棟5樓554室

{{Chapter Template|chaptername=Taiwan|extra=The chapter leader is [mailto:wayne@owasp.org.tw Wayne Huang]|mailinglistsite=http://lists.owasp.org/mailman/listinfo/owasp-taiwan|emailarchives=http://lists.owasp.org/pipermail/owasp-taiwan}}

Chapter meetings are held several times a year, typically in the offices of our sponsor.

Please subscribe to the mailing list for meeting announcements.

Our chapter is sponsored by [http://www.armorize.com/?utm_source=OWASP%2BTW%2BMain&utm_medium=web Armorize Technologies].
感謝[http://www.armorize.com/?utm_source=OWASP%2BTW%2BMain&utm_medium=web 美商阿碼科技]提供會議茶水、食物與活動贊助!

== 免費加入OWASP台灣分會 ==



'''加入OWASP台灣分會不需任何費用，會員可享有：'''

1. 不定期由OWASP台灣分會發行之Web攻防CDROM，目前為V1.0，填妥入會資料後會由工作人員郵寄送達。V1.0 CDROM內容包括：

##OWASP-Taiwan-Web安全簡介投影片
##OWASP-Taiwan-2007年首份研討會講義
##OWASP-Taiwan-免費Web安全工具
##OWASP-Top10-最新十大Web弱點
##OWASP-代罪羔羊(WebGoat)工具(免下載)
##OWASP-Guide-參考指引計畫內容
##OWASP測試計畫內容

[http://www.owasp.org.tw/member/registration.php http://www.owasp.org/images/d/d9/OWASP-TW-2.jpg]

2. OWASP台灣分會電子報。

'''加入會員方法請見本頁下方''' '''[[#如何加入會員|如何加入會員]]'''

加入OWASP台灣分會不需任何費用，會員資格完全開放給任何對於應用程式安全有興趣的人士， 
我們鼓勵會員於OWASP台灣分會分享他們的知識並提供專題演講， 
而在加入會員前，請您仔細閱讀[https://www.owasp.org/index.php/Chapter_Rules 分會會員手則]。

若要加入本分會的mailing list，請連結到[http://lists.owasp.org/mailman/listinfo/owasp-taiwan mailing list]網頁， 
所有的活動討論與活動地點將透過這個清單來討論， 
您也可以從[http://lists.owasp.org/pipermail/owasp-taiwan/ email 討論備份]中找到我們之前討論的備份。

最後提醒您，參加活動前，請再次檢查您mailing list的信件以確定活動地點與時間，或是任何有關活動記錄的事項。

== OWASP台灣分會部落格 blog ==
需要一手資安情報，技術分析，市場資訊嗎？

歡迎常來 [http://www.owasp.org.tw/blog OWASP台灣分會部落格 blog]

[http://www.owasp.org.tw/blog http://www.owasp.org/images/d/da/OWASP_Banner_Blog.png]


== 如何加入會員 ==
歡迎免費加入OWASP Taiwan台灣分會！加入方式有三種，線上報名，email報名以及傳真報名：
工作同仁會持續通知所有會員有關OWASP最新活動資訊與座談會議程.

=== 線上報名 ===
請[http://www.owasp.org.tw/member/registration.php 按此填寫線上報名單]

=== Email報名 ===
請email：[mailto:info@owasp.org.tw info@owasp.org.tw]加入台灣分會,請註明下列資訊.
#姓名
#單位
#職稱
#電子郵件
#聯絡電話

=== 傳真報名 ===
請列印此報名表,填寫後傳真至(02)6616-1100即可.

[[Image:owasp_taiwan_opening.jpg|800px]]

== 近期消息 ==

*Web安全新聞:在2007年6月11日，iThome報導「[http://www.ithome.com.tw/itadm/article.php?c=43813 網站安全潰堤，不安全就沒顧客]」，深入追蹤Google搜尋引擎因應惡意網站之新措施，其搜尋結果會為有資安問題的網站貼上警告標籤，並阻止使用者直接瀏覽。

*OWASP台灣分會參展:在2007年4月16至18日，台北國際資安展(http://www.secutech.com/tw/is/index.asp) 隆重登場，OWASP台灣分會邀您蒞臨攤位A402與A404，即可獲得Web資安光碟一張，並親自動手體驗比滲透測試、弱點稽核等傳統資安檢測方式更為優異的自動源碼檢測技術。

*Web安全新聞:在2007年4月11日，iThome報導「[http://www.ithome.com.tw/itadm/article.php?c=42866 OWASP台灣分會成立會員免費招募中，盼助我國Web安全防護跟上國際趨勢]」。

*Web安全新聞:在2007年4月9日，蘋果日報報導台灣已有ESPN體育台等許多與民眾生活息息相關的二十七個官網，三月以來陸續遭駭客植入木馬後門，藉由軟體廠商尚無修補程式的「零時差攻擊」（Zero-Day Attack），無辜使用者只要連上網瀏覽，電腦就中獎，輕者帳號、密碼遭竊，身分被盜用；重者機敏資料外洩或財物損失。

*Web應用程式安全研討會:在2007年3月27至4月11日，行政院研考會與資通安全會報技服中心舉辦之[http://sid.iii.org.tw/96Q1_ISMS/ 政府資通安全防護巡迴研討會－資安發展趨勢及網路應用服務資訊安全]，歡迎政府機關(構)負責資通安全相關人員踴躍參加。NEW![https://www.owasp.org/images/b/b1/%E5%B7%A1%E8%BF%B4%E7%A0%94%E8%A8%8E%E6%9C%83%E8%AC%9B%E7%BE%A9_Web.pdf 研討會講義下載]

*Web安全新聞:在2007年3月21日，中國時報報導「上網最不安全國家，台灣高居第二」，由法務部調查局、刑事局等單位共同針對台灣網路安全進行觀察發現，台灣網路的資訊安全威脅，高居亞洲第二，僅次於中國。2007年初至今，平均每天都會發生5件駭客入侵事件。

*Web安全新聞:在2007年3月8日，東森新聞報導「台灣駭客攻擊事件四小龍之冠，90％銀行曾遭入侵」，然而許多企業都以沒有預算為由，不願意增加防護設備與人力，被駭客竄改入侵網頁，不瞭解背後嚴重的意義，網頁改回後，並沒有增加防護設備，甚至還有單一企業被駭連續高達82次。[http://www.ettoday.com/2007/03/08/339-2063921.htm 原新聞連結]

[[Image:Owasp taiwan first gathering.png]]

== 網站與Web服務的五大資安困境 ==
#IT人員不足
#缺乏資安領域專業知識
#功能性驗收為主
#缺乏自動化工具
#成本、效率導向專案模式不利確保專案品質

==最新2007年OWASP十大Web資安漏洞 (2007 OWASP Top 10)==
===十大Web資安漏洞列表===
*A1. 跨網站的入侵字串(Cross Site Scripting，簡稱XSS，亦稱為跨站腳本攻擊)：Web應用程式直接將來自使用者的執行請求送回瀏覽器執行，使得攻擊者可擷取使用者的Cookie或Session資料而能假冒直接登入為合法使用者。
*A2. 注入缺失(Injection Flaw)：Web應用程式執行來自外部包括資料庫在內的惡意指令，SQL Injection與Command Injection等攻擊包括在內。
*A3. 惡意檔案執行(Malicious File Execution)：Web應用程式引入來自外部的惡意檔案並執行檔案內容。
*A4. 不安全的物件參考(Insecure Direct Object Reference)：攻擊者利用Web應用程式本身的檔案讀取功能任意存取檔案或重要資料，案例包括http://example/read.php?file=../../../../../../../c:\boot.ini。
*A5. 跨網站的偽造要求 (Cross-Site Request Forgery，簡稱CSRF): 已登入Web應用程式的合法使用者執行到惡意的HTTP指令，但Web應用程式卻當成合法需求處理，使得惡意指令被正常執行，案例包括社交網站分享的 QuickTime、Flash影片中藏有惡意的HTTP請求。
*A6. 資訊揭露與不適當錯誤處置 (Information Leakage and Improper Error Handling)：Web應用程式的執行錯誤訊息包含敏感資料，案例包括:系統檔案路徑的揭露或資料庫欄位名稱。
*A7. 遭破壞的鑑別與連線管理(Broken Authentication and Session Management)：Web應用程式中自行撰寫的身分驗證相關功能有缺陷。
*A8. 不安全的密碼儲存器 (Insecure Cryptographic Storage)：Web應用程式沒有對敏感性資料使用加密、使用較弱的加密演算法或將金鑰儲存於容易被取得之處。
*A9. 不安全的通訊(Insecure Communication)：傳送敏感性資料時並未使用HTTPS或其他加密方式。
*A10. 疏於限制URL存取(Failure to Restrict URL Access)：某些網頁因為沒有權限控制，使得攻擊者可透過網址直接存取，案例包括允許直接修改Wiki或Blog網頁內容。

這次OWASP公布新版Top 10反映出目前的攻擊現況，以今年為例，Cross-Site Scripting(XSS)調整為10大攻擊之首，真實的反映出目前網路釣魚與詐欺的攻擊濫用XSS的情形，事實上，美國國防部的BSI計畫(Build-Security In,https://buildsecurityin.us-cert.gov/) 及Mitre研究機構的CVE資安脆弱性列表(http://cve.mitre.org/) 亦顯示1)Cross Site Scripting與2)SQL Injection已連續兩年列為全球頭號嚴重資安弱點.

===直接與程式碼安全品質有關===
*[必要*]A1. 跨網站的入侵字串(Cross Site Scripting)
*[必要*]A2. 注入缺失(Injection Flaw)
*[建議*]A3. 惡意檔案執行(Malicious File Execution)
*[建議*]A4. 不安全的物件參考(Insecure Direct Object Reference)
*[選擇*]A5. 跨網站的偽造要求 (Cross-Site Request Forgery)

<nowiki>*</nowiki>OWASP台灣分會強烈建議各單位在進行源碼檢測時，尤以政府機關(構)，應遵循政府資通安全作業規範(http://www.giscc.org.tw) 之「Web應用程式安全參考指引」，並將1與2列為必要檢測項目，3與4列為建議檢測項目，而5列為選擇檢測項目。

＊在實務案例上，檢測並修正1與2即可避免絕大多數的Web資安威脅。

===因上述漏洞間接造成或與Web伺服器及外部設定有關===
*Information Leakage and Improper Error Handling
*Broken Authentication and Session Management
*Insecure Cryptographic Storage
*Insecure Communications
*Failure to Restrict URL Access

== 會員列表 (Member List) ==
Coming up soon!

[http://www.owasp.org.tw http://www.owasp.org.tw/dot.png]

Taiwan

2008-02-06T00:24:21Z

Bensonwu: /* 十大Web資安漏洞列表 */

[[Image:OWASP_TW_Banner.png]]

歡迎加入OWASP台灣分會！「網站安全的第一步，從加入OWASP台灣分會開始」。

台灣分會會長[mailto:wayne@owasp.org.tw 黃耀文先生（Wayne Huang）]暨分會工作同仁衷心肯定您的參與，不管您在何處，甚至您僅曾留下網路足跡於台灣，感謝您願意跟大家一起分享，讓我們用更多不同的角度來檢視Web安全的趨勢、威脅、問題與解決方案。

== 歡迎光臨 OWASP 台灣分會 ==

== 最新活動 ==
=== [[Taiwan_OWASP_2007|第一屆OWASP官方亞洲年會(OWASP Asia 2007)]] ===
'''Security 3.0 in Web 2.0 Age — Practices and Challenges of Web 2.0 Security'''

[http://www.owasp.org/index.php/Taiwan_OWASP_2007 http://www.owasp.org/images/f/f7/Owasp_taiwan_2007small.png]

Whitehat Security、美國運通(American Express)、阿碼科技(Armorize)、Qualys等跨國企業與資安公司的高階主管與首席研究員齊聚台灣，您知道他們如何看待Web 2.0時代之 Security 3.0嗎？對台灣與全球的含意是什麼？我政府、企業與一般使用者又該如何因應？從下面這些2007年的資安界大新聞，透露著怎樣的訊息？
* 5月11日起，Google開始監控遭駭網站，並貼上危險網站之標籤!
* 5月15日月OWASP公佈2007年最新的十大Web弱點，跨站腳本攻擊(XSS)登上榜首!
* 6月6日IBM購併Watchfire，HP隨即於6月19日購併SPI Dynamics!而僅存的Cenzic以滲透測試技術於6月18日獲得美國專利!
* Web 2.0的資安威脅？因應之道？Security 3.0？成功的實務案例？
[[Taiwan_OWASP_2007|第一屆OWASP官方亞洲年會]]將於9月27日(週四)下午1點於台大醫院國際會議中心201室(台北市中正區徐州路二號)'''舉辦，歡迎您來共襄盛舉，滿載而歸![[Taiwan_OWASP_2007|還有更多...]]

=== [http://hitcon.org 第三屆台灣駭客年會(HIT 2007)] ===

[http://hitcon.org 第三屆台灣駭客年會(HIT 2007)]已於2007年7月21日(週六)至22日(週日)在國立臺灣科技大學公館校區圓滿落幕，活動盛況空前，詳情請見 HIT 2007 官方網站:
[http://hitcon.org http://www.owasp.org/images/b/b5/Owasp_taiwan_HIT-linkLOGO.gif] http://hitcon.org

== 歡迎您的參與 ==
加入OWASP台灣分會不需任何費用，會員資格完全開放給任何對於應用程式安全有興趣的人士，
我們鼓勵會員於OWASP台灣分會分享他們的知識並提供專題演講，
而在加入會員前，請您仔細閱讀[https://www.owasp.org/index.php/Chapter_Rules 分會會員手則]。
若要加入本分會的mailing list，請連結到[http://lists.owasp.org/mailman/listinfo/owasp-taiwan mailing list]網頁，
所有的活動討論與活動地點將透過這個清單來討論，
您也可以從[http://lists.owasp.org/pipermail/owasp-taiwan/ email 討論備份]中找到我們之前討論的備份。
最後提醒您，參加活動前，請再次檢查您mailing list的信件以確定活動地點與時間，或是任何有關活動記錄的事項。

== 有關OWASP (About OWASP) ==
OWASP(開放Web軟體安全計畫 - Open Web Application Security Project)是一個開放社群、非營利性組織，目前全球有82個分會近萬名會員，其主要目標是研議協助解決Web軟體安全之標準、工具與技術文件，長期致力於協助政府或企業瞭解並改善網頁應用程式與網頁服務的安全性。由於應用範圍日廣，網頁應用安全已經逐漸的受到重視，並漸漸成為在安全領域的一個熱門話題，在此同時，駭客們也悄悄的將焦點轉移到網頁應用程式開發時所會產生的弱點來進行攻擊與破壞。

美國聯邦貿易委員會(FTC)強烈建議所有企業需遵循OWASP所發佈的十大Web弱點防護守則、美國國防部亦列為最佳實務，國際信用卡資料安全技術PCI標準更將其列為必要元件。目前OWASP有30多個進行中的計畫，包括最知名的OWASP Top 10(十大Web弱點)、WebGoat(代罪羔羊)練習平台、安全PHP/Java/ASP.Net等計畫，針對不同的軟體安全問題在進行討論與研究。

當貴單位決定開放網頁服務時，就必須讓來自於全球的網頁請求進入單位內部的網頁伺服器。駭客可以藉由隱藏在合法的網頁請求內，通過防火牆、入侵偵測系統或其他防禦系統的偵測，堂而皇之的進入單位內部或藉由單位網站充當跳板與中繼站而向其他受害者發動攻擊。這意味著企業的網頁程式碼也必須成為機關(構)單位周邊的安全防護之一，當單位網頁服務的規模與複雜性增加時，單位暴露於外的風險也逐漸增加。

== OWASP 台灣分會 (OWASP Taiwan Chapter) ==
*網頁:http://www.owasp.org.tw
*電郵:info@owasp.org.tw
*群組:owasp-taiwan@lists.owasp.org
*住址:台北市115南港區三重路19-13號(南港軟體園區)E棟5樓554室

{{Chapter Template|chaptername=Taiwan|extra=The chapter leader is [mailto:wayne@owasp.org.tw Wayne Huang]|mailinglistsite=http://lists.owasp.org/mailman/listinfo/owasp-taiwan|emailarchives=http://lists.owasp.org/pipermail/owasp-taiwan}}

Chapter meetings are held several times a year, typically in the offices of our sponsor.

Please subscribe to the mailing list for meeting announcements.

Our chapter is sponsored by [http://www.armorize.com/?utm_source=OWASP%2BTW%2BMain&utm_medium=web Armorize Technologies].
感謝[http://www.armorize.com/?utm_source=OWASP%2BTW%2BMain&utm_medium=web 美商阿碼科技]提供會議茶水、食物與活動贊助!

== 免費加入OWASP台灣分會 ==



'''加入OWASP台灣分會不需任何費用，會員可享有：'''

1. 不定期由OWASP台灣分會發行之Web攻防CDROM，目前為V1.0，填妥入會資料後會由工作人員郵寄送達。V1.0 CDROM內容包括：

##OWASP-Taiwan-Web安全簡介投影片
##OWASP-Taiwan-2007年首份研討會講義
##OWASP-Taiwan-免費Web安全工具
##OWASP-Top10-最新十大Web弱點
##OWASP-代罪羔羊(WebGoat)工具(免下載)
##OWASP-Guide-參考指引計畫內容
##OWASP測試計畫內容

[http://www.owasp.org.tw/member/registration.php http://www.owasp.org/images/d/d9/OWASP-TW-2.jpg]

2. OWASP台灣分會電子報。

'''加入會員方法請見本頁下方''' '''[[#如何加入會員|如何加入會員]]'''

加入OWASP台灣分會不需任何費用，會員資格完全開放給任何對於應用程式安全有興趣的人士， 
我們鼓勵會員於OWASP台灣分會分享他們的知識並提供專題演講， 
而在加入會員前，請您仔細閱讀[https://www.owasp.org/index.php/Chapter_Rules 分會會員手則]。

若要加入本分會的mailing list，請連結到[http://lists.owasp.org/mailman/listinfo/owasp-taiwan mailing list]網頁， 
所有的活動討論與活動地點將透過這個清單來討論， 
您也可以從[http://lists.owasp.org/pipermail/owasp-taiwan/ email 討論備份]中找到我們之前討論的備份。

最後提醒您，參加活動前，請再次檢查您mailing list的信件以確定活動地點與時間，或是任何有關活動記錄的事項。

== OWASP台灣分會部落格 blog ==
需要一手資安情報，技術分析，市場資訊嗎？

歡迎常來 [http://www.owasp.org.tw/blog OWASP台灣分會部落格 blog]

[http://www.owasp.org.tw/blog http://www.owasp.org/images/d/da/OWASP_Banner_Blog.png]


== 如何加入會員 ==
歡迎免費加入OWASP Taiwan台灣分會！加入方式有三種，線上報名，email報名以及傳真報名：
工作同仁會持續通知所有會員有關OWASP最新活動資訊與座談會議程.

=== 線上報名 ===
請[http://www.owasp.org.tw/member/registration.php 按此填寫線上報名單]

=== Email報名 ===
請email：[mailto:info@owasp.org.tw info@owasp.org.tw]加入台灣分會,請註明下列資訊.
#姓名
#單位
#職稱
#電子郵件
#聯絡電話

=== 傳真報名 ===
請列印此報名表,填寫後傳真至(02)6616-1100即可.

[[Image:owasp_taiwan_opening.jpg|800px]]

== 近期消息 ==

*Web安全新聞:在2007年6月11日，iThome報導「[http://www.ithome.com.tw/itadm/article.php?c=43813 網站安全潰堤，不安全就沒顧客]」，深入追蹤Google搜尋引擎因應惡意網站之新措施，其搜尋結果會為有資安問題的網站貼上警告標籤，並阻止使用者直接瀏覽。

*OWASP台灣分會參展:在2007年4月16至18日，台北國際資安展(http://www.secutech.com/tw/is/index.asp) 隆重登場，OWASP台灣分會邀您蒞臨攤位A402與A404，即可獲得Web資安光碟一張，並親自動手體驗比滲透測試、弱點稽核等傳統資安檢測方式更為優異的自動源碼檢測技術。

*Web安全新聞:在2007年4月11日，iThome報導「[http://www.ithome.com.tw/itadm/article.php?c=42866 OWASP台灣分會成立會員免費招募中，盼助我國Web安全防護跟上國際趨勢]」。

*Web安全新聞:在2007年4月9日，蘋果日報報導台灣已有ESPN體育台等許多與民眾生活息息相關的二十七個官網，三月以來陸續遭駭客植入木馬後門，藉由軟體廠商尚無修補程式的「零時差攻擊」（Zero-Day Attack），無辜使用者只要連上網瀏覽，電腦就中獎，輕者帳號、密碼遭竊，身分被盜用；重者機敏資料外洩或財物損失。

*Web應用程式安全研討會:在2007年3月27至4月11日，行政院研考會與資通安全會報技服中心舉辦之[http://sid.iii.org.tw/96Q1_ISMS/ 政府資通安全防護巡迴研討會－資安發展趨勢及網路應用服務資訊安全]，歡迎政府機關(構)負責資通安全相關人員踴躍參加。NEW![https://www.owasp.org/images/b/b1/%E5%B7%A1%E8%BF%B4%E7%A0%94%E8%A8%8E%E6%9C%83%E8%AC%9B%E7%BE%A9_Web.pdf 研討會講義下載]

*Web安全新聞:在2007年3月21日，中國時報報導「上網最不安全國家，台灣高居第二」，由法務部調查局、刑事局等單位共同針對台灣網路安全進行觀察發現，台灣網路的資訊安全威脅，高居亞洲第二，僅次於中國。2007年初至今，平均每天都會發生5件駭客入侵事件。

*Web安全新聞:在2007年3月8日，東森新聞報導「台灣駭客攻擊事件四小龍之冠，90％銀行曾遭入侵」，然而許多企業都以沒有預算為由，不願意增加防護設備與人力，被駭客竄改入侵網頁，不瞭解背後嚴重的意義，網頁改回後，並沒有增加防護設備，甚至還有單一企業被駭連續高達82次。[http://www.ettoday.com/2007/03/08/339-2063921.htm 原新聞連結]

[[Image:Owasp taiwan first gathering.png]]

== 網站與Web服務的五大資安困境 ==
#IT人員不足
#缺乏資安領域專業知識
#功能性驗收為主
#缺乏自動化工具
#成本、效率導向專案模式不利確保專案品質

==最新2007年OWASP十大Web資安漏洞 (2007 OWASP Top 10)==
===十大Web資安漏洞列表===
*A1. 跨網站的入侵字串(Cross Site Scripting，簡稱XSS)：Web應用程式直接將來自使用者的執行請求送回瀏覽器執行，使得攻擊者可擷取使用者的Cookie或Session資料而能假冒直接登入為合法使用者。
*A2. 注入缺失(Injection Flaw)：Web應用程式執行來自外部包括資料庫在內的惡意指令，SQL Injection與Command Injection等攻擊包括在內。
*A3. 惡意檔案執行(Malicious File Execution)：Web應用程式引入來自外部的惡意檔案並執行檔案內容。
*A4. 不安全的物件參考(Insecure Direct Object Reference)：攻擊者利用Web應用程式本身的檔案讀取功能任意存取檔案或重要資料，案例包括http://example/read.php?file=../../../../../../../c:\boot.ini。
*A5. 跨網站的偽造要求 (Cross-Site Request Forgery，簡稱CSRF): 已登入Web應用程式的合法使用者執行到惡意的HTTP指令，但Web應用程式卻當成合法需求處理，使得惡意指令被正常執行，案例包括社交網站分享的 QuickTime、Flash影片中藏有惡意的HTTP請求。
*A6. 資訊揭露與不適當錯誤處置 (Information Leakage and Improper Error Handling)：Web應用程式的執行錯誤訊息包含敏感資料，案例包括:系統檔案路徑的揭露或資料庫欄位名稱。
*A7. 遭破壞的鑑別與連線管理(Broken Authentication and Session Management)：Web應用程式中自行撰寫的身分驗證相關功能有缺陷。
*A8. 不安全的密碼儲存器 (Insecure Cryptographic Storage)：Web應用程式沒有對敏感性資料使用加密、使用較弱的加密演算法或將金鑰儲存於容易被取得之處。
*A9. 不安全的通訊(Insecure Communication)：傳送敏感性資料時並未使用HTTPS或其他加密方式。
*A10. 疏於限制URL存取(Failure to Restrict URL Access)：某些網頁因為沒有權限控制，使得攻擊者可透過網址直接存取，案例包括允許直接修改Wiki或Blog網頁內容。

這次OWASP公布新版Top 10反映出目前的攻擊現況，以今年為例，Cross-Site Scripting(XSS)調整為10大攻擊之首，真實的反映出目前網路釣魚與詐欺的攻擊濫用XSS的情形，事實上，美國國防部的BSI計畫(Build-Security In,https://buildsecurityin.us-cert.gov/) 及Mitre研究機構的CVE資安脆弱性列表(http://cve.mitre.org/) 亦顯示1)Cross Site Scripting與2)SQL Injection已連續兩年列為全球頭號嚴重資安弱點.

===直接與程式碼安全品質有關===
*[必要*]A1. 跨網站的入侵字串(Cross Site Scripting)
*[必要*]A2. 注入缺失(Injection Flaw)
*[建議*]A3. 惡意檔案執行(Malicious File Execution)
*[建議*]A4. 不安全的物件參考(Insecure Direct Object Reference)
*[選擇*]A5. 跨網站的偽造要求 (Cross-Site Request Forgery)

<nowiki>*</nowiki>OWASP台灣分會強烈建議各單位在進行源碼檢測時，尤以政府機關(構)，應遵循政府資通安全作業規範(http://www.giscc.org.tw) 之「Web應用程式安全參考指引」，並將1與2列為必要檢測項目，3與4列為建議檢測項目，而5列為選擇檢測項目。

＊在實務案例上，檢測並修正1與2即可避免絕大多數的Web資安威脅。

===因上述漏洞間接造成或與Web伺服器及外部設定有關===
*Information Leakage and Improper Error Handling
*Broken Authentication and Session Management
*Insecure Cryptographic Storage
*Insecure Communications
*Failure to Restrict URL Access

== 會員列表 (Member List) ==
Coming up soon!

[http://www.owasp.org.tw http://www.owasp.org.tw/dot.png]

Taiwan

2008-02-06T00:23:54Z

Bensonwu: /* 直接與程式碼安全品質有關 */

[[Image:OWASP_TW_Banner.png]]

歡迎加入OWASP台灣分會！「網站安全的第一步，從加入OWASP台灣分會開始」。

台灣分會會長[mailto:wayne@owasp.org.tw 黃耀文先生（Wayne Huang）]暨分會工作同仁衷心肯定您的參與，不管您在何處，甚至您僅曾留下網路足跡於台灣，感謝您願意跟大家一起分享，讓我們用更多不同的角度來檢視Web安全的趨勢、威脅、問題與解決方案。

== 歡迎光臨 OWASP 台灣分會 ==

== 最新活動 ==
=== [[Taiwan_OWASP_2007|第一屆OWASP官方亞洲年會(OWASP Asia 2007)]] ===
'''Security 3.0 in Web 2.0 Age — Practices and Challenges of Web 2.0 Security'''

[http://www.owasp.org/index.php/Taiwan_OWASP_2007 http://www.owasp.org/images/f/f7/Owasp_taiwan_2007small.png]

Whitehat Security、美國運通(American Express)、阿碼科技(Armorize)、Qualys等跨國企業與資安公司的高階主管與首席研究員齊聚台灣，您知道他們如何看待Web 2.0時代之 Security 3.0嗎？對台灣與全球的含意是什麼？我政府、企業與一般使用者又該如何因應？從下面這些2007年的資安界大新聞，透露著怎樣的訊息？
* 5月11日起，Google開始監控遭駭網站，並貼上危險網站之標籤!
* 5月15日月OWASP公佈2007年最新的十大Web弱點，跨站腳本攻擊(XSS)登上榜首!
* 6月6日IBM購併Watchfire，HP隨即於6月19日購併SPI Dynamics!而僅存的Cenzic以滲透測試技術於6月18日獲得美國專利!
* Web 2.0的資安威脅？因應之道？Security 3.0？成功的實務案例？
[[Taiwan_OWASP_2007|第一屆OWASP官方亞洲年會]]將於9月27日(週四)下午1點於台大醫院國際會議中心201室(台北市中正區徐州路二號)'''舉辦，歡迎您來共襄盛舉，滿載而歸![[Taiwan_OWASP_2007|還有更多...]]

=== [http://hitcon.org 第三屆台灣駭客年會(HIT 2007)] ===

[http://hitcon.org 第三屆台灣駭客年會(HIT 2007)]已於2007年7月21日(週六)至22日(週日)在國立臺灣科技大學公館校區圓滿落幕，活動盛況空前，詳情請見 HIT 2007 官方網站:
[http://hitcon.org http://www.owasp.org/images/b/b5/Owasp_taiwan_HIT-linkLOGO.gif] http://hitcon.org

== 歡迎您的參與 ==
加入OWASP台灣分會不需任何費用，會員資格完全開放給任何對於應用程式安全有興趣的人士，
我們鼓勵會員於OWASP台灣分會分享他們的知識並提供專題演講，
而在加入會員前，請您仔細閱讀[https://www.owasp.org/index.php/Chapter_Rules 分會會員手則]。
若要加入本分會的mailing list，請連結到[http://lists.owasp.org/mailman/listinfo/owasp-taiwan mailing list]網頁，
所有的活動討論與活動地點將透過這個清單來討論，
您也可以從[http://lists.owasp.org/pipermail/owasp-taiwan/ email 討論備份]中找到我們之前討論的備份。
最後提醒您，參加活動前，請再次檢查您mailing list的信件以確定活動地點與時間，或是任何有關活動記錄的事項。

== 有關OWASP (About OWASP) ==
OWASP(開放Web軟體安全計畫 - Open Web Application Security Project)是一個開放社群、非營利性組織，目前全球有82個分會近萬名會員，其主要目標是研議協助解決Web軟體安全之標準、工具與技術文件，長期致力於協助政府或企業瞭解並改善網頁應用程式與網頁服務的安全性。由於應用範圍日廣，網頁應用安全已經逐漸的受到重視，並漸漸成為在安全領域的一個熱門話題，在此同時，駭客們也悄悄的將焦點轉移到網頁應用程式開發時所會產生的弱點來進行攻擊與破壞。

美國聯邦貿易委員會(FTC)強烈建議所有企業需遵循OWASP所發佈的十大Web弱點防護守則、美國國防部亦列為最佳實務，國際信用卡資料安全技術PCI標準更將其列為必要元件。目前OWASP有30多個進行中的計畫，包括最知名的OWASP Top 10(十大Web弱點)、WebGoat(代罪羔羊)練習平台、安全PHP/Java/ASP.Net等計畫，針對不同的軟體安全問題在進行討論與研究。

當貴單位決定開放網頁服務時，就必須讓來自於全球的網頁請求進入單位內部的網頁伺服器。駭客可以藉由隱藏在合法的網頁請求內，通過防火牆、入侵偵測系統或其他防禦系統的偵測，堂而皇之的進入單位內部或藉由單位網站充當跳板與中繼站而向其他受害者發動攻擊。這意味著企業的網頁程式碼也必須成為機關(構)單位周邊的安全防護之一，當單位網頁服務的規模與複雜性增加時，單位暴露於外的風險也逐漸增加。

== OWASP 台灣分會 (OWASP Taiwan Chapter) ==
*網頁:http://www.owasp.org.tw
*電郵:info@owasp.org.tw
*群組:owasp-taiwan@lists.owasp.org
*住址:台北市115南港區三重路19-13號(南港軟體園區)E棟5樓554室

{{Chapter Template|chaptername=Taiwan|extra=The chapter leader is [mailto:wayne@owasp.org.tw Wayne Huang]|mailinglistsite=http://lists.owasp.org/mailman/listinfo/owasp-taiwan|emailarchives=http://lists.owasp.org/pipermail/owasp-taiwan}}

Chapter meetings are held several times a year, typically in the offices of our sponsor.

Please subscribe to the mailing list for meeting announcements.

Our chapter is sponsored by [http://www.armorize.com/?utm_source=OWASP%2BTW%2BMain&utm_medium=web Armorize Technologies].
感謝[http://www.armorize.com/?utm_source=OWASP%2BTW%2BMain&utm_medium=web 美商阿碼科技]提供會議茶水、食物與活動贊助!

== 免費加入OWASP台灣分會 ==



'''加入OWASP台灣分會不需任何費用，會員可享有：'''

1. 不定期由OWASP台灣分會發行之Web攻防CDROM，目前為V1.0，填妥入會資料後會由工作人員郵寄送達。V1.0 CDROM內容包括：

##OWASP-Taiwan-Web安全簡介投影片
##OWASP-Taiwan-2007年首份研討會講義
##OWASP-Taiwan-免費Web安全工具
##OWASP-Top10-最新十大Web弱點
##OWASP-代罪羔羊(WebGoat)工具(免下載)
##OWASP-Guide-參考指引計畫內容
##OWASP測試計畫內容

[http://www.owasp.org.tw/member/registration.php http://www.owasp.org/images/d/d9/OWASP-TW-2.jpg]

2. OWASP台灣分會電子報。

'''加入會員方法請見本頁下方''' '''[[#如何加入會員|如何加入會員]]'''

加入OWASP台灣分會不需任何費用，會員資格完全開放給任何對於應用程式安全有興趣的人士， 
我們鼓勵會員於OWASP台灣分會分享他們的知識並提供專題演講， 
而在加入會員前，請您仔細閱讀[https://www.owasp.org/index.php/Chapter_Rules 分會會員手則]。

若要加入本分會的mailing list，請連結到[http://lists.owasp.org/mailman/listinfo/owasp-taiwan mailing list]網頁， 
所有的活動討論與活動地點將透過這個清單來討論， 
您也可以從[http://lists.owasp.org/pipermail/owasp-taiwan/ email 討論備份]中找到我們之前討論的備份。

最後提醒您，參加活動前，請再次檢查您mailing list的信件以確定活動地點與時間，或是任何有關活動記錄的事項。

== OWASP台灣分會部落格 blog ==
需要一手資安情報，技術分析，市場資訊嗎？

歡迎常來 [http://www.owasp.org.tw/blog OWASP台灣分會部落格 blog]

[http://www.owasp.org.tw/blog http://www.owasp.org/images/d/da/OWASP_Banner_Blog.png]


== 如何加入會員 ==
歡迎免費加入OWASP Taiwan台灣分會！加入方式有三種，線上報名，email報名以及傳真報名：
工作同仁會持續通知所有會員有關OWASP最新活動資訊與座談會議程.

=== 線上報名 ===
請[http://www.owasp.org.tw/member/registration.php 按此填寫線上報名單]

=== Email報名 ===
請email：[mailto:info@owasp.org.tw info@owasp.org.tw]加入台灣分會,請註明下列資訊.
#姓名
#單位
#職稱
#電子郵件
#聯絡電話

=== 傳真報名 ===
請列印此報名表,填寫後傳真至(02)6616-1100即可.

[[Image:owasp_taiwan_opening.jpg|800px]]

== 近期消息 ==

*Web安全新聞:在2007年6月11日，iThome報導「[http://www.ithome.com.tw/itadm/article.php?c=43813 網站安全潰堤，不安全就沒顧客]」，深入追蹤Google搜尋引擎因應惡意網站之新措施，其搜尋結果會為有資安問題的網站貼上警告標籤，並阻止使用者直接瀏覽。

*OWASP台灣分會參展:在2007年4月16至18日，台北國際資安展(http://www.secutech.com/tw/is/index.asp) 隆重登場，OWASP台灣分會邀您蒞臨攤位A402與A404，即可獲得Web資安光碟一張，並親自動手體驗比滲透測試、弱點稽核等傳統資安檢測方式更為優異的自動源碼檢測技術。

*Web安全新聞:在2007年4月11日，iThome報導「[http://www.ithome.com.tw/itadm/article.php?c=42866 OWASP台灣分會成立會員免費招募中，盼助我國Web安全防護跟上國際趨勢]」。

*Web安全新聞:在2007年4月9日，蘋果日報報導台灣已有ESPN體育台等許多與民眾生活息息相關的二十七個官網，三月以來陸續遭駭客植入木馬後門，藉由軟體廠商尚無修補程式的「零時差攻擊」（Zero-Day Attack），無辜使用者只要連上網瀏覽，電腦就中獎，輕者帳號、密碼遭竊，身分被盜用；重者機敏資料外洩或財物損失。

*Web應用程式安全研討會:在2007年3月27至4月11日，行政院研考會與資通安全會報技服中心舉辦之[http://sid.iii.org.tw/96Q1_ISMS/ 政府資通安全防護巡迴研討會－資安發展趨勢及網路應用服務資訊安全]，歡迎政府機關(構)負責資通安全相關人員踴躍參加。NEW![https://www.owasp.org/images/b/b1/%E5%B7%A1%E8%BF%B4%E7%A0%94%E8%A8%8E%E6%9C%83%E8%AC%9B%E7%BE%A9_Web.pdf 研討會講義下載]

*Web安全新聞:在2007年3月21日，中國時報報導「上網最不安全國家，台灣高居第二」，由法務部調查局、刑事局等單位共同針對台灣網路安全進行觀察發現，台灣網路的資訊安全威脅，高居亞洲第二，僅次於中國。2007年初至今，平均每天都會發生5件駭客入侵事件。

*Web安全新聞:在2007年3月8日，東森新聞報導「台灣駭客攻擊事件四小龍之冠，90％銀行曾遭入侵」，然而許多企業都以沒有預算為由，不願意增加防護設備與人力，被駭客竄改入侵網頁，不瞭解背後嚴重的意義，網頁改回後，並沒有增加防護設備，甚至還有單一企業被駭連續高達82次。[http://www.ettoday.com/2007/03/08/339-2063921.htm 原新聞連結]

[[Image:Owasp taiwan first gathering.png]]

== 網站與Web服務的五大資安困境 ==
#IT人員不足
#缺乏資安領域專業知識
#功能性驗收為主
#缺乏自動化工具
#成本、效率導向專案模式不利確保專案品質

==最新2007年OWASP十大Web資安漏洞 (2007 OWASP Top 10)==
===十大Web資安漏洞列表===
*A1. 跨網站的入侵字串(Cross Site Scripting)：Web應用程式直接將來自使用者的執行請求送回瀏覽器執行，使得攻擊者可擷取使用者的Cookie或Session資料而能假冒直接登入為合法使用者。
*A2. 注入缺失(Injection Flaw)：Web應用程式執行來自外部包括資料庫在內的惡意指令，SQL Injection與Command Injection等攻擊包括在內。
*A3. 惡意檔案執行(Malicious File Execution)：Web應用程式引入來自外部的惡意檔案並執行檔案內容。
*A4. 不安全的物件參考(Insecure Direct Object Reference)：攻擊者利用Web應用程式本身的檔案讀取功能任意存取檔案或重要資料，案例包括http://example/read.php?file=../../../../../../../c:\boot.ini。
*A5. 跨網站的偽造要求 (Cross-Site Request Forgery，以下簡稱CSRF): 已登入Web應用程式的合法使用者執行到惡意的HTTP指令，但Web應用程式卻當成合法需求處理，使得惡意指令被正常執行，案例包括社交網站分享的 QuickTime、Flash影片中藏有惡意的HTTP請求。
*A6. 資訊揭露與不適當錯誤處置 (Information Leakage and Improper Error Handling)：Web應用程式的執行錯誤訊息包含敏感資料，案例包括:系統檔案路徑的揭露或資料庫欄位名稱。
*A7. 遭破壞的鑑別與連線管理(Broken Authentication and Session Management)：Web應用程式中自行撰寫的身分驗證相關功能有缺陷。
*A8. 不安全的密碼儲存器 (Insecure Cryptographic Storage)：Web應用程式沒有對敏感性資料使用加密、使用較弱的加密演算法或將金鑰儲存於容易被取得之處。
*A9. 不安全的通訊(Insecure Communication)：傳送敏感性資料時並未使用HTTPS或其他加密方式。
*A10. 疏於限制URL存取(Failure to Restrict URL Access)：某些網頁因為沒有權限控制，使得攻擊者可透過網址直接存取，案例包括允許直接修改Wiki或Blog網頁內容。

這次OWASP公布新版Top 10反映出目前的攻擊現況，以今年為例，Cross-Site Scripting(XSS)調整為10大攻擊之首，真實的反映出目前網路釣魚與詐欺的攻擊濫用XSS的情形，事實上，美國國防部的BSI計畫(Build-Security In,https://buildsecurityin.us-cert.gov/) 及Mitre研究機構的CVE資安脆弱性列表(http://cve.mitre.org/) 亦顯示1)Cross Site Scripting與2)SQL Injection已連續兩年列為全球頭號嚴重資安弱點.

===直接與程式碼安全品質有關===
*[必要*]A1. 跨網站的入侵字串(Cross Site Scripting)
*[必要*]A2. 注入缺失(Injection Flaw)
*[建議*]A3. 惡意檔案執行(Malicious File Execution)
*[建議*]A4. 不安全的物件參考(Insecure Direct Object Reference)
*[選擇*]A5. 跨網站的偽造要求 (Cross-Site Request Forgery)

<nowiki>*</nowiki>OWASP台灣分會強烈建議各單位在進行源碼檢測時，尤以政府機關(構)，應遵循政府資通安全作業規範(http://www.giscc.org.tw) 之「Web應用程式安全參考指引」，並將1與2列為必要檢測項目，3與4列為建議檢測項目，而5列為選擇檢測項目。

＊在實務案例上，檢測並修正1與2即可避免絕大多數的Web資安威脅。

===因上述漏洞間接造成或與Web伺服器及外部設定有關===
*Information Leakage and Improper Error Handling
*Broken Authentication and Session Management
*Insecure Cryptographic Storage
*Insecure Communications
*Failure to Restrict URL Access

== 會員列表 (Member List) ==
Coming up soon!

[http://www.owasp.org.tw http://www.owasp.org.tw/dot.png]

Taiwan

2008-02-06T00:22:07Z

Bensonwu: /* 十大Web資安漏洞列表 */

[[Image:OWASP_TW_Banner.png]]

歡迎加入OWASP台灣分會！「網站安全的第一步，從加入OWASP台灣分會開始」。

台灣分會會長[mailto:wayne@owasp.org.tw 黃耀文先生（Wayne Huang）]暨分會工作同仁衷心肯定您的參與，不管您在何處，甚至您僅曾留下網路足跡於台灣，感謝您願意跟大家一起分享，讓我們用更多不同的角度來檢視Web安全的趨勢、威脅、問題與解決方案。

== 歡迎光臨 OWASP 台灣分會 ==

== 最新活動 ==
=== [[Taiwan_OWASP_2007|第一屆OWASP官方亞洲年會(OWASP Asia 2007)]] ===
'''Security 3.0 in Web 2.0 Age — Practices and Challenges of Web 2.0 Security'''

[http://www.owasp.org/index.php/Taiwan_OWASP_2007 http://www.owasp.org/images/f/f7/Owasp_taiwan_2007small.png]

Whitehat Security、美國運通(American Express)、阿碼科技(Armorize)、Qualys等跨國企業與資安公司的高階主管與首席研究員齊聚台灣，您知道他們如何看待Web 2.0時代之 Security 3.0嗎？對台灣與全球的含意是什麼？我政府、企業與一般使用者又該如何因應？從下面這些2007年的資安界大新聞，透露著怎樣的訊息？
* 5月11日起，Google開始監控遭駭網站，並貼上危險網站之標籤!
* 5月15日月OWASP公佈2007年最新的十大Web弱點，跨站腳本攻擊(XSS)登上榜首!
* 6月6日IBM購併Watchfire，HP隨即於6月19日購併SPI Dynamics!而僅存的Cenzic以滲透測試技術於6月18日獲得美國專利!
* Web 2.0的資安威脅？因應之道？Security 3.0？成功的實務案例？
[[Taiwan_OWASP_2007|第一屆OWASP官方亞洲年會]]將於9月27日(週四)下午1點於台大醫院國際會議中心201室(台北市中正區徐州路二號)'''舉辦，歡迎您來共襄盛舉，滿載而歸![[Taiwan_OWASP_2007|還有更多...]]

=== [http://hitcon.org 第三屆台灣駭客年會(HIT 2007)] ===

[http://hitcon.org 第三屆台灣駭客年會(HIT 2007)]已於2007年7月21日(週六)至22日(週日)在國立臺灣科技大學公館校區圓滿落幕，活動盛況空前，詳情請見 HIT 2007 官方網站:
[http://hitcon.org http://www.owasp.org/images/b/b5/Owasp_taiwan_HIT-linkLOGO.gif] http://hitcon.org

== 歡迎您的參與 ==
加入OWASP台灣分會不需任何費用，會員資格完全開放給任何對於應用程式安全有興趣的人士，
我們鼓勵會員於OWASP台灣分會分享他們的知識並提供專題演講，
而在加入會員前，請您仔細閱讀[https://www.owasp.org/index.php/Chapter_Rules 分會會員手則]。
若要加入本分會的mailing list，請連結到[http://lists.owasp.org/mailman/listinfo/owasp-taiwan mailing list]網頁，
所有的活動討論與活動地點將透過這個清單來討論，
您也可以從[http://lists.owasp.org/pipermail/owasp-taiwan/ email 討論備份]中找到我們之前討論的備份。
最後提醒您，參加活動前，請再次檢查您mailing list的信件以確定活動地點與時間，或是任何有關活動記錄的事項。

== 有關OWASP (About OWASP) ==
OWASP(開放Web軟體安全計畫 - Open Web Application Security Project)是一個開放社群、非營利性組織，目前全球有82個分會近萬名會員，其主要目標是研議協助解決Web軟體安全之標準、工具與技術文件，長期致力於協助政府或企業瞭解並改善網頁應用程式與網頁服務的安全性。由於應用範圍日廣，網頁應用安全已經逐漸的受到重視，並漸漸成為在安全領域的一個熱門話題，在此同時，駭客們也悄悄的將焦點轉移到網頁應用程式開發時所會產生的弱點來進行攻擊與破壞。

美國聯邦貿易委員會(FTC)強烈建議所有企業需遵循OWASP所發佈的十大Web弱點防護守則、美國國防部亦列為最佳實務，國際信用卡資料安全技術PCI標準更將其列為必要元件。目前OWASP有30多個進行中的計畫，包括最知名的OWASP Top 10(十大Web弱點)、WebGoat(代罪羔羊)練習平台、安全PHP/Java/ASP.Net等計畫，針對不同的軟體安全問題在進行討論與研究。

當貴單位決定開放網頁服務時，就必須讓來自於全球的網頁請求進入單位內部的網頁伺服器。駭客可以藉由隱藏在合法的網頁請求內，通過防火牆、入侵偵測系統或其他防禦系統的偵測，堂而皇之的進入單位內部或藉由單位網站充當跳板與中繼站而向其他受害者發動攻擊。這意味著企業的網頁程式碼也必須成為機關(構)單位周邊的安全防護之一，當單位網頁服務的規模與複雜性增加時，單位暴露於外的風險也逐漸增加。

== OWASP 台灣分會 (OWASP Taiwan Chapter) ==
*網頁:http://www.owasp.org.tw
*電郵:info@owasp.org.tw
*群組:owasp-taiwan@lists.owasp.org
*住址:台北市115南港區三重路19-13號(南港軟體園區)E棟5樓554室

{{Chapter Template|chaptername=Taiwan|extra=The chapter leader is [mailto:wayne@owasp.org.tw Wayne Huang]|mailinglistsite=http://lists.owasp.org/mailman/listinfo/owasp-taiwan|emailarchives=http://lists.owasp.org/pipermail/owasp-taiwan}}

Chapter meetings are held several times a year, typically in the offices of our sponsor.

Please subscribe to the mailing list for meeting announcements.

Our chapter is sponsored by [http://www.armorize.com/?utm_source=OWASP%2BTW%2BMain&utm_medium=web Armorize Technologies].
感謝[http://www.armorize.com/?utm_source=OWASP%2BTW%2BMain&utm_medium=web 美商阿碼科技]提供會議茶水、食物與活動贊助!

== 免費加入OWASP台灣分會 ==



'''加入OWASP台灣分會不需任何費用，會員可享有：'''

1. 不定期由OWASP台灣分會發行之Web攻防CDROM，目前為V1.0，填妥入會資料後會由工作人員郵寄送達。V1.0 CDROM內容包括：

##OWASP-Taiwan-Web安全簡介投影片
##OWASP-Taiwan-2007年首份研討會講義
##OWASP-Taiwan-免費Web安全工具
##OWASP-Top10-最新十大Web弱點
##OWASP-代罪羔羊(WebGoat)工具(免下載)
##OWASP-Guide-參考指引計畫內容
##OWASP測試計畫內容

[http://www.owasp.org.tw/member/registration.php http://www.owasp.org/images/d/d9/OWASP-TW-2.jpg]

2. OWASP台灣分會電子報。

'''加入會員方法請見本頁下方''' '''[[#如何加入會員|如何加入會員]]'''

加入OWASP台灣分會不需任何費用，會員資格完全開放給任何對於應用程式安全有興趣的人士， 
我們鼓勵會員於OWASP台灣分會分享他們的知識並提供專題演講， 
而在加入會員前，請您仔細閱讀[https://www.owasp.org/index.php/Chapter_Rules 分會會員手則]。

若要加入本分會的mailing list，請連結到[http://lists.owasp.org/mailman/listinfo/owasp-taiwan mailing list]網頁， 
所有的活動討論與活動地點將透過這個清單來討論， 
您也可以從[http://lists.owasp.org/pipermail/owasp-taiwan/ email 討論備份]中找到我們之前討論的備份。

最後提醒您，參加活動前，請再次檢查您mailing list的信件以確定活動地點與時間，或是任何有關活動記錄的事項。

== OWASP台灣分會部落格 blog ==
需要一手資安情報，技術分析，市場資訊嗎？

歡迎常來 [http://www.owasp.org.tw/blog OWASP台灣分會部落格 blog]

[http://www.owasp.org.tw/blog http://www.owasp.org/images/d/da/OWASP_Banner_Blog.png]


== 如何加入會員 ==
歡迎免費加入OWASP Taiwan台灣分會！加入方式有三種，線上報名，email報名以及傳真報名：
工作同仁會持續通知所有會員有關OWASP最新活動資訊與座談會議程.

=== 線上報名 ===
請[http://www.owasp.org.tw/member/registration.php 按此填寫線上報名單]

=== Email報名 ===
請email：[mailto:info@owasp.org.tw info@owasp.org.tw]加入台灣分會,請註明下列資訊.
#姓名
#單位
#職稱
#電子郵件
#聯絡電話

=== 傳真報名 ===
請列印此報名表,填寫後傳真至(02)6616-1100即可.

[[Image:owasp_taiwan_opening.jpg|800px]]

== 近期消息 ==

*Web安全新聞:在2007年6月11日，iThome報導「[http://www.ithome.com.tw/itadm/article.php?c=43813 網站安全潰堤，不安全就沒顧客]」，深入追蹤Google搜尋引擎因應惡意網站之新措施，其搜尋結果會為有資安問題的網站貼上警告標籤，並阻止使用者直接瀏覽。

*OWASP台灣分會參展:在2007年4月16至18日，台北國際資安展(http://www.secutech.com/tw/is/index.asp) 隆重登場，OWASP台灣分會邀您蒞臨攤位A402與A404，即可獲得Web資安光碟一張，並親自動手體驗比滲透測試、弱點稽核等傳統資安檢測方式更為優異的自動源碼檢測技術。

*Web安全新聞:在2007年4月11日，iThome報導「[http://www.ithome.com.tw/itadm/article.php?c=42866 OWASP台灣分會成立會員免費招募中，盼助我國Web安全防護跟上國際趨勢]」。

*Web安全新聞:在2007年4月9日，蘋果日報報導台灣已有ESPN體育台等許多與民眾生活息息相關的二十七個官網，三月以來陸續遭駭客植入木馬後門，藉由軟體廠商尚無修補程式的「零時差攻擊」（Zero-Day Attack），無辜使用者只要連上網瀏覽，電腦就中獎，輕者帳號、密碼遭竊，身分被盜用；重者機敏資料外洩或財物損失。

*Web應用程式安全研討會:在2007年3月27至4月11日，行政院研考會與資通安全會報技服中心舉辦之[http://sid.iii.org.tw/96Q1_ISMS/ 政府資通安全防護巡迴研討會－資安發展趨勢及網路應用服務資訊安全]，歡迎政府機關(構)負責資通安全相關人員踴躍參加。NEW![https://www.owasp.org/images/b/b1/%E5%B7%A1%E8%BF%B4%E7%A0%94%E8%A8%8E%E6%9C%83%E8%AC%9B%E7%BE%A9_Web.pdf 研討會講義下載]

*Web安全新聞:在2007年3月21日，中國時報報導「上網最不安全國家，台灣高居第二」，由法務部調查局、刑事局等單位共同針對台灣網路安全進行觀察發現，台灣網路的資訊安全威脅，高居亞洲第二，僅次於中國。2007年初至今，平均每天都會發生5件駭客入侵事件。

*Web安全新聞:在2007年3月8日，東森新聞報導「台灣駭客攻擊事件四小龍之冠，90％銀行曾遭入侵」，然而許多企業都以沒有預算為由，不願意增加防護設備與人力，被駭客竄改入侵網頁，不瞭解背後嚴重的意義，網頁改回後，並沒有增加防護設備，甚至還有單一企業被駭連續高達82次。[http://www.ettoday.com/2007/03/08/339-2063921.htm 原新聞連結]

[[Image:Owasp taiwan first gathering.png]]

== 網站與Web服務的五大資安困境 ==
#IT人員不足
#缺乏資安領域專業知識
#功能性驗收為主
#缺乏自動化工具
#成本、效率導向專案模式不利確保專案品質

==最新2007年OWASP十大Web資安漏洞 (2007 OWASP Top 10)==
===十大Web資安漏洞列表===
*A1. 跨網站的入侵字串(Cross Site Scripting)：Web應用程式直接將來自使用者的執行請求送回瀏覽器執行，使得攻擊者可擷取使用者的Cookie或Session資料而能假冒直接登入為合法使用者。
*A2. 注入缺失(Injection Flaw)：Web應用程式執行來自外部包括資料庫在內的惡意指令，SQL Injection與Command Injection等攻擊包括在內。
*A3. 惡意檔案執行(Malicious File Execution)：Web應用程式引入來自外部的惡意檔案並執行檔案內容。
*A4. 不安全的物件參考(Insecure Direct Object Reference)：攻擊者利用Web應用程式本身的檔案讀取功能任意存取檔案或重要資料，案例包括http://example/read.php?file=../../../../../../../c:\boot.ini。
*A5. 跨網站的偽造要求 (Cross-Site Request Forgery，以下簡稱CSRF): 已登入Web應用程式的合法使用者執行到惡意的HTTP指令，但Web應用程式卻當成合法需求處理，使得惡意指令被正常執行，案例包括社交網站分享的 QuickTime、Flash影片中藏有惡意的HTTP請求。
*A6. 資訊揭露與不適當錯誤處置 (Information Leakage and Improper Error Handling)：Web應用程式的執行錯誤訊息包含敏感資料，案例包括:系統檔案路徑的揭露或資料庫欄位名稱。
*A7. 遭破壞的鑑別與連線管理(Broken Authentication and Session Management)：Web應用程式中自行撰寫的身分驗證相關功能有缺陷。
*A8. 不安全的密碼儲存器 (Insecure Cryptographic Storage)：Web應用程式沒有對敏感性資料使用加密、使用較弱的加密演算法或將金鑰儲存於容易被取得之處。
*A9. 不安全的通訊(Insecure Communication)：傳送敏感性資料時並未使用HTTPS或其他加密方式。
*A10. 疏於限制URL存取(Failure to Restrict URL Access)：某些網頁因為沒有權限控制，使得攻擊者可透過網址直接存取，案例包括允許直接修改Wiki或Blog網頁內容。

這次OWASP公布新版Top 10反映出目前的攻擊現況，以今年為例，Cross-Site Scripting(XSS)調整為10大攻擊之首，真實的反映出目前網路釣魚與詐欺的攻擊濫用XSS的情形，事實上，美國國防部的BSI計畫(Build-Security In,https://buildsecurityin.us-cert.gov/) 及Mitre研究機構的CVE資安脆弱性列表(http://cve.mitre.org/) 亦顯示1)Cross Site Scripting與2)SQL Injection已連續兩年列為全球頭號嚴重資安弱點.

===直接與程式碼安全品質有關===
*[必要*]Cross Site Scripting (XSS) – 跨站腳本攻擊(即XSS)
*[必要*]Injection Flaws – 注入弱點(如SQL Injection等資料隱碼攻擊)
*[建議*]Insecure Remote File Include – 不安全的遠端檔案匯入(如File Inclusion)
*[建議*]Insecure Direct Object Reference –不安全的物件參考(如File Injection)
*[選擇*]Cross Site Request Forgery (CSRF) – 跨站冒名請求(類似XSS破壞身份鑑別)
<nowiki>*</nowiki>OWASP台灣分會強烈建議各單位在進行源碼檢測時，尤以政府機關(構)，應遵循政府資通安全作業規範(http://www.giscc.org.tw) 之「Web應用程式安全參考指引」，並將1與2列為必要檢測項目，3與4列為建議檢測項目，而5列為選擇檢測項目。

＊在實務案例上，檢測並修正1與2即可避免絕大多數的Web資安威脅。

===因上述漏洞間接造成或與Web伺服器及外部設定有關===
*Information Leakage and Improper Error Handling
*Broken Authentication and Session Management
*Insecure Cryptographic Storage
*Insecure Communications
*Failure to Restrict URL Access

== 會員列表 (Member List) ==
Coming up soon!

[http://www.owasp.org.tw http://www.owasp.org.tw/dot.png]

OWASP AppSec Asia 2007

2007-09-20T06:53:49Z

Bensonwu: /* Dr. Jenn-Nan Chen (Chair, [http://www.tisc.org.tw/ TISC] Taiwan) (1:50pm-2:00pm) */

== The Official OWASP Asia Conference 2007 (OWASP Asia 2007)==

[[Image:owasp_appsec_asia_2007.jpg|800px]]

===Opening Keynote===
====Wayne Huang (Chair, OWASP Taiwan Chapter) (1:30pm-1:40pm)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''Bio''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

===Opening Remark===
====Dr. Ching-Chi Hsu (Vice President, [http://www.iii.org/ III] Taiwan) (1:40pm-1:50pm)====
[[Image:Hsu_III_VP.jpg|120px]]

'''Bio''': Dr. Hsu was a professor of the [http://www.csie.ntu.edu.tw/ Department of Information Engineering] of [http://www.ntu.edu.tw National Taiwan University] for several years and became the Chairman of the Department in 2000. After over 25 years serving at National Taiwan University, Dr. Hsu was promoted as the President of [http://www.knu.edu.tw/ Kai Nan University]. Nowadays, Dr. Hsu is the Executive Vice President of the [http://www.iii.org/ Institute for Information Industry], which provides the innovative R&D, software technologies and interoperability standards for Taiwan ICT industries on fostering development of the ICT industry.
<hr>

====David Chang (Secretary General, [http://www.cisanet.org.tw/ Information Service Industry Association of R.O.C (CISA)] Taiwan) (1:50pm-2:00pm)====

'''Bio''': N/A
<hr>

===Talk Session I: Changing Faces in Web Attacks===
====Jeremiah Grossman (Founder and CTO, WhiteHat Security) (2:00pm-2:30pm)====

'''Talk Title''': '''''The Next Challenge to Web Security: Business Logic Flaws'''''

'''Previous Talks''':BlackHat Briefings, Defcon, ISACA, CSI, OWASP, Vanguard, ISSA

'''Publications''':XSS Attacks

'''Bio''': N/A
<hr>

====Daniel Hsu (Manager Security Service - North East Asia, Global Security, American Express) (2:30pm-3:00pm)====
[http://www.owasp.org/images/d/dc/Daniel_Hsu.jpg http://www.owasp.org/images/d/dc/Daniel_Hsu.jpg]

'''Talk Title''': '''''From a user perspective, what are CSOs' real concerns?'''''

'''Previous Talks''': Asia Security Weeks, SecuTech Expo

'''Bio''': Daniel Hsu have been in corporate security professional field for over a decade. After his successful naval career, he has been the head and/or founder of the corporate security department for UPS (East Asia), FarEasTone Telecom (Corporate), Taipei 101 (Corporate) and American Express (North & East Asia). Daniel is a regular contributor and editorial advisor to several security professional magazines. He has his own column in Taiwan's ''Information Security Management'' magazine, and is the editor of the Chinese version ''Introduction to Security Management'' book. He is a veteran lecturer/speaker in several local and international security related conferences and seminars. He serves as the Chairperson of Taiwan Chapter, ASIS International since 2003. He has been elected and served as Steering Committee Member for Asia Crisis & Security Group since 2006. Daniel is the first Taiwanese who's been accredited the Certified Protection Professional (CPP) credential from ASIS International. Daniel holds MSc in Maritime Operations at LJMU, UK and EMBA in Risk Management at NCCU, Taiwan ROC. He is also a licensed naval engineer and airplane pilot.
<hr>

====Jack Yu (Editor-In-Chief, InfoSecurity Magazine Taiwan) (3:00pm-3:30pm)====

'''Talk Title''': '''''Live in Battle: The NetArmy and Cross-Straight Digital Warfare'''''

'''Bio''': N/A
<hr>

===Talk Session II: Current Best Practices and Solutions===
==== Mike Shema (Lead Security Researcher, Qualys) (4:00pm-4:30pm)====
[[Image:owasp_taiwan_mike.jpg|100px]]

'''Talk Title''': '''''Automated Tools: Are They Any Good for Enterprises?'''''

'''Previous Talks''':BlackHat 2004, RSA 2005, IT Underground 2006, and SACIS 2007. Training at BlackHat conferences in the U.S. and Europe

'''Publications''':Author of 9 best-selling books

[[Image:owasp_taiwan_mike1.jpg|100px]][[Image:owasp_taiwan_mike2.jpg|100px]][[Image:owasp_taiwan_mike3.jpg|100px]][[Image:owasp_taiwan_mike4.jpg|100px]][[Image:owasp_taiwan_mike5.jpg|100px]][[Image:owasp_taiwan_mike6.jpg|100px]][[Image:owasp_taiwan_mike7.png|100px]][[Image:owasp_taiwan_mike8.jpg|100px]][[Image:owasp_taiwan_mike9.jpg|100px]]

'''Bio''': Mr. Shema is the co-author of Hacking Exposed: Web Applications, The Anti-Hacker Toolkit, and the author of Hack Notes: Web Application Security. Mr. Shema worked for several years as a consultant and trainer at Foundstone where he conducted information security assessments across a variety of technologies and industries. He also worked at NT Objectives to develop assessment and mitigation strategies for all aspects of web application security. While his security background ranges across network penetration testing, wireless auditing, code review, and training, Mr. Shema primarily focuses on web application security. Mr. Shema is currently employed by Qualys, developing tools that automate the web application audit process.
<hr>

====Wayne Huang, (Founder and CEO, [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies])(4:30pm-5:00pm)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''Talk Title''': '''''Secure Web Developing using Static Analysis'''''

'''Previous Talks''': RSA, ACM/W3C WWW, IEEE DSN, IEEE ISSRE, Hacks in Taiwan

'''Publications''': Security in the 21st Century, Several IEEE/ACM papers

[[Image:owasp_taiwan_wayne1.jpg|100px]]

'''Bio''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

====Round Table Panel Discussion (5:00pm-5:30pm)====

===Free Registration===
Please email to [mailto:info@owasp.org.tw?subject=OWASP_Taiwan_Registration info@owasp.org.tw] and provide the following information:
#Name:
#Company:
#Title:
#Email:
#Phone:

===Venue===
[http://www.thcc.net.tw/ NTUH International Convention Center], Taipei, Taiwan

OWASP Asia 2007

2007-09-20T06:52:48Z

Bensonwu: /* 陳振楠 (中華軟協資安促進會會長、關貿網路總經理) */

== 第一屆OWASP亞洲年會 (OWASP Asia 2007) （完全免費）==
'''First OWASP Asia Conference 2007'''

[[Image:owasp_appsec_asia_2007.jpg|800px]]

OWASP破天荒將於台灣召開第一屆亞洲年會，將邀請國內外重量級專家齊聚一堂與會員分享與交流最新資安趨勢與實務案例。

「Web 2.0時代之Security 3.0 — 從實務經驗看Web資安防護之挑戰

* 2007年5月11日，Google開始監控遭駭網站，並貼上危險網站之標籤，政府及企業該如何應對？
* 2007年5月15日，OWASP公佈2007年最新的十大Web弱點，跨站腳本攻擊(XSS)登上榜首，對台灣及全球的含意為何？
* 2007年6月6日，IBM購併Watchfire，HP隨即於6月19日購併SPI Dynamics？為何在短短一個月內，重量級資訊巨人跨足資安產業？而僅存的Cenzic以滲透測試技術於6月18日甫獲美國專利，又將對產業有何影響？
* Web 2.0面臨哪些新的資安威脅？其因應之道是什麼？什麼是Security 3.0？又有哪些成功的實務案例？
<hr>
第一屆OWASP亞洲年會暨會員大會將在9月27日(週四)下午1點於台大醫院國際會議中心201室(台北市中正區徐州路二號)舉辦，由國內外知名專家一同與您探討Web安全，目前規劃演講者包含任職於國內外產、官、學的資安專家。

'''OWASP為國際非營利組織，參加此次活動係完全免費，會場寬敞明亮，備有舒適席次。'''

'''然由於場地限制，請儘速來信報名，會場僅可容納500人，還請包涵。'''

'''請各位欲參加之會員朋友，務必儘速來信報名參加。報名方式請見頁尾。'''

===OWASP台灣分會會長致詞===
====黃耀文(Wayne Huang) ([http://www.armorize.com/?utm_source=HIT&utm_medium=web 阿碼科技]創辦人兼執行長)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''簡介''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

===資策會貴賓致詞===
====許清琦 (資策會副執行長)====
[[Image:Hsu_III_VP.jpg|120px]]

'''簡介''': Dr. Hsu was a professor of the [http://www.csie.ntu.edu.tw/ Department of Information Engineering] of [http://www.ntu.edu.tw National Taiwan University] for several years and became the Chairman of the Department in 2000. After over 25 years serving at National Taiwan University, Dr. Hsu was promoted as the President of [http://www.knu.edu.tw/ Kai Nan University]. Nowadays, Dr. Hsu is the Executive Vice President of the [http://www.iii.org/ Institute for Information Industry], which provides the innovative R&D, software technologies and interoperability standards for Taiwan ICT industries on fostering development of the ICT industry.
<hr>

====張國鴻 ([http://www.cisanet.org.tw 中華民國資訊軟體協會]秘書長)====

'''Bio''': N/A
<hr>

===第一場時段講者(1:00pm-3:30pm)===
====Jeremiah Grossman (WhiteHat Security創辦人兼技術長、InfoWorld 2007年最傑出25位技術長)====

'''英文題目''': '''''The Next Challenge to Web Security: Business Logic Flaws'''''

'''中文題目''': '''''未來Web資安之大挑戰：邏輯漏洞（此演講於本會議做第一次公開！） '''''

'''國際演說''':BlackHat Briefings, Defcon, ISACA, CSI, OWASP, Vanguard, ISSA

'''暢銷書籍''':XSS Attacks

'''講者簡介''': N/A
<hr>

====Daniel Hsu, 徐子文 (美國運通全球安全部東北亞區安全經理、美國產業安全學會ASIS International台灣分會會長、亞洲危機暨安全合作組織執行委員會委員)====
[http://www.owasp.org/images/d/dc/Daniel_Hsu.jpg http://www.owasp.org/images/d/dc/Daniel_Hsu.jpg]

'''英文題目''': '''''From a user perspective, what are CSOs' real concerns?'''''

'''中文題目''': '''''從使用者的角度出發，企業的安全長要的是什麼？'''''

'''國際演說''': 亞洲安全週、國際安全科技博覽會(SecuTech Expo)

'''暢銷書籍''': 企業安全管理完全手冊

'''講者簡介''': N/A
<hr>

====Jack Yu, 余俊賢 (資安人雜誌主編)/Jeremy Chou, 邱銘彰 (艾克索夫實驗室創辦人兼技術長)====

'''英文題目''': '''''Live in Battle: The NetArmy and Cross-Straight Digital Warfare'''''

'''中文題目''': '''''決戰實況: 中國網軍與海峽兩岸資訊戰'''''

'''講者簡介''': N/A
<hr>

===第二場時段講者(3:30pm-5:00pm)===
==== Mike Shema (Qualys首席資安研究員)====
[[Image:owasp_taiwan_mike.jpg|100px]]

此場為英文演說，大會沒有提供同步口譯，還請見諒

'''英文題目''': '''''Automated Tools: Are They Any Good for Enterprises?'''''

'''中文題目''': '''''Web資安--企業如何有效利用自動工具？"'''''

'''國際演說''':BlackHat 2004, RSA 2005, IT Underground 2006, and SACIS 2007. Training at BlackHat conferences in the U.S. and Europe

'''暢銷書籍''':九本資安暢銷書籍之作者包括

[[Image:owasp_taiwan_mike1.jpg|100px]][[Image:owasp_taiwan_mike2.jpg|100px]][[Image:owasp_taiwan_mike3.jpg|100px]][[Image:owasp_taiwan_mike4.jpg|100px]][[Image:owasp_taiwan_mike5.jpg|100px]][[Image:owasp_taiwan_mike6.jpg|100px]][[Image:owasp_taiwan_mike7.png|100px]][[Image:owasp_taiwan_mike8.jpg|100px]][[Image:owasp_taiwan_mike9.jpg|100px]]

'''講者簡介''': Mr. Shema is the co-author of Hacking Exposed: Web Applications, The Anti-Hacker Toolkit, and the author of Hack Notes: Web Application Security. Mr. Shema worked for several years as a consultant and trainer at Foundstone where he conducted information security assessments across a variety of technologies and industries. He also worked at NT Objectives to develop assessment and mitigation strategies for all aspects of web application security. While his security background ranges across network penetration testing, wireless auditing, code review, and training, Mr. Shema primarily focuses on web application security. Mr. Shema is currently employed by Qualys, developing tools that automate the web application audit process.
<hr>

====Wayne Huang, 黃耀文 (OWASP台灣分會會長、[http://www.armorize.com/?utm_source=HIT&utm_medium=web 阿碼科技]創辦人兼執行長)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''英文題目''': '''''Secure Web Developing using Static Analysis'''''

'''中文題目''': '''''利用靜態檢測做好安全Web應用程式開發'''''

'''國際演說''': RSA, ACM/W3C WWW, IEEE DSN, IEEE ISSRE, Hacks in Taiwan

'''暢銷書籍''': Security in the 21st Century, 多篇頂尖IEEE/ACM國際論文

[[Image:owasp_taiwan_wayne1.jpg|100px]]

'''簡介''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

'''以上內容可能改變，請至OWASP台灣分會網頁獲得最新之詳盡會議資訊'''

'''OWASP為國際非營利組織，參加此次活動係完全免費，會場寬敞明亮，備有舒適席次(200名)。'''

'''然由於場地大小限制，席次僅提供來信報名者，同時請報名者於活動當天提早前往入席，還請包涵。'''

'''請各位欲參加之會員朋友，務必儘速來信報名參加。'''

===來信報名===
請email至[mailto:info@owasp.org.tw?subject=OWASP_Taiwan_Registration info@owasp.org.tw]，並註明下列資訊。
#中文姓名:
#英文姓名:
#單位:
#職稱:
#電子郵件:
#聯絡電話:
#免費加入OWASP台灣分會:(空白為願意加入，若不欲加入請填否)

'''鑑於報名人數踴躍，提醒各位務必準時報到以提早入席，目前大會仍並不強制安排座位，從12:30pm開始接受報到。'''

===會場位置===
台大醫院國際會議中心201廳

== 有關OWASP (About OWASP) ==
OWASP(開放Web軟體安全計畫 - Open Web Application Security Project)是一個開放社群、非營利性組織，目前全球有82個分會近萬名會員，其主要目標是研議協助解決Web軟體安全之標準、工具與技術文件，長期致力於協助政府或企業瞭解並改善網頁應用程式與網頁服務的安全性。由於應用範圍日廣，網頁應用安全已經逐漸的受到重視，並漸漸成為在安全領域的一個熱門話題，在此同時，駭客們也悄悄的將焦點轉移到網頁應用程式開發時所會產生的弱點來進行攻擊與破壞。

== OWASP 台灣分會 (OWASP Taiwan Chapter) ==
*[http://www.owasp.org.tw/?utm_source=HIT&utm_medium=web OWASP台灣分會網頁(http://www.owasp.org.tw)]
*電郵:info@owasp.org.tw
*群組:owasp-taiwan@lists.owasp.org
*住址:台北市115南港區三重路19-13號(南港軟體園區)E棟5樓554室

OWASP Asia 2007

2007-09-19T07:13:34Z

Bensonwu: /* Daniel Hsu, 徐子文 (美國運通全球安全部東北亞區安全經理、美國產業安全學會ASIS International台灣分會會長、亞洲危機暨安全合作組織執行委員會委員) */

== 第一屆OWASP亞洲年會 (OWASP Asia 2007) （完全免費）==
'''First OWASP Asia Conference 2007'''

[[Image:owasp_appsec_asia_2007.jpg|800px]]

OWASP破天荒將於台灣召開第一屆亞洲年會，將邀請國內外重量級專家齊聚一堂與會員分享與交流最新資安趨勢與實務案例。

「Web 2.0時代之Security 3.0 — 從實務經驗看Web資安防護之挑戰

* 2007年5月11日，Google開始監控遭駭網站，並貼上危險網站之標籤，政府及企業該如何應對？
* 2007年5月15日，OWASP公佈2007年最新的十大Web弱點，跨站腳本攻擊(XSS)登上榜首，對台灣及全球的含意為何？
* 2007年6月6日，IBM購併Watchfire，HP隨即於6月19日購併SPI Dynamics？為何在短短一個月內，重量級資訊巨人跨足資安產業？而僅存的Cenzic以滲透測試技術於6月18日甫獲美國專利，又將對產業有何影響？
* Web 2.0面臨哪些新的資安威脅？其因應之道是什麼？什麼是Security 3.0？又有哪些成功的實務案例？
<hr>
第一屆OWASP亞洲年會暨會員大會將在9月27日(週四)下午1點於台大醫院國際會議中心201室(台北市中正區徐州路二號)舉辦，由國內外知名專家一同與您探討Web安全，目前規劃演講者包含任職於國內外產、官、學的資安專家。

'''OWASP為國際非營利組織，參加此次活動係完全免費，會場寬敞明亮，備有舒適席次。'''

'''然由於場地限制，請儘速來信報名，會場僅可容納500人，還請包涵。'''

'''請各位欲參加之會員朋友，務必儘速來信報名參加。報名方式請見頁尾。'''

===OWASP台灣分會會長致詞===
====黃耀文(Wayne Huang) ([http://www.armorize.com/?utm_source=HIT&utm_medium=web 阿碼科技]創辦人兼執行長)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''簡介''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

===資策會貴賓致詞===
====許清琦 (資策會副執行長)====
[[Image:Hsu_III_VP.jpg|120px]]

'''簡介''': Dr. Hsu was a professor of the [http://www.csie.ntu.edu.tw/ Department of Information Engineering] of [http://www.ntu.edu.tw National Taiwan University] for several years and became the Chairman of the Department in 2000. After over 25 years serving at National Taiwan University, Dr. Hsu was promoted as the President of [http://www.knu.edu.tw/ Kai Nan University]. Nowadays, Dr. Hsu is the Executive Vice President of the [http://www.iii.org/ Institute for Information Industry], which provides the innovative R&D, software technologies and interoperability standards for Taiwan ICT industries on fostering development of the ICT industry.
<hr>

====陳振楠 (中華軟協資安促進會會長、關貿網路總經理)====
[http://www.owasp.org/images/0/04/Jn_chen_tradevan_s.jpg http://www.owasp.org/images/0/04/Jn_chen_tradevan_s.jpg]

'''Bio''': N/A
<hr>

===第一場時段講者(1:00pm-3:30pm)===
====Jeremiah Grossman (WhiteHat Security創辦人兼技術長、InfoWorld 2007年最傑出25位技術長)====

'''英文題目''': '''''The Next Challenge to Web Security: Business Logic Flaws'''''

'''中文題目''': '''''未來Web資安之大挑戰：邏輯漏洞（此演講於本會議做第一次公開！） '''''

'''國際演說''':BlackHat Briefings, Defcon, ISACA, CSI, OWASP, Vanguard, ISSA

'''暢銷書籍''':XSS Attacks

'''講者簡介''': N/A
<hr>

====Daniel Hsu, 徐子文 (美國運通全球安全部東北亞區安全經理、美國產業安全學會ASIS International台灣分會會長、亞洲危機暨安全合作組織執行委員會委員)====
[http://www.owasp.org/images/d/dc/Daniel_Hsu.jpg http://www.owasp.org/images/d/dc/Daniel_Hsu.jpg]

'''英文題目''': '''''From a user perspective, what are CSOs' real concerns?'''''

'''中文題目''': '''''從使用者的角度出發，企業的安全長要的是什麼？'''''

'''國際演說''': 亞洲安全週、國際安全科技博覽會(SecuTech Expo)

'''暢銷書籍''': 企業安全管理完全手冊

'''講者簡介''': N/A
<hr>

====Jack Yu, 余俊賢 (資安人雜誌主編)/Jeremy Chou, 邱銘彰 (艾克索夫實驗室創辦人兼技術長)====

'''英文題目''': '''''Live in Battle: The NetArmy and Cross-Straight Digital Warfare'''''

'''中文題目''': '''''決戰實況: 中國網軍與海峽兩岸資訊戰'''''

'''講者簡介''': N/A
<hr>

===第二場時段講者(3:30pm-5:00pm)===
==== Mike Shema (Qualys首席資安研究員)====
[[Image:owasp_taiwan_mike.jpg|100px]]

此場為英文演說，大會沒有提供同步口譯，還請見諒

'''英文題目''': '''''Automated Tools: Are They Any Good for Enterprises?'''''

'''中文題目''': '''''Web資安--企業如何有效利用自動工具？"'''''

'''國際演說''':BlackHat 2004, RSA 2005, IT Underground 2006, and SACIS 2007. Training at BlackHat conferences in the U.S. and Europe

'''暢銷書籍''':九本資安暢銷書籍之作者包括

[[Image:owasp_taiwan_mike1.jpg|100px]][[Image:owasp_taiwan_mike2.jpg|100px]][[Image:owasp_taiwan_mike3.jpg|100px]][[Image:owasp_taiwan_mike4.jpg|100px]][[Image:owasp_taiwan_mike5.jpg|100px]][[Image:owasp_taiwan_mike6.jpg|100px]][[Image:owasp_taiwan_mike7.png|100px]][[Image:owasp_taiwan_mike8.jpg|100px]][[Image:owasp_taiwan_mike9.jpg|100px]]

'''講者簡介''': Mr. Shema is the co-author of Hacking Exposed: Web Applications, The Anti-Hacker Toolkit, and the author of Hack Notes: Web Application Security. Mr. Shema worked for several years as a consultant and trainer at Foundstone where he conducted information security assessments across a variety of technologies and industries. He also worked at NT Objectives to develop assessment and mitigation strategies for all aspects of web application security. While his security background ranges across network penetration testing, wireless auditing, code review, and training, Mr. Shema primarily focuses on web application security. Mr. Shema is currently employed by Qualys, developing tools that automate the web application audit process.
<hr>

====Wayne Huang, 黃耀文 (OWASP台灣分會會長、[http://www.armorize.com/?utm_source=HIT&utm_medium=web 阿碼科技]創辦人兼執行長)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''英文題目''': '''''Secure Web Developing using Static Analysis'''''

'''中文題目''': '''''利用靜態檢測做好安全Web應用程式開發'''''

'''國際演說''': RSA, ACM/W3C WWW, IEEE DSN, IEEE ISSRE, Hacks in Taiwan

'''暢銷書籍''': Security in the 21st Century, 多篇頂尖IEEE/ACM國際論文

[[Image:owasp_taiwan_wayne1.jpg|100px]]

'''簡介''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

'''以上內容可能改變，請至OWASP台灣分會網頁獲得最新之詳盡會議資訊'''

'''OWASP為國際非營利組織，參加此次活動係完全免費，會場寬敞明亮，備有舒適席次(200名)。'''

'''然由於場地大小限制，席次僅提供來信報名者，同時請報名者於活動當天提早前往入席，還請包涵。'''

'''請各位欲參加之會員朋友，務必儘速來信報名參加。'''

===來信報名===
請email至[mailto:info@owasp.org.tw?subject=OWASP_Taiwan_Registration info@owasp.org.tw]，並註明下列資訊。
#中文姓名:
#英文姓名:
#單位:
#職稱:
#電子郵件:
#聯絡電話:
#免費加入OWASP台灣分會:(空白為願意加入，若不欲加入請填否)

'''鑑於報名人數踴躍，提醒各位務必準時報到以提早入席，目前大會仍並不強制安排座位，從12:30pm開始接受報到。'''

===會場位置===
台大醫院國際會議中心201廳

== 有關OWASP (About OWASP) ==
OWASP(開放Web軟體安全計畫 - Open Web Application Security Project)是一個開放社群、非營利性組織，目前全球有82個分會近萬名會員，其主要目標是研議協助解決Web軟體安全之標準、工具與技術文件，長期致力於協助政府或企業瞭解並改善網頁應用程式與網頁服務的安全性。由於應用範圍日廣，網頁應用安全已經逐漸的受到重視，並漸漸成為在安全領域的一個熱門話題，在此同時，駭客們也悄悄的將焦點轉移到網頁應用程式開發時所會產生的弱點來進行攻擊與破壞。

== OWASP 台灣分會 (OWASP Taiwan Chapter) ==
*[http://www.owasp.org.tw/?utm_source=HIT&utm_medium=web OWASP台灣分會網頁(http://www.owasp.org.tw)]
*電郵:info@owasp.org.tw
*群組:owasp-taiwan@lists.owasp.org
*住址:台北市115南港區三重路19-13號(南港軟體園區)E棟5樓554室

OWASP Asia 2007

2007-09-19T07:13:01Z

Bensonwu: /* 陳振楠 (中華軟協資安促進會會長、關貿網路總經理) */

== 第一屆OWASP亞洲年會 (OWASP Asia 2007) （完全免費）==
'''First OWASP Asia Conference 2007'''

[[Image:owasp_appsec_asia_2007.jpg|800px]]

OWASP破天荒將於台灣召開第一屆亞洲年會，將邀請國內外重量級專家齊聚一堂與會員分享與交流最新資安趨勢與實務案例。

「Web 2.0時代之Security 3.0 — 從實務經驗看Web資安防護之挑戰

* 2007年5月11日，Google開始監控遭駭網站，並貼上危險網站之標籤，政府及企業該如何應對？
* 2007年5月15日，OWASP公佈2007年最新的十大Web弱點，跨站腳本攻擊(XSS)登上榜首，對台灣及全球的含意為何？
* 2007年6月6日，IBM購併Watchfire，HP隨即於6月19日購併SPI Dynamics？為何在短短一個月內，重量級資訊巨人跨足資安產業？而僅存的Cenzic以滲透測試技術於6月18日甫獲美國專利，又將對產業有何影響？
* Web 2.0面臨哪些新的資安威脅？其因應之道是什麼？什麼是Security 3.0？又有哪些成功的實務案例？
<hr>
第一屆OWASP亞洲年會暨會員大會將在9月27日(週四)下午1點於台大醫院國際會議中心201室(台北市中正區徐州路二號)舉辦，由國內外知名專家一同與您探討Web安全，目前規劃演講者包含任職於國內外產、官、學的資安專家。

'''OWASP為國際非營利組織，參加此次活動係完全免費，會場寬敞明亮，備有舒適席次。'''

'''然由於場地限制，請儘速來信報名，會場僅可容納500人，還請包涵。'''

'''請各位欲參加之會員朋友，務必儘速來信報名參加。報名方式請見頁尾。'''

===OWASP台灣分會會長致詞===
====黃耀文(Wayne Huang) ([http://www.armorize.com/?utm_source=HIT&utm_medium=web 阿碼科技]創辦人兼執行長)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''簡介''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

===資策會貴賓致詞===
====許清琦 (資策會副執行長)====
[[Image:Hsu_III_VP.jpg|120px]]

'''簡介''': Dr. Hsu was a professor of the [http://www.csie.ntu.edu.tw/ Department of Information Engineering] of [http://www.ntu.edu.tw National Taiwan University] for several years and became the Chairman of the Department in 2000. After over 25 years serving at National Taiwan University, Dr. Hsu was promoted as the President of [http://www.knu.edu.tw/ Kai Nan University]. Nowadays, Dr. Hsu is the Executive Vice President of the [http://www.iii.org/ Institute for Information Industry], which provides the innovative R&D, software technologies and interoperability standards for Taiwan ICT industries on fostering development of the ICT industry.
<hr>

====陳振楠 (中華軟協資安促進會會長、關貿網路總經理)====
[http://www.owasp.org/images/0/04/Jn_chen_tradevan_s.jpg http://www.owasp.org/images/0/04/Jn_chen_tradevan_s.jpg]

'''Bio''': N/A
<hr>

===第一場時段講者(1:00pm-3:30pm)===
====Jeremiah Grossman (WhiteHat Security創辦人兼技術長、InfoWorld 2007年最傑出25位技術長)====

'''英文題目''': '''''The Next Challenge to Web Security: Business Logic Flaws'''''

'''中文題目''': '''''未來Web資安之大挑戰：邏輯漏洞（此演講於本會議做第一次公開！） '''''

'''國際演說''':BlackHat Briefings, Defcon, ISACA, CSI, OWASP, Vanguard, ISSA

'''暢銷書籍''':XSS Attacks

'''講者簡介''': N/A
<hr>

====Daniel Hsu, 徐子文 (美國運通全球安全部東北亞區安全經理、美國產業安全學會ASIS International台灣分會會長、亞洲危機暨安全合作組織執行委員會委員)====

'''英文題目''': '''''From a user perspective, what are CSOs' real concerns?'''''

'''中文題目''': '''''從使用者的角度出發，企業的安全長要的是什麼？'''''

'''國際演說''': 亞洲安全週、國際安全科技博覽會(SecuTech Expo)

'''暢銷書籍''': 企業安全管理完全手冊

'''講者簡介''': N/A
<hr>

====Jack Yu, 余俊賢 (資安人雜誌主編)/Jeremy Chou, 邱銘彰 (艾克索夫實驗室創辦人兼技術長)====

'''英文題目''': '''''Live in Battle: The NetArmy and Cross-Straight Digital Warfare'''''

'''中文題目''': '''''決戰實況: 中國網軍與海峽兩岸資訊戰'''''

'''講者簡介''': N/A
<hr>

===第二場時段講者(3:30pm-5:00pm)===
==== Mike Shema (Qualys首席資安研究員)====
[[Image:owasp_taiwan_mike.jpg|100px]]

此場為英文演說，大會沒有提供同步口譯，還請見諒

'''英文題目''': '''''Automated Tools: Are They Any Good for Enterprises?'''''

'''中文題目''': '''''Web資安--企業如何有效利用自動工具？"'''''

'''國際演說''':BlackHat 2004, RSA 2005, IT Underground 2006, and SACIS 2007. Training at BlackHat conferences in the U.S. and Europe

'''暢銷書籍''':九本資安暢銷書籍之作者包括

[[Image:owasp_taiwan_mike1.jpg|100px]][[Image:owasp_taiwan_mike2.jpg|100px]][[Image:owasp_taiwan_mike3.jpg|100px]][[Image:owasp_taiwan_mike4.jpg|100px]][[Image:owasp_taiwan_mike5.jpg|100px]][[Image:owasp_taiwan_mike6.jpg|100px]][[Image:owasp_taiwan_mike7.png|100px]][[Image:owasp_taiwan_mike8.jpg|100px]][[Image:owasp_taiwan_mike9.jpg|100px]]

'''講者簡介''': Mr. Shema is the co-author of Hacking Exposed: Web Applications, The Anti-Hacker Toolkit, and the author of Hack Notes: Web Application Security. Mr. Shema worked for several years as a consultant and trainer at Foundstone where he conducted information security assessments across a variety of technologies and industries. He also worked at NT Objectives to develop assessment and mitigation strategies for all aspects of web application security. While his security background ranges across network penetration testing, wireless auditing, code review, and training, Mr. Shema primarily focuses on web application security. Mr. Shema is currently employed by Qualys, developing tools that automate the web application audit process.
<hr>

====Wayne Huang, 黃耀文 (OWASP台灣分會會長、[http://www.armorize.com/?utm_source=HIT&utm_medium=web 阿碼科技]創辦人兼執行長)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''英文題目''': '''''Secure Web Developing using Static Analysis'''''

'''中文題目''': '''''利用靜態檢測做好安全Web應用程式開發'''''

'''國際演說''': RSA, ACM/W3C WWW, IEEE DSN, IEEE ISSRE, Hacks in Taiwan

'''暢銷書籍''': Security in the 21st Century, 多篇頂尖IEEE/ACM國際論文

[[Image:owasp_taiwan_wayne1.jpg|100px]]

'''簡介''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

'''以上內容可能改變，請至OWASP台灣分會網頁獲得最新之詳盡會議資訊'''

'''OWASP為國際非營利組織，參加此次活動係完全免費，會場寬敞明亮，備有舒適席次(200名)。'''

'''然由於場地大小限制，席次僅提供來信報名者，同時請報名者於活動當天提早前往入席，還請包涵。'''

'''請各位欲參加之會員朋友，務必儘速來信報名參加。'''

===來信報名===
請email至[mailto:info@owasp.org.tw?subject=OWASP_Taiwan_Registration info@owasp.org.tw]，並註明下列資訊。
#中文姓名:
#英文姓名:
#單位:
#職稱:
#電子郵件:
#聯絡電話:
#免費加入OWASP台灣分會:(空白為願意加入，若不欲加入請填否)

'''鑑於報名人數踴躍，提醒各位務必準時報到以提早入席，目前大會仍並不強制安排座位，從12:30pm開始接受報到。'''

===會場位置===
台大醫院國際會議中心201廳

== 有關OWASP (About OWASP) ==
OWASP(開放Web軟體安全計畫 - Open Web Application Security Project)是一個開放社群、非營利性組織，目前全球有82個分會近萬名會員，其主要目標是研議協助解決Web軟體安全之標準、工具與技術文件，長期致力於協助政府或企業瞭解並改善網頁應用程式與網頁服務的安全性。由於應用範圍日廣，網頁應用安全已經逐漸的受到重視，並漸漸成為在安全領域的一個熱門話題，在此同時，駭客們也悄悄的將焦點轉移到網頁應用程式開發時所會產生的弱點來進行攻擊與破壞。

== OWASP 台灣分會 (OWASP Taiwan Chapter) ==
*[http://www.owasp.org.tw/?utm_source=HIT&utm_medium=web OWASP台灣分會網頁(http://www.owasp.org.tw)]
*電郵:info@owasp.org.tw
*群組:owasp-taiwan@lists.owasp.org
*住址:台北市115南港區三重路19-13號(南港軟體園區)E棟5樓554室

OWASP AppSec Asia 2007

2007-09-19T07:11:32Z

Bensonwu: /* Dr. Jenn-Nan Chen (Chair, [http://www.tisc.org.tw/ TISC] Taiwan) (1:50pm-2:00pm) */

== The Official OWASP Asia Conference 2007 (OWASP Asia 2007)==

[[Image:owasp_appsec_asia_2007.jpg|800px]]

===Opening Keynote===
====Wayne Huang (Chair, OWASP Taiwan Chapter) (1:30pm-1:40pm)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''Bio''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

===Opening Remark===
====Dr. Ching-Chi Hsu (Vice President, [http://www.iii.org/ III] Taiwan) (1:40pm-1:50pm)====
[[Image:Hsu_III_VP.jpg|120px]]

'''Bio''': Dr. Hsu was a professor of the [http://www.csie.ntu.edu.tw/ Department of Information Engineering] of [http://www.ntu.edu.tw National Taiwan University] for several years and became the Chairman of the Department in 2000. After over 25 years serving at National Taiwan University, Dr. Hsu was promoted as the President of [http://www.knu.edu.tw/ Kai Nan University]. Nowadays, Dr. Hsu is the Executive Vice President of the [http://www.iii.org/ Institute for Information Industry], which provides the innovative R&D, software technologies and interoperability standards for Taiwan ICT industries on fostering development of the ICT industry.
<hr>

====Dr. Jenn-Nan Chen (Chair, [http://www.tisc.org.tw/ TISC] Taiwan) (1:50pm-2:00pm)====
[http://www.owasp.org/images/0/04/Jn_chen_tradevan_s.jpg http://www.owasp.org/images/0/04/Jn_chen_tradevan_s.jpg]

'''Bio''': N/A
<hr>

===Talk Session I: Changing Faces in Web Attacks===
====Jeremiah Grossman (Founder and CTO, WhiteHat Security) (2:00pm-2:30pm)====

'''Talk Title''': '''''The Next Challenge to Web Security: Business Logic Flaws'''''

'''Previous Talks''':BlackHat Briefings, Defcon, ISACA, CSI, OWASP, Vanguard, ISSA

'''Publications''':XSS Attacks

'''Bio''': N/A
<hr>

====Daniel Hsu (Manager Security Service - North East Asia, Global Security, American Express) (2:30pm-3:00pm)====
[http://www.owasp.org/images/d/dc/Daniel_Hsu.jpg http://www.owasp.org/images/d/dc/Daniel_Hsu.jpg]

'''Talk Title''': '''''From a user perspective, what are CSOs' real concerns?'''''

'''Previous Talks''': Asia Security Weeks, SecuTech Expo

'''Bio''': Daniel Hsu have been in corporate security professional field for over a decade. After his successful naval career, he has been the head and/or founder of the corporate security department for UPS (East Asia), FarEasTone Telecom (Corporate), Taipei 101 (Corporate) and American Express (North & East Asia). Daniel is a regular contributor and editorial advisor to several security professional magazines. He has his own column in Taiwan's ''Information Security Management'' magazine, and is the editor of the Chinese version ''Introduction to Security Management'' book. He is a veteran lecturer/speaker in several local and international security related conferences and seminars. He serves as the Chairperson of Taiwan Chapter, ASIS International since 2003. He has been elected and served as Steering Committee Member for Asia Crisis & Security Group since 2006. Daniel is the first Taiwanese who's been accredited the Certified Protection Professional (CPP) credential from ASIS International. Daniel holds MSc in Maritime Operations at LJMU, UK and EMBA in Risk Management at NCCU, Taiwan ROC. He is also a licensed naval engineer and airplane pilot.
<hr>

====Jack Yu (Editor-In-Chief, InfoSecurity Magazine Taiwan) (3:00pm-3:30pm)====

'''Talk Title''': '''''Live in Battle: The NetArmy and Cross-Straight Digital Warfare'''''

'''Bio''': N/A
<hr>

===Talk Session II: Current Best Practices and Solutions===
==== Mike Shema (Lead Security Researcher, Qualys) (4:00pm-4:30pm)====
[[Image:owasp_taiwan_mike.jpg|100px]]

'''Talk Title''': '''''Automated Tools: Are They Any Good for Enterprises?'''''

'''Previous Talks''':BlackHat 2004, RSA 2005, IT Underground 2006, and SACIS 2007. Training at BlackHat conferences in the U.S. and Europe

'''Publications''':Author of 9 best-selling books

[[Image:owasp_taiwan_mike1.jpg|100px]][[Image:owasp_taiwan_mike2.jpg|100px]][[Image:owasp_taiwan_mike3.jpg|100px]][[Image:owasp_taiwan_mike4.jpg|100px]][[Image:owasp_taiwan_mike5.jpg|100px]][[Image:owasp_taiwan_mike6.jpg|100px]][[Image:owasp_taiwan_mike7.png|100px]][[Image:owasp_taiwan_mike8.jpg|100px]][[Image:owasp_taiwan_mike9.jpg|100px]]

'''Bio''': Mr. Shema is the co-author of Hacking Exposed: Web Applications, The Anti-Hacker Toolkit, and the author of Hack Notes: Web Application Security. Mr. Shema worked for several years as a consultant and trainer at Foundstone where he conducted information security assessments across a variety of technologies and industries. He also worked at NT Objectives to develop assessment and mitigation strategies for all aspects of web application security. While his security background ranges across network penetration testing, wireless auditing, code review, and training, Mr. Shema primarily focuses on web application security. Mr. Shema is currently employed by Qualys, developing tools that automate the web application audit process.
<hr>

====Wayne Huang, (Founder and CEO, [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies])(4:30pm-5:00pm)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''Talk Title''': '''''Secure Web Developing using Static Analysis'''''

'''Previous Talks''': RSA, ACM/W3C WWW, IEEE DSN, IEEE ISSRE, Hacks in Taiwan

'''Publications''': Security in the 21st Century, Several IEEE/ACM papers

[[Image:owasp_taiwan_wayne1.jpg|100px]]

'''Bio''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

====Round Table Panel Discussion (5:00pm-5:30pm)====

===Free Registration===
Please email to [mailto:info@owasp.org.tw?subject=OWASP_Taiwan_Registration info@owasp.org.tw] and provide the following information:
#Name:
#Company:
#Title:
#Email:
#Phone:

===Venue===
[http://www.thcc.net.tw/ NTUH International Convention Center], Taipei, Taiwan

File:Jn chen tradevan s.jpg

2007-09-19T07:10:49Z

Bensonwu:

OWASP AppSec Asia 2007

2007-09-19T07:10:25Z

Bensonwu: /* Dr. Jenn-Nan Chen (Chair, [http://www.tisc.org.tw/ TISC] Taiwan) (1:50pm-2:00pm) */

== The Official OWASP Asia Conference 2007 (OWASP Asia 2007)==

[[Image:owasp_appsec_asia_2007.jpg|800px]]

===Opening Keynote===
====Wayne Huang (Chair, OWASP Taiwan Chapter) (1:30pm-1:40pm)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''Bio''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

===Opening Remark===
====Dr. Ching-Chi Hsu (Vice President, [http://www.iii.org/ III] Taiwan) (1:40pm-1:50pm)====
[[Image:Hsu_III_VP.jpg|120px]]

'''Bio''': Dr. Hsu was a professor of the [http://www.csie.ntu.edu.tw/ Department of Information Engineering] of [http://www.ntu.edu.tw National Taiwan University] for several years and became the Chairman of the Department in 2000. After over 25 years serving at National Taiwan University, Dr. Hsu was promoted as the President of [http://www.knu.edu.tw/ Kai Nan University]. Nowadays, Dr. Hsu is the Executive Vice President of the [http://www.iii.org/ Institute for Information Industry], which provides the innovative R&D, software technologies and interoperability standards for Taiwan ICT industries on fostering development of the ICT industry.
<hr>

====Dr. Jenn-Nan Chen (Chair, [http://www.tisc.org.tw/ TISC] Taiwan) (1:50pm-2:00pm)====
[[Image:jn_chen_tradevan_s.jpg]]

'''Bio''': N/A
<hr>

===Talk Session I: Changing Faces in Web Attacks===
====Jeremiah Grossman (Founder and CTO, WhiteHat Security) (2:00pm-2:30pm)====

'''Talk Title''': '''''The Next Challenge to Web Security: Business Logic Flaws'''''

'''Previous Talks''':BlackHat Briefings, Defcon, ISACA, CSI, OWASP, Vanguard, ISSA

'''Publications''':XSS Attacks

'''Bio''': N/A
<hr>

====Daniel Hsu (Manager Security Service - North East Asia, Global Security, American Express) (2:30pm-3:00pm)====
[http://www.owasp.org/images/d/dc/Daniel_Hsu.jpg http://www.owasp.org/images/d/dc/Daniel_Hsu.jpg]

'''Talk Title''': '''''From a user perspective, what are CSOs' real concerns?'''''

'''Previous Talks''': Asia Security Weeks, SecuTech Expo

'''Bio''': Daniel Hsu have been in corporate security professional field for over a decade. After his successful naval career, he has been the head and/or founder of the corporate security department for UPS (East Asia), FarEasTone Telecom (Corporate), Taipei 101 (Corporate) and American Express (North & East Asia). Daniel is a regular contributor and editorial advisor to several security professional magazines. He has his own column in Taiwan's ''Information Security Management'' magazine, and is the editor of the Chinese version ''Introduction to Security Management'' book. He is a veteran lecturer/speaker in several local and international security related conferences and seminars. He serves as the Chairperson of Taiwan Chapter, ASIS International since 2003. He has been elected and served as Steering Committee Member for Asia Crisis & Security Group since 2006. Daniel is the first Taiwanese who's been accredited the Certified Protection Professional (CPP) credential from ASIS International. Daniel holds MSc in Maritime Operations at LJMU, UK and EMBA in Risk Management at NCCU, Taiwan ROC. He is also a licensed naval engineer and airplane pilot.
<hr>

====Jack Yu (Editor-In-Chief, InfoSecurity Magazine Taiwan) (3:00pm-3:30pm)====

'''Talk Title''': '''''Live in Battle: The NetArmy and Cross-Straight Digital Warfare'''''

'''Bio''': N/A
<hr>

===Talk Session II: Current Best Practices and Solutions===
==== Mike Shema (Lead Security Researcher, Qualys) (4:00pm-4:30pm)====
[[Image:owasp_taiwan_mike.jpg|100px]]

'''Talk Title''': '''''Automated Tools: Are They Any Good for Enterprises?'''''

'''Previous Talks''':BlackHat 2004, RSA 2005, IT Underground 2006, and SACIS 2007. Training at BlackHat conferences in the U.S. and Europe

'''Publications''':Author of 9 best-selling books

[[Image:owasp_taiwan_mike1.jpg|100px]][[Image:owasp_taiwan_mike2.jpg|100px]][[Image:owasp_taiwan_mike3.jpg|100px]][[Image:owasp_taiwan_mike4.jpg|100px]][[Image:owasp_taiwan_mike5.jpg|100px]][[Image:owasp_taiwan_mike6.jpg|100px]][[Image:owasp_taiwan_mike7.png|100px]][[Image:owasp_taiwan_mike8.jpg|100px]][[Image:owasp_taiwan_mike9.jpg|100px]]

'''Bio''': Mr. Shema is the co-author of Hacking Exposed: Web Applications, The Anti-Hacker Toolkit, and the author of Hack Notes: Web Application Security. Mr. Shema worked for several years as a consultant and trainer at Foundstone where he conducted information security assessments across a variety of technologies and industries. He also worked at NT Objectives to develop assessment and mitigation strategies for all aspects of web application security. While his security background ranges across network penetration testing, wireless auditing, code review, and training, Mr. Shema primarily focuses on web application security. Mr. Shema is currently employed by Qualys, developing tools that automate the web application audit process.
<hr>

====Wayne Huang, (Founder and CEO, [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies])(4:30pm-5:00pm)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''Talk Title''': '''''Secure Web Developing using Static Analysis'''''

'''Previous Talks''': RSA, ACM/W3C WWW, IEEE DSN, IEEE ISSRE, Hacks in Taiwan

'''Publications''': Security in the 21st Century, Several IEEE/ACM papers

[[Image:owasp_taiwan_wayne1.jpg|100px]]

'''Bio''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

====Round Table Panel Discussion (5:00pm-5:30pm)====

===Free Registration===
Please email to [mailto:info@owasp.org.tw?subject=OWASP_Taiwan_Registration info@owasp.org.tw] and provide the following information:
#Name:
#Company:
#Title:
#Email:
#Phone:

===Venue===
[http://www.thcc.net.tw/ NTUH International Convention Center], Taipei, Taiwan

OWASP AppSec Asia 2007

2007-09-19T07:05:33Z

Bensonwu: /* Opening Remark */

== The Official OWASP Asia Conference 2007 (OWASP Asia 2007)==

[[Image:owasp_appsec_asia_2007.jpg|800px]]

===Opening Keynote===
====Wayne Huang (Chair, OWASP Taiwan Chapter) (1:30pm-1:40pm)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''Bio''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

===Opening Remark===
====Dr. Ching-Chi Hsu (Vice President, [http://www.iii.org/ III] Taiwan) (1:40pm-1:50pm)====
[[Image:Hsu_III_VP.jpg|120px]]

'''Bio''': Dr. Hsu was a professor of the [http://www.csie.ntu.edu.tw/ Department of Information Engineering] of [http://www.ntu.edu.tw National Taiwan University] for several years and became the Chairman of the Department in 2000. After over 25 years serving at National Taiwan University, Dr. Hsu was promoted as the President of [http://www.knu.edu.tw/ Kai Nan University]. Nowadays, Dr. Hsu is the Executive Vice President of the [http://www.iii.org/ Institute for Information Industry], which provides the innovative R&D, software technologies and interoperability standards for Taiwan ICT industries on fostering development of the ICT industry.
<hr>

====Dr. Jenn-Nan Chen (Chair, [http://www.tisc.org.tw/ TISC] Taiwan) (1:50pm-2:00pm)====

'''Bio''': N/A
<hr>

===Talk Session I: Changing Faces in Web Attacks===
====Jeremiah Grossman (Founder and CTO, WhiteHat Security) (2:00pm-2:30pm)====

'''Talk Title''': '''''The Next Challenge to Web Security: Business Logic Flaws'''''

'''Previous Talks''':BlackHat Briefings, Defcon, ISACA, CSI, OWASP, Vanguard, ISSA

'''Publications''':XSS Attacks

'''Bio''': N/A
<hr>

====Daniel Hsu (Manager Security Service - North East Asia, Global Security, American Express) (2:30pm-3:00pm)====
[http://www.owasp.org/images/d/dc/Daniel_Hsu.jpg http://www.owasp.org/images/d/dc/Daniel_Hsu.jpg]

'''Talk Title''': '''''From a user perspective, what are CSOs' real concerns?'''''

'''Previous Talks''': Asia Security Weeks, SecuTech Expo

'''Bio''': Daniel Hsu have been in corporate security professional field for over a decade. After his successful naval career, he has been the head and/or founder of the corporate security department for UPS (East Asia), FarEasTone Telecom (Corporate), Taipei 101 (Corporate) and American Express (North & East Asia). Daniel is a regular contributor and editorial advisor to several security professional magazines. He has his own column in Taiwan's ''Information Security Management'' magazine, and is the editor of the Chinese version ''Introduction to Security Management'' book. He is a veteran lecturer/speaker in several local and international security related conferences and seminars. He serves as the Chairperson of Taiwan Chapter, ASIS International since 2003. He has been elected and served as Steering Committee Member for Asia Crisis & Security Group since 2006. Daniel is the first Taiwanese who's been accredited the Certified Protection Professional (CPP) credential from ASIS International. Daniel holds MSc in Maritime Operations at LJMU, UK and EMBA in Risk Management at NCCU, Taiwan ROC. He is also a licensed naval engineer and airplane pilot.
<hr>

====Jack Yu (Editor-In-Chief, InfoSecurity Magazine Taiwan) (3:00pm-3:30pm)====

'''Talk Title''': '''''Live in Battle: The NetArmy and Cross-Straight Digital Warfare'''''

'''Bio''': N/A
<hr>

===Talk Session II: Current Best Practices and Solutions===
==== Mike Shema (Lead Security Researcher, Qualys) (4:00pm-4:30pm)====
[[Image:owasp_taiwan_mike.jpg|100px]]

'''Talk Title''': '''''Automated Tools: Are They Any Good for Enterprises?'''''

'''Previous Talks''':BlackHat 2004, RSA 2005, IT Underground 2006, and SACIS 2007. Training at BlackHat conferences in the U.S. and Europe

'''Publications''':Author of 9 best-selling books

[[Image:owasp_taiwan_mike1.jpg|100px]][[Image:owasp_taiwan_mike2.jpg|100px]][[Image:owasp_taiwan_mike3.jpg|100px]][[Image:owasp_taiwan_mike4.jpg|100px]][[Image:owasp_taiwan_mike5.jpg|100px]][[Image:owasp_taiwan_mike6.jpg|100px]][[Image:owasp_taiwan_mike7.png|100px]][[Image:owasp_taiwan_mike8.jpg|100px]][[Image:owasp_taiwan_mike9.jpg|100px]]

'''Bio''': Mr. Shema is the co-author of Hacking Exposed: Web Applications, The Anti-Hacker Toolkit, and the author of Hack Notes: Web Application Security. Mr. Shema worked for several years as a consultant and trainer at Foundstone where he conducted information security assessments across a variety of technologies and industries. He also worked at NT Objectives to develop assessment and mitigation strategies for all aspects of web application security. While his security background ranges across network penetration testing, wireless auditing, code review, and training, Mr. Shema primarily focuses on web application security. Mr. Shema is currently employed by Qualys, developing tools that automate the web application audit process.
<hr>

====Wayne Huang, (Founder and CEO, [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies])(4:30pm-5:00pm)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''Talk Title''': '''''Secure Web Developing using Static Analysis'''''

'''Previous Talks''': RSA, ACM/W3C WWW, IEEE DSN, IEEE ISSRE, Hacks in Taiwan

'''Publications''': Security in the 21st Century, Several IEEE/ACM papers

[[Image:owasp_taiwan_wayne1.jpg|100px]]

'''Bio''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

====Round Table Panel Discussion (5:00pm-5:30pm)====

===Free Registration===
Please email to [mailto:info@owasp.org.tw?subject=OWASP_Taiwan_Registration info@owasp.org.tw] and provide the following information:
#Name:
#Company:
#Title:
#Email:
#Phone:

===Venue===
[http://www.thcc.net.tw/ NTUH International Convention Center], Taipei, Taiwan

OWASP AppSec Asia 2007

2007-09-19T07:01:21Z

Bensonwu:

== The Official OWASP Asia Conference 2007 (OWASP Asia 2007)==

[[Image:owasp_appsec_asia_2007.jpg|800px]]

===Opening Keynote===
====Wayne Huang (Chair, OWASP Taiwan Chapter) (1:30pm-1:40pm)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''Bio''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

===Opening Remark===
====Dr. Ching-Chi Hsu (Vice President, [http://www.iii.org/ III] Taiwan) (1:40pm-1:50pm)====
[[Image:Hsu_III_VP.jpg|120px]]

'''Bio''': Dr. Hsu was a professor of the [http://www.csie.ntu.edu.tw/ Department of Information Engineering] of [http://www.ntu.edu.tw National Taiwan University] for several years and became the Chairman of the Department in 2000. After over 25 years serving at National Taiwan University, Dr. Hsu was promoted as the President of [http://www.knu.edu.tw/ Kai Nan University]. Nowadays, Dr. Hsu is the Executive Vice President of the [http://www.iii.org/ Institute for Information Industry], which provides the innovative R&D, software technologies and interoperability standards for Taiwan ICT industries on fostering development of the ICT industry.
<hr>

===Talk Session I: Changing Faces in Web Attacks===
====Jeremiah Grossman (Founder and CTO, WhiteHat Security) (2:00pm-2:30pm)====

'''Talk Title''': '''''The Next Challenge to Web Security: Business Logic Flaws'''''

'''Previous Talks''':BlackHat Briefings, Defcon, ISACA, CSI, OWASP, Vanguard, ISSA

'''Publications''':XSS Attacks

'''Bio''': N/A
<hr>

====Daniel Hsu (Manager Security Service - North East Asia, Global Security, American Express) (2:30pm-3:00pm)====
[http://www.owasp.org/images/d/dc/Daniel_Hsu.jpg http://www.owasp.org/images/d/dc/Daniel_Hsu.jpg]

'''Talk Title''': '''''From a user perspective, what are CSOs' real concerns?'''''

'''Previous Talks''': Asia Security Weeks, SecuTech Expo

'''Bio''': Daniel Hsu have been in corporate security professional field for over a decade. After his successful naval career, he has been the head and/or founder of the corporate security department for UPS (East Asia), FarEasTone Telecom (Corporate), Taipei 101 (Corporate) and American Express (North & East Asia). Daniel is a regular contributor and editorial advisor to several security professional magazines. He has his own column in Taiwan's ''Information Security Management'' magazine, and is the editor of the Chinese version ''Introduction to Security Management'' book. He is a veteran lecturer/speaker in several local and international security related conferences and seminars. He serves as the Chairperson of Taiwan Chapter, ASIS International since 2003. He has been elected and served as Steering Committee Member for Asia Crisis & Security Group since 2006. Daniel is the first Taiwanese who's been accredited the Certified Protection Professional (CPP) credential from ASIS International. Daniel holds MSc in Maritime Operations at LJMU, UK and EMBA in Risk Management at NCCU, Taiwan ROC. He is also a licensed naval engineer and airplane pilot.
<hr>

====Jack Yu (Editor-In-Chief, InfoSecurity Magazine Taiwan) (3:00pm-3:30pm)====

'''Talk Title''': '''''Live in Battle: The NetArmy and Cross-Straight Digital Warfare'''''

'''Bio''': N/A
<hr>

===Talk Session II: Current Best Practices and Solutions===
==== Mike Shema (Lead Security Researcher, Qualys) (4:00pm-4:30pm)====
[[Image:owasp_taiwan_mike.jpg|100px]]

'''Talk Title''': '''''Automated Tools: Are They Any Good for Enterprises?'''''

'''Previous Talks''':BlackHat 2004, RSA 2005, IT Underground 2006, and SACIS 2007. Training at BlackHat conferences in the U.S. and Europe

'''Publications''':Author of 9 best-selling books

[[Image:owasp_taiwan_mike1.jpg|100px]][[Image:owasp_taiwan_mike2.jpg|100px]][[Image:owasp_taiwan_mike3.jpg|100px]][[Image:owasp_taiwan_mike4.jpg|100px]][[Image:owasp_taiwan_mike5.jpg|100px]][[Image:owasp_taiwan_mike6.jpg|100px]][[Image:owasp_taiwan_mike7.png|100px]][[Image:owasp_taiwan_mike8.jpg|100px]][[Image:owasp_taiwan_mike9.jpg|100px]]

'''Bio''': Mr. Shema is the co-author of Hacking Exposed: Web Applications, The Anti-Hacker Toolkit, and the author of Hack Notes: Web Application Security. Mr. Shema worked for several years as a consultant and trainer at Foundstone where he conducted information security assessments across a variety of technologies and industries. He also worked at NT Objectives to develop assessment and mitigation strategies for all aspects of web application security. While his security background ranges across network penetration testing, wireless auditing, code review, and training, Mr. Shema primarily focuses on web application security. Mr. Shema is currently employed by Qualys, developing tools that automate the web application audit process.
<hr>

====Wayne Huang, (Founder and CEO, [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies])(4:30pm-5:00pm)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''Talk Title''': '''''Secure Web Developing using Static Analysis'''''

'''Previous Talks''': RSA, ACM/W3C WWW, IEEE DSN, IEEE ISSRE, Hacks in Taiwan

'''Publications''': Security in the 21st Century, Several IEEE/ACM papers

[[Image:owasp_taiwan_wayne1.jpg|100px]]

'''Bio''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

====Round Table Panel Discussion (5:00pm-5:30pm)====

===Free Registration===
Please email to [mailto:info@owasp.org.tw?subject=OWASP_Taiwan_Registration info@owasp.org.tw] and provide the following information:
#Name:
#Company:
#Title:
#Email:
#Phone:

===Venue===
[http://www.thcc.net.tw/ NTUH International Convention Center], Taipei, Taiwan

File:Daniel Hsu.jpg

2007-09-19T07:00:30Z

Bensonwu: uploaded a new version of "Image:Daniel Hsu.jpg"

OWASP AppSec Asia 2007

2007-09-19T06:58:16Z

Bensonwu: /* Daniel Hsu (Manager Security Service - North East Asia, Global Security, American Express) (2:30pm-3:00pm) */

== The Official OWASP Asia Conference 2007 (OWASP Asia 2007)==

[[Image:owasp_appsec_asia_2007.jpg|800px]]

===Opening Keynote===
====Wayne Huang (Chair, OWASP Taiwan Chapter) (1:30pm-1:40pm)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''Bio''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

===Opening Remark===
====Dr. Ching-Chi Hsu (Vice President, [http://www.iii.org/ III] Taiwan) (1:40pm-1:50pm)====
[[Image:Hsu_III_VP.jpg|120px]]

'''Bio''': Dr. Hsu was a professor of the [http://www.csie.ntu.edu.tw/ Department of Information Engineering] of [http://www.ntu.edu.tw National Taiwan University] for several years and became the Chairman of the Department in 2000. After over 25 years serving at National Taiwan University, Dr. Hsu was promoted as the President of [http://www.knu.edu.tw/ Kai Nan University]. Nowadays, Dr. Hsu is the Executive Vice President of the [http://www.iii.org/ Institute for Information Industry], which provides the innovative R&D, software technologies and interoperability standards for Taiwan ICT industries on fostering development of the ICT industry.
<hr>

===Talk Session I: Changing Faces in Web Attacks===
====Jeremiah Grossman (Founder and CTO, WhiteHat Security) (2:00pm-2:30pm)====

'''Talk Title''': '''''The Next Challenge to Web Security: Business Logic Flaws'''''

'''Previous Talks''':BlackHat Briefings, Defcon, ISACA, CSI, OWASP, Vanguard, ISSA

'''Publications''':XSS Attacks

'''Bio''': N/A
<hr>

====Daniel Hsu (Manager Security Service - North East Asia, Global Security, American Express) (2:30pm-3:00pm)====
[http://www.owasp.org/images/d/dc/Daniel_Hsu.jpg]

'''Talk Title''': '''''From a user perspective, what are CSOs' real concerns?'''''

'''Previous Talks''': Asia Security Weeks, SecuTech Expo

'''Bio''': Daniel Hsu have been in corporate security professional field for over a decade. After his successful naval career, he has been the head and/or founder of the corporate security department for UPS (East Asia), FarEasTone Telecom (Corporate), Taipei 101 (Corporate) and American Express (North & East Asia). Daniel is a regular contributor and editorial advisor to several security professional magazines. He has his own column in Taiwan's ''Information Security Management'' magazine, and is the editor of the Chinese version ''Introduction to Security Management'' book. He is a veteran lecturer/speaker in several local and international security related conferences and seminars. He serves as the Chairperson of Taiwan Chapter, ASIS International since 2003. He has been elected and served as Steering Committee Member for Asia Crisis & Security Group since 2006. Daniel is the first Taiwanese who's been accredited the Certified Protection Professional (CPP) credential from ASIS International. Daniel holds MSc in Maritime Operations at LJMU, UK and EMBA in Risk Management at NCCU, Taiwan ROC. He is also a licensed naval engineer and airplane pilot.
<hr>

====Jack Yu (Editor-In-Chief, InfoSecurity Magazine Taiwan) (3:00pm-3:30pm)====

'''Talk Title''': '''''Live in Battle: The NetArmy and Cross-Straight Digital Warfare'''''

'''Bio''': N/A
<hr>

===Talk Session II: Current Best Practices and Solutions===
==== Mike Shema (Lead Security Researcher, Qualys) (4:00pm-4:30pm)====
[[Image:owasp_taiwan_mike.jpg|100px]]

'''Talk Title''': '''''Automated Tools: Are They Any Good for Enterprises?'''''

'''Previous Talks''':BlackHat 2004, RSA 2005, IT Underground 2006, and SACIS 2007. Training at BlackHat conferences in the U.S. and Europe

'''Publications''':Author of 9 best-selling books

[[Image:owasp_taiwan_mike1.jpg|100px]][[Image:owasp_taiwan_mike2.jpg|100px]][[Image:owasp_taiwan_mike3.jpg|100px]][[Image:owasp_taiwan_mike4.jpg|100px]][[Image:owasp_taiwan_mike5.jpg|100px]][[Image:owasp_taiwan_mike6.jpg|100px]][[Image:owasp_taiwan_mike7.png|100px]][[Image:owasp_taiwan_mike8.jpg|100px]][[Image:owasp_taiwan_mike9.jpg|100px]]

'''Bio''': Mr. Shema is the co-author of Hacking Exposed: Web Applications, The Anti-Hacker Toolkit, and the author of Hack Notes: Web Application Security. Mr. Shema worked for several years as a consultant and trainer at Foundstone where he conducted information security assessments across a variety of technologies and industries. He also worked at NT Objectives to develop assessment and mitigation strategies for all aspects of web application security. While his security background ranges across network penetration testing, wireless auditing, code review, and training, Mr. Shema primarily focuses on web application security. Mr. Shema is currently employed by Qualys, developing tools that automate the web application audit process.
<hr>

====Wayne Huang, (Founder and CEO, [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies])(4:30pm-5:00pm)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''Talk Title''': '''''Secure Web Developing using Static Analysis'''''

'''Previous Talks''': RSA, ACM/W3C WWW, IEEE DSN, IEEE ISSRE, Hacks in Taiwan

'''Publications''': Security in the 21st Century, Several IEEE/ACM papers

[[Image:owasp_taiwan_wayne1.jpg|100px]]

'''Bio''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

====Round Table Panel Discussion (5:00pm-5:30pm)====

===Free Registration===
Please email to [mailto:info@owasp.org.tw?subject=OWASP_Taiwan_Registration info@owasp.org.tw] and provide the following information:
#Name:
#Company:
#Title:
#Email:
#Phone:

===Venue===
[http://www.thcc.net.tw/ NTUH International Convention Center], Taipei, Taiwan

OWASP AppSec Asia 2007

2007-09-19T06:58:01Z

Bensonwu: /* Daniel Hsu (Manager Security Service - North East Asia, Global Security, American Express) (2:30pm-3:00pm) */

== The Official OWASP Asia Conference 2007 (OWASP Asia 2007)==

[[Image:owasp_appsec_asia_2007.jpg|800px]]

===Opening Keynote===
====Wayne Huang (Chair, OWASP Taiwan Chapter) (1:30pm-1:40pm)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''Bio''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

===Opening Remark===
====Dr. Ching-Chi Hsu (Vice President, [http://www.iii.org/ III] Taiwan) (1:40pm-1:50pm)====
[[Image:Hsu_III_VP.jpg|120px]]

'''Bio''': Dr. Hsu was a professor of the [http://www.csie.ntu.edu.tw/ Department of Information Engineering] of [http://www.ntu.edu.tw National Taiwan University] for several years and became the Chairman of the Department in 2000. After over 25 years serving at National Taiwan University, Dr. Hsu was promoted as the President of [http://www.knu.edu.tw/ Kai Nan University]. Nowadays, Dr. Hsu is the Executive Vice President of the [http://www.iii.org/ Institute for Information Industry], which provides the innovative R&D, software technologies and interoperability standards for Taiwan ICT industries on fostering development of the ICT industry.
<hr>

===Talk Session I: Changing Faces in Web Attacks===
====Jeremiah Grossman (Founder and CTO, WhiteHat Security) (2:00pm-2:30pm)====

'''Talk Title''': '''''The Next Challenge to Web Security: Business Logic Flaws'''''

'''Previous Talks''':BlackHat Briefings, Defcon, ISACA, CSI, OWASP, Vanguard, ISSA

'''Publications''':XSS Attacks

'''Bio''': N/A
<hr>

====Daniel Hsu (Manager Security Service - North East Asia, Global Security, American Express) (2:30pm-3:00pm)====
[http://www.owasp.org/images/d/dc/Daniel_Hsu.jpg http://www.owasp.org/images/d/dc/Daniel_Hsu.jpg]

'''Talk Title''': '''''From a user perspective, what are CSOs' real concerns?'''''

'''Previous Talks''': Asia Security Weeks, SecuTech Expo

'''Bio''': Daniel Hsu have been in corporate security professional field for over a decade. After his successful naval career, he has been the head and/or founder of the corporate security department for UPS (East Asia), FarEasTone Telecom (Corporate), Taipei 101 (Corporate) and American Express (North & East Asia). Daniel is a regular contributor and editorial advisor to several security professional magazines. He has his own column in Taiwan's ''Information Security Management'' magazine, and is the editor of the Chinese version ''Introduction to Security Management'' book. He is a veteran lecturer/speaker in several local and international security related conferences and seminars. He serves as the Chairperson of Taiwan Chapter, ASIS International since 2003. He has been elected and served as Steering Committee Member for Asia Crisis & Security Group since 2006. Daniel is the first Taiwanese who's been accredited the Certified Protection Professional (CPP) credential from ASIS International. Daniel holds MSc in Maritime Operations at LJMU, UK and EMBA in Risk Management at NCCU, Taiwan ROC. He is also a licensed naval engineer and airplane pilot.
<hr>

====Jack Yu (Editor-In-Chief, InfoSecurity Magazine Taiwan) (3:00pm-3:30pm)====

'''Talk Title''': '''''Live in Battle: The NetArmy and Cross-Straight Digital Warfare'''''

'''Bio''': N/A
<hr>

===Talk Session II: Current Best Practices and Solutions===
==== Mike Shema (Lead Security Researcher, Qualys) (4:00pm-4:30pm)====
[[Image:owasp_taiwan_mike.jpg|100px]]

'''Talk Title''': '''''Automated Tools: Are They Any Good for Enterprises?'''''

'''Previous Talks''':BlackHat 2004, RSA 2005, IT Underground 2006, and SACIS 2007. Training at BlackHat conferences in the U.S. and Europe

'''Publications''':Author of 9 best-selling books

[[Image:owasp_taiwan_mike1.jpg|100px]][[Image:owasp_taiwan_mike2.jpg|100px]][[Image:owasp_taiwan_mike3.jpg|100px]][[Image:owasp_taiwan_mike4.jpg|100px]][[Image:owasp_taiwan_mike5.jpg|100px]][[Image:owasp_taiwan_mike6.jpg|100px]][[Image:owasp_taiwan_mike7.png|100px]][[Image:owasp_taiwan_mike8.jpg|100px]][[Image:owasp_taiwan_mike9.jpg|100px]]

'''Bio''': Mr. Shema is the co-author of Hacking Exposed: Web Applications, The Anti-Hacker Toolkit, and the author of Hack Notes: Web Application Security. Mr. Shema worked for several years as a consultant and trainer at Foundstone where he conducted information security assessments across a variety of technologies and industries. He also worked at NT Objectives to develop assessment and mitigation strategies for all aspects of web application security. While his security background ranges across network penetration testing, wireless auditing, code review, and training, Mr. Shema primarily focuses on web application security. Mr. Shema is currently employed by Qualys, developing tools that automate the web application audit process.
<hr>

====Wayne Huang, (Founder and CEO, [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies])(4:30pm-5:00pm)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''Talk Title''': '''''Secure Web Developing using Static Analysis'''''

'''Previous Talks''': RSA, ACM/W3C WWW, IEEE DSN, IEEE ISSRE, Hacks in Taiwan

'''Publications''': Security in the 21st Century, Several IEEE/ACM papers

[[Image:owasp_taiwan_wayne1.jpg|100px]]

'''Bio''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

====Round Table Panel Discussion (5:00pm-5:30pm)====

===Free Registration===
Please email to [mailto:info@owasp.org.tw?subject=OWASP_Taiwan_Registration info@owasp.org.tw] and provide the following information:
#Name:
#Company:
#Title:
#Email:
#Phone:

===Venue===
[http://www.thcc.net.tw/ NTUH International Convention Center], Taipei, Taiwan

File:OWASP Asia 2007 banner.jpg

2007-09-19T06:52:10Z

Bensonwu: uploaded a new version of "Image:OWASP Asia 2007 banner.jpg"

Banner for the OWASP AppSec Asia 2007

About OWASP AppSec Asia 2007

2007-09-19T06:49:44Z

Bensonwu:

[http://www.owasp.org/index.php/OWASP_AppSec_Asia_2007 http://www.owasp.org/images/e/ea/OWASP_Asia_2007_banner.jpg]

[http://www.owasp.org/index.php/Category:OWASP_AppSec_Conference OWASP AppSec conference] will be held in Asia for the first time in Taipei, Taiwan on September 27, 2007. The [[OWASP AppSec Asia 2007]] event has been covered by [http://udn.com/UDN/UDNENGLISH/edn.htm Economic Daily News], Taiwan’s largest business daily, [http://www.ithome.com.tw/ iThome], Taiwan’s largest IT weekly, [http://www.informationsecurity.com.tw/ Information Security Magazine], Taiwan’s largest security monthly, [http://www.digitimes.com/index.asp DigiTimes], Taiwan’s largest online IT media, etc. It has more than 450 people registering so far with some participants from China and Japan.

The selected two sponsors for this OWASP Asia conference are both non-profit organizations. One is III, the [http://www.iii.org.tw/english/ Institute for Information Industry], which is a government-funded non-profit organization that is responsible for driving Taiwan’s software industry. The other sponsor is the [http://www.tisc.org.tw/ Information Security Consortium (ISC)] of the [http://web.cisanet.org.tw/index3.html Information Service Industry Association], which is also a non-profit organization with a dedicated task force to promote security in Taiwan. Executives from both organizations will give short opening in [[OWASP AppSec Asia 2007]] as they have carried most of the responsibilities in promoting security awareness and growing the security market in Taiwan.

This year's [[OWASP AppSec Asia 2007]] is neutral and no vendor's name and logo will appear on any of the press coverage / emails / flag / banners. The only three logos are [http://www.owasp.org/ OWASP], [http://www.iii.org.tw/english/ III] and [http://www.tisc.org.tw/ ISC]. The [[Taiwan|OWASP Taiwan chapter]] hopes everything will turn out well for this event, and next year we can prepare much more in advance and have a separate vendors track.

About OWASP AppSec Asia 2007

2007-09-19T06:49:02Z

Bensonwu:

File:OWASP Asia 2007 banner.jpg

2007-09-19T06:44:44Z

Bensonwu: Banner for the OWASP AppSec Asia 2007

Banner for the OWASP AppSec Asia 2007

About OWASP AppSec Asia 2007

2007-09-19T05:23:30Z

Bensonwu:

[[Image:OWASP_Asia_2007_banner.jpg]]

[http://www.owasp.org/index.php/Category:OWASP_AppSec_Conference OWASP AppSec conference] will be held in Asia for the first time in Taipei, Taiwan on September 27, 2007. The [[OWASP AppSec Asia 2007]] event has been covered by [http://udn.com/UDN/UDNENGLISH/edn.htm Economic Daily News], Taiwan’s largest business daily, [http://www.ithome.com.tw/ iThome], Taiwan’s largest IT weekly, [http://www.informationsecurity.com.tw/ Information Security Magazine], Taiwan’s largest security monthly, [http://www.digitimes.com/index.asp DigiTimes], Taiwan’s largest online IT media, etc. It has more than 450 people registering so far with some participants from China and Japan.

The selected two sponsors for this OWASP Asia conference are both non-profit organizations. One is III, the [http://www.iii.org.tw/english/ Institute for Information Industry], which is a government-funded non-profit organization that is responsible for driving Taiwan’s software industry. The other sponsor is the [http://www.tisc.org.tw/ Information Security Consortium (ISC)] of the [http://web.cisanet.org.tw/index3.html Information Service Industry Association], which is also a non-profit organization with a dedicated task force to promote security in Taiwan. Executives from both organizations will give short opening in [[OWASP AppSec Asia 2007]] as they have carried most of the responsibilities in promoting security awareness and growing the security market in Taiwan.

This year's [[OWASP AppSec Asia 2007]] is neutral and no vendor's name and logo will appear on any of the press coverage / emails / flag / banners. The only three logos are [http://www.owasp.org/ OWASP], [http://www.iii.org.tw/english/ III] and [http://www.tisc.org.tw/ ISC]. The [[Taiwan|OWASP Taiwan chapter]] hopes everything will turn out well for this event, and next year we can prepare much more in advance and have a separate vendors track.

About OWASP AppSec Asia 2007

2007-09-19T05:23:07Z

Bensonwu:

[[Image:OWASP_Asia_2007_banner.jpg]]

[http://www.owasp.org/index.php/Category:OWASP_AppSec_Conference OWASP AppSec conference] will be held in Asia for the first time in Taipei, Taiwan on September 27, 2007. The [[OWASP AppSec Asia 2007]] event has been covered by [http://udn.com/UDN/UDNENGLISH/edn.htm Economic Daily News], Taiwan’s largest business daily, [http://www.ithome.com.tw/ iThome], Taiwan’s largest IT weekly, [http://www.informationsecurity.com.tw/ Information Security Magazine], Taiwan’s largest security monthly, [http://www.digitimes.com/index.asp DigiTimes], Taiwan’s largest online IT media, etc. It has more than 450 people registering so far with some participants from China and Japan.

The selected two sponsors for this OWASP Asia conference are both non-profit organizations. One is III, the [http://www.iii.org.tw/english/ Institute for Information Industry], which is a government-funded non-profit organization that is responsible for driving Taiwan’s software industry. The other sponsor is the [http://www.tisc.org.tw/ Information Security Consortium (ISC)] of the [http://web.cisanet.org.tw/index3.html Information Service Industry Association], which is also a non-profit organization with a dedicated task force to promote security in Taiwan. Executives from both organizations will give short opening in [[OWASP AppSec Asia 2007]] as they have carried most of the responsibilities in promoting security awareness and growing the security market in Taiwan.

This year's [[OWASP AppSec Asia 2007]] is neutral and no vendor's name and logo will appear on any of the press coverage / emails / flag / banners. The only three logos are [http://www.owasp.org/ OWASP], [http://www.iii.org.tw/english/ III] and [http://www.tisc.org.tw/ ISC]. The [[Taiwan|OWASP Taiwan chapter] hopes everything will turn out well for this event, and next year we can prepare much more in advance and have a separate vendors track.

About OWASP AppSec Asia 2007

2007-09-19T05:16:51Z

Bensonwu:

[[Image:OWASP_Asia_2007_banner.jpg]]

[http://www.owasp.org/index.php/Category:OWASP_AppSec_Conference OWASP AppSec conference] will be held in Asia for the first time in Taipei, Taiwan on September 27, 2007. The [[OWASP AppSec Asia 2007]] event has been covered by [http://udn.com/UDN/UDNENGLISH/edn.htm Economic Daily News], Taiwan’s largest business daily, [http://www.ithome.com.tw/ iThome], Taiwan’s largest IT weekly, [http://www.informationsecurity.com.tw/ Information Security Magazine], Taiwan’s largest security monthly, [http://www.digitimes.com/index.asp DigiTimes], Taiwan’s largest online IT media, etc. It has more than 450 people registering so far with some participants from China and Japan.

The selected two sponsors for this OWASP Asia conference are both non-profit organizations. One is III, the [http://www.iii.org.tw/english/ Institute for Information Industry], which is a government-funded non-profit organization that is responsible for driving Taiwan’s software industry. The other sponsor is the [http://www.tisc.org.tw/ Information Security Consortium (ISC)] of the [http://web.cisanet.org.tw/index3.html Information Service Industry Association], which is also a non-profit organization with a dedicated task force to promote security in Taiwan. Executives from both organizations will give short opening in OWASP Asia 2007 as they have carried most of the responsibilities in promoting security awareness and growing the security market in Taiwan.

This year's [[OWASP AppSec Asia 2007]] is neutral and no vendor's name and logo will appear on any of the press coverage / emails / flag / banners. The only three logos are [http://www.owasp.org/ OWASP], [http://www.iii.org.tw/english/ III] and [http://www.tisc.org.tw/ ISC]. The OWASP Taiwan chapter hopes everything will turn out well for this event, and next year we can prepare much more in advance and have a separate vendors track.

About OWASP AppSec Asia 2007

2007-09-19T05:16:04Z

Bensonwu: New page: Image:OWASP_Asia_2007_banner.jpg [http://www.owasp.org/index.php/Category:OWASP_AppSec_Conference OWASP AppSec conference] will be held in Asia for the first time in Taipei, Taiwan on ...

[[Image:OWASP_Asia_2007_banner.jpg]]
[http://www.owasp.org/index.php/Category:OWASP_AppSec_Conference OWASP AppSec conference] will be held in Asia for the first time in Taipei, Taiwan on September 27, 2007. The [[OWASP AppSec Asia 2007]] event has been covered by [http://udn.com/UDN/UDNENGLISH/edn.htm Economic Daily News], Taiwan’s largest business daily, [http://www.ithome.com.tw/ iThome], Taiwan’s largest IT weekly, [http://www.informationsecurity.com.tw/ Information Security Magazine], Taiwan’s largest security monthly, [http://www.digitimes.com/index.asp DigiTimes], Taiwan’s largest online IT media, etc. It has more than 450 people registering so far with some participants from China and Japan. The selected two sponsors for this OWASP Asia conference are both non-profit organizations. One is III, the [http://www.iii.org.tw/english/ Institute for Information Industry], which is a government-funded non-profit organization that is responsible for driving Taiwan’s software industry. The other sponsor is the [http://www.tisc.org.tw/ Information Security Consortium (ISC)] of the [http://web.cisanet.org.tw/index3.html Information Service Industry Association], which is also a non-profit organization with a dedicated task force to promote security in Taiwan. Executives from both organizations will give short opening in OWASP Asia 2007 as they have carried most of the responsibilities in promoting security awareness and growing the security market in Taiwan.
This year's [[OWASP AppSec Asia 2007]] is neutral and no vendor's name and logo will appear on any of the press coverage / emails / flag / banners. The only three logos are [http://www.owasp.org/ OWASP], [http://www.iii.org.tw/english/ III] and [http://www.tisc.org.tw/ ISC]. The OWASP Taiwan chapter hopes everything will turn out well for this event, and next year we can prepare much more in advance and have a separate vendors track.

OWASP Asia 2007

2007-09-19T02:18:09Z

Bensonwu:

== 第一屆OWASP亞洲年會 (OWASP Asia 2007) （完全免費）==
'''First OWASP Asia Conference 2007'''

[[Image:owasp_appsec_asia_2007.jpg|800px]]

OWASP破天荒將於台灣召開第一屆亞洲年會，將邀請國內外重量級專家齊聚一堂與會員分享與交流最新資安趨勢與實務案例。

「Web 2.0時代之Security 3.0 — 從實務經驗看Web資安防護之挑戰

* 2007年5月11日，Google開始監控遭駭網站，並貼上危險網站之標籤，政府及企業該如何應對？
* 2007年5月15日，OWASP公佈2007年最新的十大Web弱點，跨站腳本攻擊(XSS)登上榜首，對台灣及全球的含意為何？
* 2007年6月6日，IBM購併Watchfire，HP隨即於6月19日購併SPI Dynamics？為何在短短一個月內，重量級資訊巨人跨足資安產業？而僅存的Cenzic以滲透測試技術於6月18日甫獲美國專利，又將對產業有何影響？
* Web 2.0面臨哪些新的資安威脅？其因應之道是什麼？什麼是Security 3.0？又有哪些成功的實務案例？
<hr>
第一屆OWASP亞洲年會暨會員大會將在9月27日(週四)下午1點於台大醫院國際會議中心201室(台北市中正區徐州路二號)舉辦，由國內外知名專家一同與您探討Web安全，目前規劃演講者包含任職於國內外產、官、學的資安專家。

'''OWASP為國際非營利組織，參加此次活動係完全免費，會場寬敞明亮，備有舒適席次。'''

'''然由於場地限制，請儘速來信報名，會場僅可容納500人，還請包涵。'''

'''請各位欲參加之會員朋友，務必儘速來信報名參加。報名方式請見頁尾。'''

===OWASP台灣分會會長致詞===
====黃耀文(Wayne Huang) ([http://www.armorize.com/?utm_source=HIT&utm_medium=web 阿碼科技]創辦人兼執行長)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''簡介''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

===資策會貴賓致詞===
====許清琦 (資策會副執行長)====
[[Image:Hsu_III_VP.jpg|120px]]

'''簡介''': Dr. Hsu was a professor of the [http://www.csie.ntu.edu.tw/ Department of Information Engineering] of [http://www.ntu.edu.tw National Taiwan University] for several years and became the Chairman of the Department in 2000. After over 25 years serving at National Taiwan University, Dr. Hsu was promoted as the President of [http://www.knu.edu.tw/ Kai Nan University]. Nowadays, Dr. Hsu is the Executive Vice President of the [http://www.iii.org/ Institute for Information Industry], which provides the innovative R&D, software technologies and interoperability standards for Taiwan ICT industries on fostering development of the ICT industry.
<hr>

====陳振楠 (中華軟協資安促進會會長、關貿網路總經理)====
[[Image:Chen_TradeVan_President.jpg|120px]]

'''Bio''': N/A
<hr>

===第一場時段講者(1:00pm-3:30pm)===
====Jeremiah Grossman (WhiteHat Security創辦人兼技術長、InfoWorld 2007年最傑出25位技術長)====

'''英文題目''': '''''The Next Challenge to Web Security: Business Logic Flaws'''''

'''中文題目''': '''''未來Web資安之大挑戰：邏輯漏洞（此演講於本會議做第一次公開！） '''''

'''國際演說''':BlackHat Briefings, Defcon, ISACA, CSI, OWASP, Vanguard, ISSA

'''暢銷書籍''':XSS Attacks

'''講者簡介''': N/A
<hr>

====Daniel Hsu, 徐子文 (美國運通全球安全部東北亞區安全經理、美國產業安全學會ASIS International台灣分會會長、亞洲危機暨安全合作組織執行委員會委員)====

'''英文題目''': '''''From a user perspective, what are CSOs' real concerns?'''''

'''中文題目''': '''''從使用者的角度出發，企業的安全長要的是什麼？'''''

'''國際演說''': 亞洲安全週、國際安全科技博覽會(SecuTech Expo)

'''暢銷書籍''': 企業安全管理完全手冊

'''講者簡介''': N/A
<hr>

====Jack Yu, 余俊賢 (資安人雜誌主編)/Jeremy Chou, 邱銘彰 (艾克索夫實驗室創辦人兼技術長)====

'''英文題目''': '''''Live in Battle: The NetArmy and Cross-Straight Digital Warfare'''''

'''中文題目''': '''''決戰實況: 中國網軍與海峽兩岸資訊戰'''''

'''講者簡介''': N/A
<hr>

===第二場時段講者(3:30pm-5:00pm)===
==== Mike Shema (Qualys首席資安研究員)====
[[Image:owasp_taiwan_mike.jpg|100px]]

此場為英文演說，大會沒有提供同步口譯，還請見諒

'''英文題目''': '''''Automated Tools: Are They Any Good for Enterprises?'''''

'''中文題目''': '''''Web資安--企業如何有效利用自動工具？"'''''

'''國際演說''':BlackHat 2004, RSA 2005, IT Underground 2006, and SACIS 2007. Training at BlackHat conferences in the U.S. and Europe

'''暢銷書籍''':九本資安暢銷書籍之作者包括

[[Image:owasp_taiwan_mike1.jpg|100px]][[Image:owasp_taiwan_mike2.jpg|100px]][[Image:owasp_taiwan_mike3.jpg|100px]][[Image:owasp_taiwan_mike4.jpg|100px]][[Image:owasp_taiwan_mike5.jpg|100px]][[Image:owasp_taiwan_mike6.jpg|100px]][[Image:owasp_taiwan_mike7.png|100px]][[Image:owasp_taiwan_mike8.jpg|100px]][[Image:owasp_taiwan_mike9.jpg|100px]]

'''講者簡介''': Mr. Shema is the co-author of Hacking Exposed: Web Applications, The Anti-Hacker Toolkit, and the author of Hack Notes: Web Application Security. Mr. Shema worked for several years as a consultant and trainer at Foundstone where he conducted information security assessments across a variety of technologies and industries. He also worked at NT Objectives to develop assessment and mitigation strategies for all aspects of web application security. While his security background ranges across network penetration testing, wireless auditing, code review, and training, Mr. Shema primarily focuses on web application security. Mr. Shema is currently employed by Qualys, developing tools that automate the web application audit process.
<hr>

====Wayne Huang, 黃耀文 (OWASP台灣分會會長、[http://www.armorize.com/?utm_source=HIT&utm_medium=web 阿碼科技]創辦人兼執行長)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''英文題目''': '''''Secure Web Developing using Static Analysis'''''

'''中文題目''': '''''利用靜態檢測做好安全Web應用程式開發'''''

'''國際演說''': RSA, ACM/W3C WWW, IEEE DSN, IEEE ISSRE, Hacks in Taiwan

'''暢銷書籍''': Security in the 21st Century, 多篇頂尖IEEE/ACM國際論文

[[Image:owasp_taiwan_wayne1.jpg|100px]]

'''簡介''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

'''以上內容可能改變，請至OWASP台灣分會網頁獲得最新之詳盡會議資訊'''

'''OWASP為國際非營利組織，參加此次活動係完全免費，會場寬敞明亮，備有舒適席次(200名)。'''

'''然由於場地大小限制，席次僅提供來信報名者，同時請報名者於活動當天提早前往入席，還請包涵。'''

'''請各位欲參加之會員朋友，務必儘速來信報名參加。'''

===來信報名===
請email至[mailto:info@owasp.org.tw?subject=OWASP_Taiwan_Registration info@owasp.org.tw]，並註明下列資訊。
#中文姓名:
#英文姓名:
#單位:
#職稱:
#電子郵件:
#聯絡電話:
#免費加入OWASP台灣分會:(空白為願意加入，若不欲加入請填否)

'''鑑於報名人數踴躍，提醒各位務必準時報到以提早入席，目前大會仍並不強制安排座位，從12:30pm開始接受報到。'''

===會場位置===
台大醫院國際會議中心201廳

== 有關OWASP (About OWASP) ==
OWASP(開放Web軟體安全計畫 - Open Web Application Security Project)是一個開放社群、非營利性組織，目前全球有82個分會近萬名會員，其主要目標是研議協助解決Web軟體安全之標準、工具與技術文件，長期致力於協助政府或企業瞭解並改善網頁應用程式與網頁服務的安全性。由於應用範圍日廣，網頁應用安全已經逐漸的受到重視，並漸漸成為在安全領域的一個熱門話題，在此同時，駭客們也悄悄的將焦點轉移到網頁應用程式開發時所會產生的弱點來進行攻擊與破壞。

== OWASP 台灣分會 (OWASP Taiwan Chapter) ==
*[http://www.owasp.org.tw/?utm_source=HIT&utm_medium=web OWASP台灣分會網頁(http://www.owasp.org.tw)]
*電郵:info@owasp.org.tw
*群組:owasp-taiwan@lists.owasp.org
*住址:台北市115南港區三重路19-13號(南港軟體園區)E棟5樓554室

File:Daniel Hsu.jpg

2007-09-17T08:14:36Z

Bensonwu: uploaded a new version of "Image:Daniel Hsu.jpg"

File:Daniel Hsu.jpg

2007-09-17T07:58:29Z

Bensonwu:

OWASP AppSec Asia 2007

2007-09-17T07:57:27Z

Bensonwu: /* Daniel Hsu (Manager Security Service - North East Asia, Global Security, American Express) (2:30pm-3:00pm) */

== The Official OWASP Asia Conference 2007 (OWASP Asia 2007)==

[[Image:owasp_appsec_asia_2007.jpg|800px]]

===Opening Keynote===
====Wayne Huang (Chair, OWASP Taiwan Chapter) (1:30pm-1:40pm)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''Bio''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

===Opening Remark===
====Dr. Ching-Chi Hsu (Vice President, [http://www.iii.org/ III] Taiwan) (1:40pm-1:50pm)====
[[Image:Hsu_III_VP.jpg|120px]]

'''Bio''': Dr. Hsu was a professor of the [http://www.csie.ntu.edu.tw/ Department of Information Engineering] of [http://www.ntu.edu.tw National Taiwan University] for several years and became the Chairman of the Department in 2000. After over 25 years serving at National Taiwan University, Dr. Hsu was promoted as the President of [http://www.knu.edu.tw/ Kai Nan University]. Nowadays, Dr. Hsu is the Executive Vice President of the [http://www.iii.org/ Institute for Information Industry], which provides the innovative R&D, software technologies and interoperability standards for Taiwan ICT industries on fostering development of the ICT industry.
<hr>

===Talk Session I: Changing Faces in Web Attacks===
====Jeremiah Grossman (Founder and CTO, WhiteHat Security) (2:00pm-2:30pm)====

'''Talk Title''': '''''The Next Challenge to Web Security: Business Logic Flaws'''''

'''Previous Talks''':BlackHat Briefings, Defcon, ISACA, CSI, OWASP, Vanguard, ISSA

'''Publications''':XSS Attacks

'''Bio''': N/A
<hr>

====Daniel Hsu (Manager Security Service - North East Asia, Global Security, American Express) (2:30pm-3:00pm)====
[[Image:Daniel_Hsu.jpg|100px]]

'''Talk Title''': '''''From a user perspective, what are CSOs' real concerns?'''''

'''Previous Talks''': Asia Security Weeks, SecuTech Expo

'''Bio''': Daniel Hsu have been in corporate security professional field for over a decade. After his successful naval career, he has been the head and/or founder of the corporate security department for UPS (East Asia), FarEasTone Telecom (Corporate), Taipei 101 (Corporate) and American Express (North & East Asia). Daniel is a regular contributor and editorial advisor to several security professional magazines. He has his own column in Taiwan's ''Information Security Management'' magazine, and is the editor of the Chinese version ''Introduction to Security Management'' book. He is a veteran lecturer/speaker in several local and international security related conferences and seminars. He serves as the Chairperson of Taiwan Chapter, ASIS International since 2003. He has been elected and served as Steering Committee Member for Asia Crisis & Security Group since 2006. Daniel is the first Taiwanese who's been accredited the Certified Protection Professional (CPP) credential from ASIS International. Daniel holds MSc in Maritime Operations at LJMU, UK and EMBA in Risk Management at NCCU, Taiwan ROC. He is also a licensed naval engineer and airplane pilot.
<hr>

====Jack Yu (Editor-In-Chief, InfoSecurity Magazine Taiwan) (3:00pm-3:30pm)====

'''Talk Title''': '''''Live in Battle: The NetArmy and Cross-Straight Digital Warfare'''''

'''Bio''': N/A
<hr>

===Talk Session II: Current Best Practices and Solutions===
==== Mike Shema (Lead Security Researcher, Qualys) (4:00pm-4:30pm)====
[[Image:owasp_taiwan_mike.jpg|100px]]

'''Talk Title''': '''''Automated Tools: Are They Any Good for Enterprises?'''''

'''Previous Talks''':BlackHat 2004, RSA 2005, IT Underground 2006, and SACIS 2007. Training at BlackHat conferences in the U.S. and Europe

'''Publications''':Author of 9 best-selling books

[[Image:owasp_taiwan_mike1.jpg|100px]][[Image:owasp_taiwan_mike2.jpg|100px]][[Image:owasp_taiwan_mike3.jpg|100px]][[Image:owasp_taiwan_mike4.jpg|100px]][[Image:owasp_taiwan_mike5.jpg|100px]][[Image:owasp_taiwan_mike6.jpg|100px]][[Image:owasp_taiwan_mike7.png|100px]][[Image:owasp_taiwan_mike8.jpg|100px]][[Image:owasp_taiwan_mike9.jpg|100px]]

'''Bio''': Mr. Shema is the co-author of Hacking Exposed: Web Applications, The Anti-Hacker Toolkit, and the author of Hack Notes: Web Application Security. Mr. Shema worked for several years as a consultant and trainer at Foundstone where he conducted information security assessments across a variety of technologies and industries. He also worked at NT Objectives to develop assessment and mitigation strategies for all aspects of web application security. While his security background ranges across network penetration testing, wireless auditing, code review, and training, Mr. Shema primarily focuses on web application security. Mr. Shema is currently employed by Qualys, developing tools that automate the web application audit process.
<hr>

====Wayne Huang, (Founder and CEO, [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies])(4:30pm-5:00pm)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''Talk Title''': '''''Secure Web Developing using Static Analysis'''''

'''Previous Talks''': RSA, ACM/W3C WWW, IEEE DSN, IEEE ISSRE, Hacks in Taiwan

'''Publications''': Security in the 21st Century, Several IEEE/ACM papers

[[Image:owasp_taiwan_wayne1.jpg|100px]]

'''Bio''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

====Round Table Panel Discussion (5:00pm-5:30pm)====

===Free Registration===
Please email to [mailto:info@owasp.org.tw?subject=OWASP_Taiwan_Registration info@owasp.org.tw] and provide the following information:
#Name:
#Company:
#Title:
#Email:
#Phone:

===Venue===
[http://www.thcc.net.tw/ NTUH International Convention Center], Taipei, Taiwan

File:Daniel Hsu T101.jpg

2007-09-17T07:54:26Z

Bensonwu: uploaded a new version of "Image:Daniel Hsu T101.jpg"

OWASP AppSec Asia 2007

2007-09-17T07:50:51Z

Bensonwu: /* Daniel Hsu (Manager Security Service - North East Asia, Global Security, American Express) (2:30pm-3:00pm) */

== The Official OWASP Asia Conference 2007 (OWASP Asia 2007)==

[[Image:owasp_appsec_asia_2007.jpg|800px]]

===Opening Keynote===
====Wayne Huang (Chair, OWASP Taiwan Chapter) (1:30pm-1:40pm)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''Bio''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

===Opening Remark===
====Dr. Ching-Chi Hsu (Vice President, [http://www.iii.org/ III] Taiwan) (1:40pm-1:50pm)====
[[Image:Hsu_III_VP.jpg|120px]]

'''Bio''': Dr. Hsu was a professor of the [http://www.csie.ntu.edu.tw/ Department of Information Engineering] of [http://www.ntu.edu.tw National Taiwan University] for several years and became the Chairman of the Department in 2000. After over 25 years serving at National Taiwan University, Dr. Hsu was promoted as the President of [http://www.knu.edu.tw/ Kai Nan University]. Nowadays, Dr. Hsu is the Executive Vice President of the [http://www.iii.org/ Institute for Information Industry], which provides the innovative R&D, software technologies and interoperability standards for Taiwan ICT industries on fostering development of the ICT industry.
<hr>

===Talk Session I: Changing Faces in Web Attacks===
====Jeremiah Grossman (Founder and CTO, WhiteHat Security) (2:00pm-2:30pm)====

'''Talk Title''': '''''The Next Challenge to Web Security: Business Logic Flaws'''''

'''Previous Talks''':BlackHat Briefings, Defcon, ISACA, CSI, OWASP, Vanguard, ISSA

'''Publications''':XSS Attacks

'''Bio''': N/A
<hr>

====Daniel Hsu (Manager Security Service - North East Asia, Global Security, American Express) (2:30pm-3:00pm)====
[[Image:Daniel_Hsu_T101.jpg|100px]]

'''Talk Title''': '''''From a user perspective, what are CSOs' real concerns?'''''

'''Previous Talks''': Asia Security Weeks, SecuTech Expo

'''Bio''': Daniel Hsu have been in corporate security professional field for over a decade. After his successful naval career, he has been the head and/or founder of the corporate security department for UPS (East Asia), FarEasTone Telecom (Corporate), Taipei 101 (Corporate) and American Express (North & East Asia). Daniel is a regular contributor and editorial advisor to several security professional magazines. He has his own column in Taiwan's ''Information Security Management'' magazine, and is the editor of the Chinese version ''Introduction to Security Management'' book. He is a veteran lecturer/speaker in several local and international security related conferences and seminars. He serves as the Chairperson of Taiwan Chapter, ASIS International since 2003. He has been elected and served as Steering Committee Member for Asia Crisis & Security Group since 2006. Daniel is the first Taiwanese who's been accredited the Certified Protection Professional (CPP) credential from ASIS International. Daniel holds MSc in Maritime Operations at LJMU, UK and EMBA in Risk Management at NCCU, Taiwan ROC. He is also a licensed naval engineer and airplane pilot.
<hr>

====Jack Yu (Editor-In-Chief, InfoSecurity Magazine Taiwan) (3:00pm-3:30pm)====

'''Talk Title''': '''''Live in Battle: The NetArmy and Cross-Straight Digital Warfare'''''

'''Bio''': N/A
<hr>

===Talk Session II: Current Best Practices and Solutions===
==== Mike Shema (Lead Security Researcher, Qualys) (4:00pm-4:30pm)====
[[Image:owasp_taiwan_mike.jpg|100px]]

'''Talk Title''': '''''Automated Tools: Are They Any Good for Enterprises?'''''

'''Previous Talks''':BlackHat 2004, RSA 2005, IT Underground 2006, and SACIS 2007. Training at BlackHat conferences in the U.S. and Europe

'''Publications''':Author of 9 best-selling books

[[Image:owasp_taiwan_mike1.jpg|100px]][[Image:owasp_taiwan_mike2.jpg|100px]][[Image:owasp_taiwan_mike3.jpg|100px]][[Image:owasp_taiwan_mike4.jpg|100px]][[Image:owasp_taiwan_mike5.jpg|100px]][[Image:owasp_taiwan_mike6.jpg|100px]][[Image:owasp_taiwan_mike7.png|100px]][[Image:owasp_taiwan_mike8.jpg|100px]][[Image:owasp_taiwan_mike9.jpg|100px]]

'''Bio''': Mr. Shema is the co-author of Hacking Exposed: Web Applications, The Anti-Hacker Toolkit, and the author of Hack Notes: Web Application Security. Mr. Shema worked for several years as a consultant and trainer at Foundstone where he conducted information security assessments across a variety of technologies and industries. He also worked at NT Objectives to develop assessment and mitigation strategies for all aspects of web application security. While his security background ranges across network penetration testing, wireless auditing, code review, and training, Mr. Shema primarily focuses on web application security. Mr. Shema is currently employed by Qualys, developing tools that automate the web application audit process.
<hr>

====Wayne Huang, (Founder and CEO, [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies])(4:30pm-5:00pm)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''Talk Title''': '''''Secure Web Developing using Static Analysis'''''

'''Previous Talks''': RSA, ACM/W3C WWW, IEEE DSN, IEEE ISSRE, Hacks in Taiwan

'''Publications''': Security in the 21st Century, Several IEEE/ACM papers

[[Image:owasp_taiwan_wayne1.jpg|100px]]

'''Bio''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

====Round Table Panel Discussion (5:00pm-5:30pm)====

===Free Registration===
Please email to [mailto:info@owasp.org.tw?subject=OWASP_Taiwan_Registration info@owasp.org.tw] and provide the following information:
#Name:
#Company:
#Title:
#Email:
#Phone:

===Venue===
[http://www.thcc.net.tw/ NTUH International Convention Center], Taipei, Taiwan

File:Daniel Hsu T101.jpg

2007-09-17T07:48:04Z

Bensonwu:

OWASP AppSec Asia 2007

2007-09-17T07:47:17Z

Bensonwu: /* Daniel Hsu (Director, Global Security, American Express) (2:30pm-3:00pm) */

== The Official OWASP Asia Conference 2007 (OWASP Asia 2007)==

[[Image:owasp_appsec_asia_2007.jpg|800px]]

===Opening Keynote===
====Wayne Huang (Chair, OWASP Taiwan Chapter) (1:30pm-1:40pm)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''Bio''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

===Opening Remark===
====Dr. Ching-Chi Hsu (Vice President, [http://www.iii.org/ III] Taiwan) (1:40pm-1:50pm)====
[[Image:Hsu_III_VP.jpg|120px]]

'''Bio''': Dr. Hsu was a professor of the [http://www.csie.ntu.edu.tw/ Department of Information Engineering] of [http://www.ntu.edu.tw National Taiwan University] for several years and became the Chairman of the Department in 2000. After over 25 years serving at National Taiwan University, Dr. Hsu was promoted as the President of [http://www.knu.edu.tw/ Kai Nan University]. Nowadays, Dr. Hsu is the Executive Vice President of the [http://www.iii.org/ Institute for Information Industry], which provides the innovative R&D, software technologies and interoperability standards for Taiwan ICT industries on fostering development of the ICT industry.
<hr>

===Talk Session I: Changing Faces in Web Attacks===
====Jeremiah Grossman (Founder and CTO, WhiteHat Security) (2:00pm-2:30pm)====

'''Talk Title''': '''''The Next Challenge to Web Security: Business Logic Flaws'''''

'''Previous Talks''':BlackHat Briefings, Defcon, ISACA, CSI, OWASP, Vanguard, ISSA

'''Publications''':XSS Attacks

'''Bio''': N/A
<hr>

====Daniel Hsu (Manager Security Service - North East Asia, Global Security, American Express) (2:30pm-3:00pm)====
[[Image:Daniel_Hsu_T101.jpg]]

'''Talk Title''': '''''From a user perspective, what are CSOs' real concerns?'''''

'''Previous Talks''': Asia Security Weeks, SecuTech Expo

'''Bio''': Daniel Hsu have been in corporate security professional field for over a decade. After his successful naval career, he has been the head and/or founder of the corporate security department for UPS (East Asia), FarEasTone Telecom (Corporate), Taipei 101 (Corporate) and American Express (North & East Asia). Daniel is a regular contributor and editorial advisor to several security professional magazines. He has his own column in Taiwan's ''Information Security Management'' magazine, and is the editor of the Chinese version ''Introduction to Security Management'' book. He is a veteran lecturer/speaker in several local and international security related conferences and seminars. He serves as the Chairperson of Taiwan Chapter, ASIS International since 2003. He has been elected and served as Steering Committee Member for Asia Crisis & Security Group since 2006. Daniel is the first Taiwanese who's been accredited the Certified Protection Professional (CPP) credential from ASIS International. Daniel holds MSc in Maritime Operations at LJMU, UK and EMBA in Risk Management at NCCU, Taiwan ROC. He is also a licensed naval engineer and airplane pilot.
<hr>

====Jack Yu (Editor-In-Chief, InfoSecurity Magazine Taiwan) (3:00pm-3:30pm)====

'''Talk Title''': '''''Live in Battle: The NetArmy and Cross-Straight Digital Warfare'''''

'''Bio''': N/A
<hr>

===Talk Session II: Current Best Practices and Solutions===
==== Mike Shema (Lead Security Researcher, Qualys) (4:00pm-4:30pm)====
[[Image:owasp_taiwan_mike.jpg|100px]]

'''Talk Title''': '''''Automated Tools: Are They Any Good for Enterprises?'''''

'''Previous Talks''':BlackHat 2004, RSA 2005, IT Underground 2006, and SACIS 2007. Training at BlackHat conferences in the U.S. and Europe

'''Publications''':Author of 9 best-selling books

[[Image:owasp_taiwan_mike1.jpg|100px]][[Image:owasp_taiwan_mike2.jpg|100px]][[Image:owasp_taiwan_mike3.jpg|100px]][[Image:owasp_taiwan_mike4.jpg|100px]][[Image:owasp_taiwan_mike5.jpg|100px]][[Image:owasp_taiwan_mike6.jpg|100px]][[Image:owasp_taiwan_mike7.png|100px]][[Image:owasp_taiwan_mike8.jpg|100px]][[Image:owasp_taiwan_mike9.jpg|100px]]

'''Bio''': Mr. Shema is the co-author of Hacking Exposed: Web Applications, The Anti-Hacker Toolkit, and the author of Hack Notes: Web Application Security. Mr. Shema worked for several years as a consultant and trainer at Foundstone where he conducted information security assessments across a variety of technologies and industries. He also worked at NT Objectives to develop assessment and mitigation strategies for all aspects of web application security. While his security background ranges across network penetration testing, wireless auditing, code review, and training, Mr. Shema primarily focuses on web application security. Mr. Shema is currently employed by Qualys, developing tools that automate the web application audit process.
<hr>

====Wayne Huang, (Founder and CEO, [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies])(4:30pm-5:00pm)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''Talk Title''': '''''Secure Web Developing using Static Analysis'''''

'''Previous Talks''': RSA, ACM/W3C WWW, IEEE DSN, IEEE ISSRE, Hacks in Taiwan

'''Publications''': Security in the 21st Century, Several IEEE/ACM papers

[[Image:owasp_taiwan_wayne1.jpg|100px]]

'''Bio''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

====Round Table Panel Discussion (5:00pm-5:30pm)====

===Free Registration===
Please email to [mailto:info@owasp.org.tw?subject=OWASP_Taiwan_Registration info@owasp.org.tw] and provide the following information:
#Name:
#Company:
#Title:
#Email:
#Phone:

===Venue===
[http://www.thcc.net.tw/ NTUH International Convention Center], Taipei, Taiwan

OWASP AppSec Asia 2007

2007-09-17T03:32:19Z

Bensonwu: /* Wayne Huang, (Founder and CEO, [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies])(4:30pm-5:00pm) */

== The Official OWASP Asia Conference 2007 (OWASP Asia 2007)==

[[Image:owasp_appsec_asia_2007.jpg|800px]]

===Opening Keynote===
====Wayne Huang (Chair, OWASP Taiwan Chapter) (1:30pm-1:40pm)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''Bio''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

===Opening Remark===
====Dr. Ching-Chi Hsu (Vice President, [http://www.iii.org/ III] Taiwan) (1:40pm-1:50pm)====
[[Image:Hsu_III_VP.jpg|120px]]

'''Bio''': Dr. Hsu was a professor of the [http://www.csie.ntu.edu.tw/ Department of Information Engineering] of [http://www.ntu.edu.tw National Taiwan University] for several years and became the Chairman of the Department in 2000. After over 25 years serving at National Taiwan University, Dr. Hsu was promoted as the President of [http://www.knu.edu.tw/ Kai Nan University]. Nowadays, Dr. Hsu is the Executive Vice President of the [http://www.iii.org/ Institute for Information Industry], which provides the innovative R&D, software technologies and interoperability standards for Taiwan ICT industries on fostering development of the ICT industry.
<hr>

===Talk Session I: Changing Faces in Web Attacks===
====Jeremiah Grossman (Founder and CTO, WhiteHat Security) (2:00pm-2:30pm)====

'''Talk Title''': '''''The Next Challenge to Web Security: Business Logic Flaws'''''

'''Previous Talks''':BlackHat Briefings, Defcon, ISACA, CSI, OWASP, Vanguard, ISSA

'''Publications''':XSS Attacks

'''Bio''': N/A
<hr>

====Daniel Hsu (Director, Global Security, American Express) (2:30pm-3:00pm)====

'''Talk Title''': '''''From a user perspective, what are CSOs' real concerns?'''''

'''Previous Talks''': Asia Security Weeks, SecuTech Expo

'''Bio''': N/A
<hr>

====Jack Yu (Editor-In-Chief, InfoSecurity Magazine Taiwan) (3:00pm-3:30pm)====

'''Talk Title''': '''''Live in Battle: The NetArmy and Cross-Straight Digital Warfare'''''

'''Bio''': N/A
<hr>

===Talk Session II: Current Best Practices and Solutions===
==== Mike Shema (Lead Security Researcher, Qualys) (4:00pm-4:30pm)====
[[Image:owasp_taiwan_mike.jpg|100px]]

'''Talk Title''': '''''Automated Tools: Are They Any Good for Enterprises?'''''

'''Previous Talks''':BlackHat 2004, RSA 2005, IT Underground 2006, and SACIS 2007. Training at BlackHat conferences in the U.S. and Europe

'''Publications''':Author of 9 best-selling books

[[Image:owasp_taiwan_mike1.jpg|100px]][[Image:owasp_taiwan_mike2.jpg|100px]][[Image:owasp_taiwan_mike3.jpg|100px]][[Image:owasp_taiwan_mike4.jpg|100px]][[Image:owasp_taiwan_mike5.jpg|100px]][[Image:owasp_taiwan_mike6.jpg|100px]][[Image:owasp_taiwan_mike7.png|100px]][[Image:owasp_taiwan_mike8.jpg|100px]][[Image:owasp_taiwan_mike9.jpg|100px]]

'''Bio''': Mr. Shema is the co-author of Hacking Exposed: Web Applications, The Anti-Hacker Toolkit, and the author of Hack Notes: Web Application Security. Mr. Shema worked for several years as a consultant and trainer at Foundstone where he conducted information security assessments across a variety of technologies and industries. He also worked at NT Objectives to develop assessment and mitigation strategies for all aspects of web application security. While his security background ranges across network penetration testing, wireless auditing, code review, and training, Mr. Shema primarily focuses on web application security. Mr. Shema is currently employed by Qualys, developing tools that automate the web application audit process.
<hr>

====Wayne Huang, (Founder and CEO, [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies])(4:30pm-5:00pm)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''Talk Title''': '''''Secure Web Developing using Static Analysis'''''

'''Previous Talks''': RSA, ACM/W3C WWW, IEEE DSN, IEEE ISSRE, Hacks in Taiwan

'''Publications''': Security in the 21st Century, Several IEEE/ACM papers

[[Image:owasp_taiwan_wayne1.jpg|100px]]

'''Bio''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

====Round Table Panel Discussion (5:00pm-5:30pm)====

===Free Registration===
Please email to [mailto:info@owasp.org.tw?subject=OWASP_Taiwan_Registration info@owasp.org.tw] and provide the following information:
#Name:
#Company:
#Title:
#Email:
#Phone:

===Venue===
[http://www.thcc.net.tw/ NTUH International Convention Center], Taipei, Taiwan

OWASP AppSec Asia 2007

2007-09-17T03:30:48Z

Bensonwu:

== The Official OWASP Asia Conference 2007 (OWASP Asia 2007)==

[[Image:owasp_appsec_asia_2007.jpg|800px]]

===Opening Keynote===
====Wayne Huang (Chair, OWASP Taiwan Chapter) (1:30pm-1:40pm)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''Bio''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

===Opening Remark===
====Dr. Ching-Chi Hsu (Vice President, [http://www.iii.org/ III] Taiwan) (1:40pm-1:50pm)====
[[Image:Hsu_III_VP.jpg|120px]]

'''Bio''': Dr. Hsu was a professor of the [http://www.csie.ntu.edu.tw/ Department of Information Engineering] of [http://www.ntu.edu.tw National Taiwan University] for several years and became the Chairman of the Department in 2000. After over 25 years serving at National Taiwan University, Dr. Hsu was promoted as the President of [http://www.knu.edu.tw/ Kai Nan University]. Nowadays, Dr. Hsu is the Executive Vice President of the [http://www.iii.org/ Institute for Information Industry], which provides the innovative R&D, software technologies and interoperability standards for Taiwan ICT industries on fostering development of the ICT industry.
<hr>

===Talk Session I: Changing Faces in Web Attacks===
====Jeremiah Grossman (Founder and CTO, WhiteHat Security) (2:00pm-2:30pm)====

'''Talk Title''': '''''The Next Challenge to Web Security: Business Logic Flaws'''''

'''Previous Talks''':BlackHat Briefings, Defcon, ISACA, CSI, OWASP, Vanguard, ISSA

'''Publications''':XSS Attacks

'''Bio''': N/A
<hr>

====Daniel Hsu (Director, Global Security, American Express) (2:30pm-3:00pm)====

'''Talk Title''': '''''From a user perspective, what are CSOs' real concerns?'''''

'''Previous Talks''': Asia Security Weeks, SecuTech Expo

'''Bio''': N/A
<hr>

====Jack Yu (Editor-In-Chief, InfoSecurity Magazine Taiwan) (3:00pm-3:30pm)====

'''Talk Title''': '''''Live in Battle: The NetArmy and Cross-Straight Digital Warfare'''''

'''Bio''': N/A
<hr>

===Talk Session II: Current Best Practices and Solutions===
==== Mike Shema (Lead Security Researcher, Qualys) (4:00pm-4:30pm)====
[[Image:owasp_taiwan_mike.jpg|100px]]

'''Talk Title''': '''''Automated Tools: Are They Any Good for Enterprises?'''''

'''Previous Talks''':BlackHat 2004, RSA 2005, IT Underground 2006, and SACIS 2007. Training at BlackHat conferences in the U.S. and Europe

'''Publications''':Author of 9 best-selling books

[[Image:owasp_taiwan_mike1.jpg|100px]][[Image:owasp_taiwan_mike2.jpg|100px]][[Image:owasp_taiwan_mike3.jpg|100px]][[Image:owasp_taiwan_mike4.jpg|100px]][[Image:owasp_taiwan_mike5.jpg|100px]][[Image:owasp_taiwan_mike6.jpg|100px]][[Image:owasp_taiwan_mike7.png|100px]][[Image:owasp_taiwan_mike8.jpg|100px]][[Image:owasp_taiwan_mike9.jpg|100px]]

'''Bio''': Mr. Shema is the co-author of Hacking Exposed: Web Applications, The Anti-Hacker Toolkit, and the author of Hack Notes: Web Application Security. Mr. Shema worked for several years as a consultant and trainer at Foundstone where he conducted information security assessments across a variety of technologies and industries. He also worked at NT Objectives to develop assessment and mitigation strategies for all aspects of web application security. While his security background ranges across network penetration testing, wireless auditing, code review, and training, Mr. Shema primarily focuses on web application security. Mr. Shema is currently employed by Qualys, developing tools that automate the web application audit process.
<hr>

====Wayne Huang, (Founder and CEO, [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies])(4:30pm-5:00pm)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''Talk Title''': '''''Secure Web Developing using Static Analysis'''''

'''Previous Talks''': RSA, ACM/W3C WWW, IEEE DSN, IEEE ISSRE, Hacks in Taiwan

'''Publications''': Security in the 21st Century, Several IEEE/ACM papers

[[Image:owasp_taiwan_wayne1.jpg|100px]]

'''簡介''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

====Round Table Panel Discussion (5:00pm-5:30pm)====

===Free Registration===
Please email to [mailto:info@owasp.org.tw?subject=OWASP_Taiwan_Registration info@owasp.org.tw] and provide the following information:
#Name:
#Company:
#Title:
#Email:
#Phone:

===Venue===
[http://www.thcc.net.tw/ NTUH International Convention Center], Taipei, Taiwan

OWASP Asia 2007

2007-09-06T07:10:43Z

Bensonwu: /* 許清琦 (資策會副執行長) */

== 第一屆OWASP亞洲年會 (OWASP Asia 2007) （完全免費）==
'''First OWASP Asia Conference 2007'''

[[Image:owasp_appsec_asia_2007.jpg|800px]]

OWASP破天荒將於台灣召開第一屆亞洲年會，將邀請國內外重量級專家齊聚一堂與會員分享與交流最新資安趨勢與實務案例。

「Web 2.0時代之Security 3.0 — 從實務經驗看Web資安防護之挑戰

* 2007年5月11日，Google開始監控遭駭網站，並貼上危險網站之標籤，政府及企業該如何應對？
* 2007年5月15日，OWASP公佈2007年最新的十大Web弱點，跨站腳本攻擊(XSS)登上榜首，對台灣及全球的含意為何？
* 2007年6月6日，IBM購併Watchfire，HP隨即於6月19日購併SPI Dynamics？為何在短短一個月內，重量級資訊巨人跨足資安產業？而僅存的Cenzic以滲透測試技術於6月18日甫獲美國專利，又將對產業有何影響？
* Web 2.0面臨哪些新的資安威脅？其因應之道是什麼？什麼是Security 3.0？又有哪些成功的實務案例？
<hr>
第一屆OWASP亞洲年會暨會員大會<s>將於2007年7月20日（週五）下午1點至5點舉行，會議地點定於國立臺灣科技大學公館校區-國際廳</s>'''由於報名人數眾多，原場地座位不敷大會使用，並配合部分國外講者時間異動，大會決定將延期至9月27日(週四)下午1點於台大醫院國際會議中心201室(台北市中正區徐州路二號)延期至9月27日(週四)下午1點於台大醫院國際會議中心201室(台北市中正區徐州路二號)'''，將由國內外知名專家一同與您探討，目前規劃演講者包含任職於國內外產、官、學的資安專家，詳細內容如下。

'''OWASP為國際非營利組織，參加此次活動係完全免費，會場寬敞明亮，備有舒適席次。'''

'''然由於場地限制，請儘速來信報名，會場僅可容納500人，還請包涵。'''

'''請各位欲參加之會員朋友，務必儘速來信報名參加。報名方式請見頁尾。'''

===OWASP台灣分會會長致詞===
====黃耀文(Wayne Huang) ([http://www.armorize.com/?utm_source=HIT&utm_medium=web 阿碼科技]創辦人兼執行長)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''簡介''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

===資策會貴賓致詞===
====許清琦 (資策會副執行長)====
[[Image:Hsu_III_VP.jpg|120px]]

'''簡介''': Dr. Hsu was a professor of the [http://www.csie.ntu.edu.tw/ Department of Information Engineering] of [http://www.ntu.edu.tw National Taiwan University] for several years and became the Chairman of the Department in 2000. After over 25 years serving at National Taiwan University, Dr. Hsu was promoted as the President of [http://www.knu.edu.tw/ Kai Nan University]. Nowadays, Dr. Hsu is the Executive Vice President of the [http://www.iii.org/ Institute for Information Industry], which provides the innovative R&D, software technologies and interoperability standards for Taiwan ICT industries on fostering development of the ICT industry.
<hr>

===第一場時段講者(1:00pm-3:30pm)===
====Jeremiah Grossman (WhiteHat Security創辦人兼技術長、InfoWorld 2007年最傑出25位技術長)====

'''英文題目''': '''''The Next Challenge to Web Security: Business Logic Flaws'''''

'''中文題目''': '''''未來Web資安之大挑戰：邏輯漏洞（此演講於本會議做第一次公開！） '''''

'''國際演說''':BlackHat Briefings, Defcon, ISACA, CSI, OWASP, Vanguard, ISSA

'''暢銷書籍''':XSS Attacks

'''講者簡介''': N/A
<hr>

====Daniel Hsu, 徐子文 (美國運通全球安全部東北亞區安全經理、美國產業安全學會ASIS International台灣分會會長、亞洲危機暨安全合作組織執行委員會委員)====

'''英文題目''': '''''From a user perspective, what are CSOs' real concerns?'''''

'''中文題目''': '''''從使用者的角度出發，企業的安全長要的是什麼？'''''

'''國際演說''': 亞洲安全週、國際安全科技博覽會(SecuTech Expo)

'''暢銷書籍''': 企業安全管理完全手冊

'''講者簡介''': N/A
<hr>

====Jack Yu, 余俊賢 (資安人雜誌主編)====

'''英文題目''': '''''Live in Battle: The NetArmy and Cross-Straight Digital Warfare'''''

'''中文題目''': '''''決戰實況: 中國網軍與海峽兩岸資訊戰'''''

'''講者簡介''': N/A
<hr>

===第二場時段講者(3:30pm-5:00pm)===
==== Mike Shema (Qualys首席資安研究員)====
[[Image:owasp_taiwan_mike.jpg|100px]]

此場為英文演說，大會沒有提供同步口譯，還請見諒

'''英文題目''': '''''Automated Tools: Are They Any Good for Enterprises?'''''

'''中文題目''': '''''Web資安--企業如何有效利用自動工具？"'''''

'''國際演說''':BlackHat 2004, RSA 2005, IT Underground 2006, and SACIS 2007. Training at BlackHat conferences in the U.S. and Europe

'''暢銷書籍''':九本資安暢銷書籍之作者包括

[[Image:owasp_taiwan_mike1.jpg|100px]][[Image:owasp_taiwan_mike2.jpg|100px]][[Image:owasp_taiwan_mike3.jpg|100px]][[Image:owasp_taiwan_mike4.jpg|100px]][[Image:owasp_taiwan_mike5.jpg|100px]][[Image:owasp_taiwan_mike6.jpg|100px]][[Image:owasp_taiwan_mike7.png|100px]][[Image:owasp_taiwan_mike8.jpg|100px]][[Image:owasp_taiwan_mike9.jpg|100px]]

'''講者簡介''': Mr. Shema is the co-author of Hacking Exposed: Web Applications, The Anti-Hacker Toolkit, and the author of Hack Notes: Web Application Security. Mr. Shema worked for several years as a consultant and trainer at Foundstone where he conducted information security assessments across a variety of technologies and industries. He also worked at NT Objectives to develop assessment and mitigation strategies for all aspects of web application security. While his security background ranges across network penetration testing, wireless auditing, code review, and training, Mr. Shema primarily focuses on web application security. Mr. Shema is currently employed by Qualys, developing tools that automate the web application audit process.
<hr>

====Wayne Huang, 黃耀文 (OWASP台灣分會會長、[http://www.armorize.com/?utm_source=HIT&utm_medium=web 阿碼科技]創辦人兼執行長)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''英文題目''': '''''Secure Web Developing using Static Analysis'''''

'''中文題目''': '''''利用靜態檢測做好安全Web應用程式開發'''''

'''國際演說''': RSA, ACM/W3C WWW, IEEE DSN, IEEE ISSRE, Hacks in Taiwan

'''暢銷書籍''': Security in the 21st Century, 多篇頂尖IEEE/ACM國際論文

[[Image:owasp_taiwan_wayne1.jpg|100px]]

'''簡介''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

'''以上內容可能改變，請至OWASP台灣分會網頁獲得最新之詳盡會議資訊'''

'''OWASP為國際非營利組織，參加此次活動係完全免費，會場寬敞明亮，備有舒適席次(200名)。'''

'''然由於場地大小限制，席次僅提供來信報名者，同時請報名者於活動當天提早前往入席，還請包涵。'''

'''請各位欲參加之會員朋友，務必儘速來信報名參加。'''

===來信報名===
請email至[mailto:info@owasp.org.tw?subject=OWASP_Taiwan_Registration info@owasp.org.tw]，並註明下列資訊。
#中文姓名:
#英文姓名:
#單位:
#職稱:
#電子郵件:
#聯絡電話:
#免費加入OWASP台灣分會:(空白為願意加入，若不欲加入請填否)

'''鑑於報名人數踴躍，提醒各位務必準時報到以提早入席，目前大會仍並不強制安排座位，從12:30pm開始接受報到。'''

===會場位置===
台大醫院國際會議中心201廳

== 有關OWASP (About OWASP) ==
OWASP(開放Web軟體安全計畫 - Open Web Application Security Project)是一個開放社群、非營利性組織，目前全球有82個分會近萬名會員，其主要目標是研議協助解決Web軟體安全之標準、工具與技術文件，長期致力於協助政府或企業瞭解並改善網頁應用程式與網頁服務的安全性。由於應用範圍日廣，網頁應用安全已經逐漸的受到重視，並漸漸成為在安全領域的一個熱門話題，在此同時，駭客們也悄悄的將焦點轉移到網頁應用程式開發時所會產生的弱點來進行攻擊與破壞。

== OWASP 台灣分會 (OWASP Taiwan Chapter) ==
*[http://www.owasp.org.tw/?utm_source=HIT&utm_medium=web OWASP台灣分會網頁(http://www.owasp.org.tw)]
*電郵:info@owasp.org.tw
*群組:owasp-taiwan@lists.owasp.org
*住址:台北市115南港區三重路19-13號(南港軟體園區)E棟5樓554室

File:Hsu III VP.jpg

2007-09-06T07:01:14Z

Bensonwu:

OWASP Asia 2007

2007-09-06T06:56:25Z

Bensonwu: /* 資策會貴賓致詞 */

== 第一屆OWASP亞洲年會 (OWASP Asia 2007) （完全免費）==
'''First OWASP Asia Conference 2007'''

[[Image:owasp_appsec_asia_2007.jpg|800px]]

OWASP破天荒將於台灣召開第一屆亞洲年會，將邀請國內外重量級專家齊聚一堂與會員分享與交流最新資安趨勢與實務案例。

「Web 2.0時代之Security 3.0 — 從實務經驗看Web資安防護之挑戰

* 2007年5月11日，Google開始監控遭駭網站，並貼上危險網站之標籤，政府及企業該如何應對？
* 2007年5月15日，OWASP公佈2007年最新的十大Web弱點，跨站腳本攻擊(XSS)登上榜首，對台灣及全球的含意為何？
* 2007年6月6日，IBM購併Watchfire，HP隨即於6月19日購併SPI Dynamics？為何在短短一個月內，重量級資訊巨人跨足資安產業？而僅存的Cenzic以滲透測試技術於6月18日甫獲美國專利，又將對產業有何影響？
* Web 2.0面臨哪些新的資安威脅？其因應之道是什麼？什麼是Security 3.0？又有哪些成功的實務案例？
<hr>
第一屆OWASP亞洲年會暨會員大會<s>將於2007年7月20日（週五）下午1點至5點舉行，會議地點定於國立臺灣科技大學公館校區-國際廳</s>'''由於報名人數眾多，原場地座位不敷大會使用，並配合部分國外講者時間異動，大會決定將延期至9月27日(週四)下午1點於台大醫院國際會議中心201室(台北市中正區徐州路二號)延期至9月27日(週四)下午1點於台大醫院國際會議中心201室(台北市中正區徐州路二號)'''，將由國內外知名專家一同與您探討，目前規劃演講者包含任職於國內外產、官、學的資安專家，詳細內容如下。

'''OWASP為國際非營利組織，參加此次活動係完全免費，會場寬敞明亮，備有舒適席次。'''

'''然由於場地限制，請儘速來信報名，會場僅可容納500人，還請包涵。'''

'''請各位欲參加之會員朋友，務必儘速來信報名參加。報名方式請見頁尾。'''

===OWASP台灣分會會長致詞===
====黃耀文(Wayne Huang) ([http://www.armorize.com/?utm_source=HIT&utm_medium=web 阿碼科技]創辦人兼執行長)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''簡介''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

===資策會貴賓致詞===
====許清琦 (資策會副執行長)====
[[Image:Hsu_III_VP.jpg]]

'''簡介''': Dr. Hsu was a professor of the Department of Information Engineering of National Taiwan University for several years and became the Chairman of the Department in 2000. After over 25 years serving at National Taiwan University, Dr. Hsu was promoted as the President of Kai Nan University. Nowadays, Dr. Hsu is the Executive Vice President of the Institute for Information Industry, which provides the innovative R&D, software technologies and interoperbility standards for Taiwan ICT industries on fostering development of the ICT industry.
<hr>

===第一場時段講者(1:00pm-3:30pm)===
====Jeremiah Grossman (WhiteHat Security創辦人兼技術長、InfoWorld 2007年最傑出25位技術長)====

'''英文題目''': '''''The Next Challenge to Web Security: Business Logic Flaws'''''

'''中文題目''': '''''未來Web資安之大挑戰：邏輯漏洞（此演講於本會議做第一次公開！） '''''

'''國際演說''':BlackHat Briefings, Defcon, ISACA, CSI, OWASP, Vanguard, ISSA

'''暢銷書籍''':XSS Attacks

'''講者簡介''': N/A
<hr>

====Daniel Hsu, 徐子文 (美國運通全球安全部東北亞區安全經理、美國產業安全學會ASIS International台灣分會會長、亞洲危機暨安全合作組織執行委員會委員)====

'''英文題目''': '''''From a user perspective, what are CSOs' real concerns?'''''

'''中文題目''': '''''從使用者的角度出發，企業的安全長要的是什麼？'''''

'''國際演說''': 亞洲安全週、國際安全科技博覽會(SecuTech Expo)

'''暢銷書籍''': 企業安全管理完全手冊

'''講者簡介''': N/A
<hr>

====Jack Yu, 余俊賢 (資安人雜誌主編)====

'''英文題目''': '''''Live in Battle: The NetArmy and Cross-Straight Digital Warfare'''''

'''中文題目''': '''''決戰實況: 中國網軍與海峽兩岸資訊戰'''''

'''講者簡介''': N/A
<hr>

===第二場時段講者(3:30pm-5:00pm)===
==== Mike Shema (Qualys首席資安研究員)====
[[Image:owasp_taiwan_mike.jpg|100px]]

此場為英文演說，大會沒有提供同步口譯，還請見諒

'''英文題目''': '''''Automated Tools: Are They Any Good for Enterprises?'''''

'''中文題目''': '''''Web資安--企業如何有效利用自動工具？"'''''

'''國際演說''':BlackHat 2004, RSA 2005, IT Underground 2006, and SACIS 2007. Training at BlackHat conferences in the U.S. and Europe

'''暢銷書籍''':九本資安暢銷書籍之作者包括

[[Image:owasp_taiwan_mike1.jpg|100px]][[Image:owasp_taiwan_mike2.jpg|100px]][[Image:owasp_taiwan_mike3.jpg|100px]][[Image:owasp_taiwan_mike4.jpg|100px]][[Image:owasp_taiwan_mike5.jpg|100px]][[Image:owasp_taiwan_mike6.jpg|100px]][[Image:owasp_taiwan_mike7.png|100px]][[Image:owasp_taiwan_mike8.jpg|100px]][[Image:owasp_taiwan_mike9.jpg|100px]]

'''講者簡介''': Mr. Shema is the co-author of Hacking Exposed: Web Applications, The Anti-Hacker Toolkit, and the author of Hack Notes: Web Application Security. Mr. Shema worked for several years as a consultant and trainer at Foundstone where he conducted information security assessments across a variety of technologies and industries. He also worked at NT Objectives to develop assessment and mitigation strategies for all aspects of web application security. While his security background ranges across network penetration testing, wireless auditing, code review, and training, Mr. Shema primarily focuses on web application security. Mr. Shema is currently employed by Qualys, developing tools that automate the web application audit process.
<hr>

====Wayne Huang, 黃耀文 (OWASP台灣分會會長、[http://www.armorize.com/?utm_source=HIT&utm_medium=web 阿碼科技]創辦人兼執行長)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''英文題目''': '''''Secure Web Developing using Static Analysis'''''

'''中文題目''': '''''利用靜態檢測做好安全Web應用程式開發'''''

'''國際演說''': RSA, ACM/W3C WWW, IEEE DSN, IEEE ISSRE, Hacks in Taiwan

'''暢銷書籍''': Security in the 21st Century, 多篇頂尖IEEE/ACM國際論文

[[Image:owasp_taiwan_wayne1.jpg|100px]]

'''簡介''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

'''以上內容可能改變，請至OWASP台灣分會網頁獲得最新之詳盡會議資訊'''

'''OWASP為國際非營利組織，參加此次活動係完全免費，會場寬敞明亮，備有舒適席次(200名)。'''

'''然由於場地大小限制，席次僅提供來信報名者，同時請報名者於活動當天提早前往入席，還請包涵。'''

'''請各位欲參加之會員朋友，務必儘速來信報名參加。'''

===來信報名===
請email至[mailto:info@owasp.org.tw?subject=OWASP_Taiwan_Registration info@owasp.org.tw]，並註明下列資訊。
#中文姓名:
#英文姓名:
#單位:
#職稱:
#電子郵件:
#聯絡電話:
#免費加入OWASP台灣分會:(空白為願意加入，若不欲加入請填否)

'''鑑於報名人數踴躍，提醒各位務必準時報到以提早入席，目前大會仍並不強制安排座位，從12:30pm開始接受報到。'''

===會場位置===
台大醫院國際會議中心201廳

== 有關OWASP (About OWASP) ==
OWASP(開放Web軟體安全計畫 - Open Web Application Security Project)是一個開放社群、非營利性組織，目前全球有82個分會近萬名會員，其主要目標是研議協助解決Web軟體安全之標準、工具與技術文件，長期致力於協助政府或企業瞭解並改善網頁應用程式與網頁服務的安全性。由於應用範圍日廣，網頁應用安全已經逐漸的受到重視，並漸漸成為在安全領域的一個熱門話題，在此同時，駭客們也悄悄的將焦點轉移到網頁應用程式開發時所會產生的弱點來進行攻擊與破壞。

== OWASP 台灣分會 (OWASP Taiwan Chapter) ==
*[http://www.owasp.org.tw/?utm_source=HIT&utm_medium=web OWASP台灣分會網頁(http://www.owasp.org.tw)]
*電郵:info@owasp.org.tw
*群組:owasp-taiwan@lists.owasp.org
*住址:台北市115南港區三重路19-13號(南港軟體園區)E棟5樓554室

OWASP Asia 2007

2007-09-05T00:56:08Z

Bensonwu:

== 第一屆OWASP亞洲年會 (OWASP Asia 2007) （完全免費）==
'''First OWASP Asia Conference 2007'''

[[Image:owasp_appsec_asia_2007.jpg|800px]]

OWASP破天荒將於台灣召開第一屆亞洲年會，將邀請國內外重量級專家齊聚一堂與會員分享與交流最新資安趨勢與實務案例。

「Web 2.0時代之Security 3.0 — 從實務經驗看Web資安防護之挑戰

* 2007年5月11日，Google開始監控遭駭網站，並貼上危險網站之標籤，政府及企業該如何應對？
* 2007年5月15日，OWASP公佈2007年最新的十大Web弱點，跨站腳本攻擊(XSS)登上榜首，對台灣及全球的含意為何？
* 2007年6月6日，IBM購併Watchfire，HP隨即於6月19日購併SPI Dynamics？為何在短短一個月內，重量級資訊巨人跨足資安產業？而僅存的Cenzic以滲透測試技術於6月18日甫獲美國專利，又將對產業有何影響？
* Web 2.0面臨哪些新的資安威脅？其因應之道是什麼？什麼是Security 3.0？又有哪些成功的實務案例？
<hr>
第一屆OWASP亞洲年會暨會員大會<s>將於2007年7月20日（週五）下午1點至5點舉行，會議地點定於國立臺灣科技大學公館校區-國際廳</s>'''由於報名人數眾多，原場地座位不敷大會使用，並配合部分國外講者時間異動，大會決定將延期至9月27日(週四)下午1點於台大醫院國際會議中心201室(台北市中正區徐州路二號)延期至9月27日(週四)下午1點於台大醫院國際會議中心201室(台北市中正區徐州路二號)'''，將由國內外知名專家一同與您探討，目前規劃演講者包含任職於國內外產、官、學的資安專家，詳細內容如下。

'''OWASP為國際非營利組織，參加此次活動係完全免費，會場寬敞明亮，備有舒適席次。'''

'''然由於場地限制，請儘速來信報名，會場僅可容納500人，還請包涵。'''

'''請各位欲參加之會員朋友，務必儘速來信報名參加。報名方式請見頁尾。'''

===OWASP台灣分會會長致詞===
====黃耀文(Wayne Huang) ([http://www.armorize.com/?utm_source=HIT&utm_medium=web 阿碼科技]創辦人兼執行長)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''簡介''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

===資策會貴賓致詞===
====許清琦 (資策會副執行長)====

'''簡介''': TBD.
<hr>

===第一場時段講者(1:00pm-3:30pm)===
====Jeremiah Grossman (WhiteHat Security創辦人兼技術長、InfoWorld 2007年最傑出25位技術長)====

'''英文題目''': '''''The Next Challenge to Web Security: Business Logic Flaws'''''

'''中文題目''': '''''未來Web資安之大挑戰：邏輯漏洞（此演講於本會議做第一次公開！） '''''

'''國際演說''':BlackHat Briefings, Defcon, ISACA, CSI, OWASP, Vanguard, ISSA

'''暢銷書籍''':XSS Attacks

'''講者簡介''': N/A
<hr>

====Daniel Hsu, 徐子文 (美國運通全球安全部東北亞區安全經理、美國產業安全學會ASIS International台灣分會會長、亞洲危機暨安全合作組織執行委員會委員)====

'''英文題目''': '''''From a user perspective, what are CSOs' real concerns?'''''

'''中文題目''': '''''從使用者的角度出發，企業的安全長要的是什麼？'''''

'''國際演說''': 亞洲安全週、國際安全科技博覽會(SecuTech Expo)

'''暢銷書籍''': 企業安全管理完全手冊

'''講者簡介''': N/A
<hr>

====Jack Yu, 余俊賢 (資安人雜誌主編)====

'''英文題目''': '''''Live in Battle: The NetArmy and Cross-Straight Digital Warfare'''''

'''中文題目''': '''''決戰實況: 中國網軍與海峽兩岸資訊戰'''''

'''講者簡介''': N/A
<hr>

===第二場時段講者(3:30pm-5:00pm)===
==== Mike Shema (Qualys首席資安研究員)====
[[Image:owasp_taiwan_mike.jpg|100px]]

此場為英文演說，大會沒有提供同步口譯，還請見諒

'''英文題目''': '''''Automated Tools: Are They Any Good for Enterprises?'''''

'''中文題目''': '''''Web資安--企業如何有效利用自動工具？"'''''

'''國際演說''':BlackHat 2004, RSA 2005, IT Underground 2006, and SACIS 2007. Training at BlackHat conferences in the U.S. and Europe

'''暢銷書籍''':九本資安暢銷書籍之作者包括

[[Image:owasp_taiwan_mike1.jpg|100px]][[Image:owasp_taiwan_mike2.jpg|100px]][[Image:owasp_taiwan_mike3.jpg|100px]][[Image:owasp_taiwan_mike4.jpg|100px]][[Image:owasp_taiwan_mike5.jpg|100px]][[Image:owasp_taiwan_mike6.jpg|100px]][[Image:owasp_taiwan_mike7.png|100px]][[Image:owasp_taiwan_mike8.jpg|100px]][[Image:owasp_taiwan_mike9.jpg|100px]]

'''講者簡介''': Mr. Shema is the co-author of Hacking Exposed: Web Applications, The Anti-Hacker Toolkit, and the author of Hack Notes: Web Application Security. Mr. Shema worked for several years as a consultant and trainer at Foundstone where he conducted information security assessments across a variety of technologies and industries. He also worked at NT Objectives to develop assessment and mitigation strategies for all aspects of web application security. While his security background ranges across network penetration testing, wireless auditing, code review, and training, Mr. Shema primarily focuses on web application security. Mr. Shema is currently employed by Qualys, developing tools that automate the web application audit process.
<hr>

====Wayne Huang, 黃耀文 (OWASP台灣分會會長、[http://www.armorize.com/?utm_source=HIT&utm_medium=web 阿碼科技]創辦人兼執行長)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''英文題目''': '''''Secure Web Developing using Static Analysis'''''

'''中文題目''': '''''利用靜態檢測做好安全Web應用程式開發'''''

'''國際演說''': RSA, ACM/W3C WWW, IEEE DSN, IEEE ISSRE, Hacks in Taiwan

'''暢銷書籍''': Security in the 21st Century, 多篇頂尖IEEE/ACM國際論文

[[Image:owasp_taiwan_wayne1.jpg|100px]]

'''簡介''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

'''以上內容可能改變，請至OWASP台灣分會網頁獲得最新之詳盡會議資訊'''

'''OWASP為國際非營利組織，參加此次活動係完全免費，會場寬敞明亮，備有舒適席次(200名)。'''

'''然由於場地大小限制，席次僅提供來信報名者，同時請報名者於活動當天提早前往入席，還請包涵。'''

'''請各位欲參加之會員朋友，務必儘速來信報名參加。'''

===來信報名===
請email至[mailto:info@owasp.org.tw?subject=OWASP_Taiwan_Registration info@owasp.org.tw]，並註明下列資訊。
#中文姓名:
#英文姓名:
#單位:
#職稱:
#電子郵件:
#聯絡電話:
#免費加入OWASP台灣分會:(空白為願意加入，若不欲加入請填否)

'''鑑於報名人數踴躍，提醒各位務必準時報到以提早入席，目前大會仍並不強制安排座位，從12:30pm開始接受報到。'''

===會場位置===
台大醫院國際會議中心201廳

== 有關OWASP (About OWASP) ==
OWASP(開放Web軟體安全計畫 - Open Web Application Security Project)是一個開放社群、非營利性組織，目前全球有82個分會近萬名會員，其主要目標是研議協助解決Web軟體安全之標準、工具與技術文件，長期致力於協助政府或企業瞭解並改善網頁應用程式與網頁服務的安全性。由於應用範圍日廣，網頁應用安全已經逐漸的受到重視，並漸漸成為在安全領域的一個熱門話題，在此同時，駭客們也悄悄的將焦點轉移到網頁應用程式開發時所會產生的弱點來進行攻擊與破壞。

== OWASP 台灣分會 (OWASP Taiwan Chapter) ==
*[http://www.owasp.org.tw/?utm_source=HIT&utm_medium=web OWASP台灣分會網頁(http://www.owasp.org.tw)]
*電郵:info@owasp.org.tw
*群組:owasp-taiwan@lists.owasp.org
*住址:台北市115南港區三重路19-13號(南港軟體園區)E棟5樓554室

OWASP Asia 2007

2007-09-04T08:35:50Z

Bensonwu: /* OWASP台灣分會會長致詞 */

== 第一屆OWASP亞洲年會 (OWASP Asia 2007) （完全免費）==
'''First OWASP Asia Conference 2007'''

[[Image:owasp_appsec_asia_2007.jpg|800px]]

OWASP破天荒將於台灣召開第一屆亞洲年會，將邀請國內外重量級專家齊聚一堂與會員分享與交流最新資安趨勢與實務案例。

「Web 2.0時代之Security 3.0 — 從實務經驗看Web資安防護之挑戰

* 2007年5月11日，Google開始監控遭駭網站，並貼上危險網站之標籤，政府及企業該如何應對？
* 2007年5月15日，OWASP公佈2007年最新的十大Web弱點，跨站腳本攻擊(XSS)登上榜首，對台灣及全球的含意為何？
* 2007年6月6日，IBM購併Watchfire，HP隨即於6月19日購併SPI Dynamics？為何在短短一個月內，重量級資訊巨人跨足資安產業？而僅存的Cenzic以滲透測試技術於6月18日甫獲美國專利，又將對產業有何影響？
* Web 2.0面臨哪些新的資安威脅？其因應之道是什麼？什麼是Security 3.0？又有哪些成功的實務案例？
<hr>
第一屆OWASP亞洲年會暨會員大會<s>將於2007年7月20日（週五）下午1點至5點舉行，會議地點定於國立臺灣科技大學公館校區-國際廳</s>'''由於報名人數眾多，原場地座位不敷大會使用，並配合部分國外講者時間異動，大會決定將延期至9月27日(週四)下午1點於台大醫院國際會議中心201室(台北市中正區徐州路二號)延期至9月27日(週四)下午1點於台大醫院國際會議中心201室(台北市中正區徐州路二號)'''，將由國內外知名專家一同與您探討，目前規劃演講者包含任職於國內外產、官、學的資安專家，詳細內容如下。

'''OWASP為國際非營利組織，參加此次活動係完全免費，會場寬敞明亮，備有舒適席次。'''

'''然由於場地限制，席次僅提供前300名來信報名者，還請包涵。'''

'''請各位欲參加之會員朋友，務必儘速來信報名參加。報名方式請見頁尾。'''

===OWASP台灣分會會長致詞===
====黃耀文(Wayne Huang) ([http://www.armorize.com/?utm_source=HIT&utm_medium=web 阿碼科技]創辦人兼執行長)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''簡介''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

===資策會貴賓致詞===
====許清琦 (資策會副執行長)====

'''簡介''': TBD.
<hr>

===第一場時段講者(1:00pm-3:30pm)===
====Jeremiah Grossman (WhiteHat Security創辦人兼技術長、InfoWorld 2007年最傑出25位技術長)====

'''英文題目''': '''''The Next Challenge to Web Security: Business Logic Flaws'''''

'''中文題目''': '''''未來Web資安之大挑戰：邏輯漏洞（此演講於本會議做第一次公開！） '''''

'''國際演說''':BlackHat Briefings, Defcon, ISACA, CSI, OWASP, Vanguard, ISSA

'''暢銷書籍''':XSS Attacks

'''講者簡介''': N/A
<hr>

====Daniel Hsu, 徐子文 (美國運通全球安全部東北亞區安全經理、美國產業安全學會ASIS International台灣分會會長、亞洲危機暨安全合作組織執行委員會委員)====

'''英文題目''': '''''From a user perspective, what are CSOs' real concerns?'''''

'''中文題目''': '''''從使用者的角度出發，企業的安全長要的是什麼？'''''

'''國際演說''': 亞洲安全週、國際安全科技博覽會(SecuTech Expo)

'''暢銷書籍''': 企業安全管理完全手冊

'''講者簡介''': N/A
<hr>

====Jack Yu, 余俊賢 (資安人雜誌主編)====

'''英文題目''': '''''Live in Battle: The NetArmy and Cross-Straight Digital Warfare'''''

'''中文題目''': '''''決戰實況: 中國網軍與海峽兩岸資訊戰'''''

'''講者簡介''': N/A
<hr>

===第二場時段講者(3:30pm-5:00pm)===
==== Mike Shema (Qualys首席資安研究員)====
[[Image:owasp_taiwan_mike.jpg|100px]]

此場為英文演說，大會沒有提供同步口譯，還請見諒

'''英文題目''': '''''Automated Tools: Are They Any Good for Enterprises?'''''

'''中文題目''': '''''Web資安--企業如何有效利用自動工具？"'''''

'''國際演說''':BlackHat 2004, RSA 2005, IT Underground 2006, and SACIS 2007. Training at BlackHat conferences in the U.S. and Europe

'''暢銷書籍''':九本資安暢銷書籍之作者包括

[[Image:owasp_taiwan_mike1.jpg|100px]][[Image:owasp_taiwan_mike2.jpg|100px]][[Image:owasp_taiwan_mike3.jpg|100px]][[Image:owasp_taiwan_mike4.jpg|100px]][[Image:owasp_taiwan_mike5.jpg|100px]][[Image:owasp_taiwan_mike6.jpg|100px]][[Image:owasp_taiwan_mike7.png|100px]][[Image:owasp_taiwan_mike8.jpg|100px]][[Image:owasp_taiwan_mike9.jpg|100px]]

'''講者簡介''': Mr. Shema is the co-author of Hacking Exposed: Web Applications, The Anti-Hacker Toolkit, and the author of Hack Notes: Web Application Security. Mr. Shema worked for several years as a consultant and trainer at Foundstone where he conducted information security assessments across a variety of technologies and industries. He also worked at NT Objectives to develop assessment and mitigation strategies for all aspects of web application security. While his security background ranges across network penetration testing, wireless auditing, code review, and training, Mr. Shema primarily focuses on web application security. Mr. Shema is currently employed by Qualys, developing tools that automate the web application audit process.
<hr>

====Wayne Huang, 黃耀文 (OWASP台灣分會會長、[http://www.armorize.com/?utm_source=HIT&utm_medium=web 阿碼科技]創辦人兼執行長)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''英文題目''': '''''Secure Web Developing using Static Analysis'''''

'''中文題目''': '''''利用靜態檢測做好安全Web應用程式開發'''''

'''國際演說''': RSA, ACM/W3C WWW, IEEE DSN, IEEE ISSRE, Hacks in Taiwan

'''暢銷書籍''': Security in the 21st Century, 多篇頂尖IEEE/ACM國際論文

[[Image:owasp_taiwan_wayne1.jpg|100px]]

'''簡介''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

'''以上內容可能改變，請至OWASP台灣分會網頁獲得最新之詳盡會議資訊'''

'''OWASP為國際非營利組織，參加此次活動係完全免費，會場寬敞明亮，備有舒適席次(200名)。'''

'''然由於場地大小限制，席次僅提供來信報名者，同時請報名者於活動當天提早前往入席，還請包涵。'''

'''請各位欲參加之會員朋友，務必儘速來信報名參加。'''

===來信報名===
請email至[mailto:info@owasp.org.tw?subject=OWASP_Taiwan_Registration info@owasp.org.tw]，並註明下列資訊。
#中文姓名:
#英文姓名:
#單位:
#職稱:
#電子郵件:
#聯絡電話:
#免費加入OWASP台灣分會:(空白為願意加入，若不欲加入請填否)

'''鑑於報名人數踴躍，提醒各位務必準時報到以提早入席，目前大會仍並不強制安排座位，從12:30pm開始接受報到。'''

===會場位置===
台大醫院國際會議中心201廳

== 有關OWASP (About OWASP) ==
OWASP(開放Web軟體安全計畫 - Open Web Application Security Project)是一個開放社群、非營利性組織，目前全球有82個分會近萬名會員，其主要目標是研議協助解決Web軟體安全之標準、工具與技術文件，長期致力於協助政府或企業瞭解並改善網頁應用程式與網頁服務的安全性。由於應用範圍日廣，網頁應用安全已經逐漸的受到重視，並漸漸成為在安全領域的一個熱門話題，在此同時，駭客們也悄悄的將焦點轉移到網頁應用程式開發時所會產生的弱點來進行攻擊與破壞。

== OWASP 台灣分會 (OWASP Taiwan Chapter) ==
*[http://www.owasp.org.tw/?utm_source=HIT&utm_medium=web OWASP台灣分會網頁(http://www.owasp.org.tw)]
*電郵:info@owasp.org.tw
*群組:owasp-taiwan@lists.owasp.org
*住址:台北市115南港區三重路19-13號(南港軟體園區)E棟5樓554室

OWASP AppSec Asia 2007

2007-09-04T04:04:17Z

Bensonwu:

== 第一屆OWASP亞洲年會 (OWASP Asia 2007) （完全免費）==
'''First OWASP Asia Conference 2007'''

[[Image:owasp_appsec_asia_2007.jpg|800px]]

OWASP破天荒將於台灣召開第一屆亞洲年會，將邀請國內外重量級專家齊聚一堂與會員分享與交流最新資安趨勢與實務案例。

「Web 2.0時代之Security 3.0 — 從實務經驗看Web資安防護之挑戰

* 2007年5月11日，Google開始監控遭駭網站，並貼上危險網站之標籤，政府及企業該如何應對？
* 2007年5月15日，OWASP公佈2007年最新的十大Web弱點，跨站腳本攻擊(XSS)登上榜首，對台灣及全球的含意為何？
* 2007年6月6日，IBM購併Watchfire，HP隨即於6月19日購併SPI Dynamics？為何在短短一個月內，重量級資訊巨人跨足資安產業？而僅存的Cenzic以滲透測試技術於6月18日甫獲美國專利，又將對產業有何影響？
* Web 2.0面臨哪些新的資安威脅？其因應之道是什麼？什麼是Security 3.0？又有哪些成功的實務案例？
<hr>
第一屆OWASP亞洲年會暨會員大會<s>將於2007年7月20日（週五）下午1點至5點舉行，會議地點定於國立臺灣科技大學公館校區-國際廳</s>'''由於報名人數眾多，原場地座位不敷大會使用，並配合部分國外講者時間異動，大會決定將延期至9月27日(週四)下午1點於台大醫院國際會議中心201室(台北市中正區徐州路二號)延期至9月27日(週四)下午1點於台大醫院國際會議中心201室(台北市中正區徐州路二號)'''，將由國內外知名專家一同與您探討，目前規劃演講者包含任職於國內外產、官、學的資安專家，詳細內容如下。

'''OWASP為國際非營利組織，參加此次活動係完全免費，會場寬敞明亮，備有舒適席次。'''

'''然由於場地限制，席次僅提供前300名來信報名者，還請包涵。'''

'''請各位欲參加之會員朋友，務必儘速來信報名參加。報名方式請見頁尾。'''

===OWASP台灣分會會長致詞===
====黃耀文(Wayne Huang) ([http://www.armorize.com/?utm_source=HIT&utm_medium=web 阿碼科技]創辦人兼執行長)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''簡介''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

===第一場時段講者(1:00pm-3:30pm)===
====Jeremiah Grossman (WhiteHat Security創辦人兼技術長、InfoWorld 2007年最傑出25位技術長)====

'''英文題目''': '''''The Next Challenge to Web Security: Business Logic Flaws'''''

'''中文題目''': '''''未來Web資安之大挑戰：邏輯漏洞（此演講於本會議做第一次公開！） '''''

'''國際演說''':BlackHat Briefings, Defcon, ISACA, CSI, OWASP, Vanguard, ISSA

'''暢銷書籍''':XSS Attacks

'''講者簡介''': N/A
<hr>

====Daniel Hsu, 徐子文 (美國運通全球安全部東北亞區安全經理、美國產業安全學會ASIS International台灣分會會長、亞洲危機暨安全合作組織執行委員會委員)====

'''英文題目''': '''''From a user perspective, what are CSOs' real concerns?'''''

'''中文題目''': '''''從使用者的角度出發，企業的安全長要的是什麼？'''''

'''國際演說''': 亞洲安全週、國際安全科技博覽會(SecuTech Expo)

'''暢銷書籍''': 企業安全管理完全手冊

'''講者簡介''': N/A
<hr>

====Jack Yu, 余俊賢 (資安人雜誌主編)====

'''英文題目''': '''''Live in Battle: The NetArmy and Cross-Straight Digital Warfare'''''

'''中文題目''': '''''決戰實況: 中國網軍與海峽兩岸資訊戰'''''

'''講者簡介''': N/A
<hr>

===第二場時段講者(3:30pm-5:00pm)===
==== Mike Shema (Qualys首席資安研究員)====
[[Image:owasp_taiwan_mike.jpg|100px]]

此場為英文演說，大會沒有提供同步口譯，還請見諒

'''英文題目''': '''''Automated Tools: Are They Any Good for Enterprises?'''''

'''中文題目''': '''''Web資安--企業如何有效利用自動工具？"'''''

'''國際演說''':BlackHat 2004, RSA 2005, IT Underground 2006, and SACIS 2007. Training at BlackHat conferences in the U.S. and Europe

'''暢銷書籍''':九本資安暢銷書籍之作者包括

[[Image:owasp_taiwan_mike1.jpg|100px]][[Image:owasp_taiwan_mike2.jpg|100px]][[Image:owasp_taiwan_mike3.jpg|100px]][[Image:owasp_taiwan_mike4.jpg|100px]][[Image:owasp_taiwan_mike5.jpg|100px]][[Image:owasp_taiwan_mike6.jpg|100px]][[Image:owasp_taiwan_mike7.png|100px]][[Image:owasp_taiwan_mike8.jpg|100px]][[Image:owasp_taiwan_mike9.jpg|100px]]

'''講者簡介''': Mr. Shema is the co-author of Hacking Exposed: Web Applications, The Anti-Hacker Toolkit, and the author of Hack Notes: Web Application Security. Mr. Shema worked for several years as a consultant and trainer at Foundstone where he conducted information security assessments across a variety of technologies and industries. He also worked at NT Objectives to develop assessment and mitigation strategies for all aspects of web application security. While his security background ranges across network penetration testing, wireless auditing, code review, and training, Mr. Shema primarily focuses on web application security. Mr. Shema is currently employed by Qualys, developing tools that automate the web application audit process.
<hr>

====Wayne Huang, 黃耀文 (OWASP台灣分會會長、[http://www.armorize.com/?utm_source=HIT&utm_medium=web 阿碼科技]創辦人兼執行長)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''英文題目''': '''''Secure Web Developing using Static Analysis'''''

'''中文題目''': '''''利用靜態檢測做好安全Web應用程式開發'''''

'''國際演說''': RSA, ACM/W3C WWW, IEEE DSN, IEEE ISSRE, Hacks in Taiwan

'''暢銷書籍''': Security in the 21st Century, 多篇頂尖IEEE/ACM國際論文

[[Image:owasp_taiwan_wayne1.jpg|100px]]

'''簡介''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

'''以上內容可能改變，請至OWASP台灣分會網頁獲得最新之詳盡會議資訊'''

'''OWASP為國際非營利組織，參加此次活動係完全免費，會場寬敞明亮，備有舒適席次(200名)。'''

'''然由於場地大小限制，席次僅提供來信報名者，同時請報名者於活動當天提早前往入席，還請包涵。'''

'''請各位欲參加之會員朋友，務必儘速來信報名參加。'''

===來信報名===
請email至[mailto:info@owasp.org.tw?subject=OWASP_Taiwan_Registration info@owasp.org.tw]，並註明下列資訊。
#中文姓名:
#英文姓名:
#單位:
#職稱:
#電子郵件:
#聯絡電話:
#免費加入OWASP台灣分會:(空白為願意加入，若不欲加入請填否)

'''鑑於報名人數踴躍，提醒各位務必準時報到以提早入席，目前大會仍並不強制安排座位，從12:30pm開始接受報到。'''

===會場位置===
台大醫院國際會議中心201廳

OWASP AppSec Asia 2007

2007-09-04T04:02:33Z

Bensonwu: Removing all content from page

OWASP Asia 2007

2007-09-04T03:55:50Z

Bensonwu:

== 第一屆OWASP亞洲年會 (OWASP Asia 2007) （完全免費）==
'''First OWASP Asia Conference 2007'''

[[Image:owasp_appsec_asia_2007.jpg|800px]]

OWASP破天荒將於台灣召開第一屆亞洲年會，將邀請國內外重量級專家齊聚一堂與會員分享與交流最新資安趨勢與實務案例。

「Web 2.0時代之Security 3.0 — 從實務經驗看Web資安防護之挑戰

* 2007年5月11日，Google開始監控遭駭網站，並貼上危險網站之標籤，政府及企業該如何應對？
* 2007年5月15日，OWASP公佈2007年最新的十大Web弱點，跨站腳本攻擊(XSS)登上榜首，對台灣及全球的含意為何？
* 2007年6月6日，IBM購併Watchfire，HP隨即於6月19日購併SPI Dynamics？為何在短短一個月內，重量級資訊巨人跨足資安產業？而僅存的Cenzic以滲透測試技術於6月18日甫獲美國專利，又將對產業有何影響？
* Web 2.0面臨哪些新的資安威脅？其因應之道是什麼？什麼是Security 3.0？又有哪些成功的實務案例？
<hr>
第一屆OWASP亞洲年會暨會員大會<s>將於2007年7月20日（週五）下午1點至5點舉行，會議地點定於國立臺灣科技大學公館校區-國際廳</s>'''由於報名人數眾多，原場地座位不敷大會使用，並配合部分國外講者時間異動，大會決定將延期至9月27日(週四)下午1點於台大醫院國際會議中心201室(台北市中正區徐州路二號)延期至9月27日(週四)下午1點於台大醫院國際會議中心201室(台北市中正區徐州路二號)'''，將由國內外知名專家一同與您探討，目前規劃演講者包含任職於國內外產、官、學的資安專家，詳細內容如下。

'''OWASP為國際非營利組織，參加此次活動係完全免費，會場寬敞明亮，備有舒適席次。'''

'''然由於場地限制，席次僅提供前300名來信報名者，還請包涵。'''

'''請各位欲參加之會員朋友，務必儘速來信報名參加。報名方式請見頁尾。'''

===OWASP台灣分會會長致詞===
====黃耀文(Wayne Huang) ([http://www.armorize.com/?utm_source=HIT&utm_medium=web 阿碼科技]創辦人兼執行長)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''簡介''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

===第一場時段講者(1:00pm-3:30pm)===
====Jeremiah Grossman (WhiteHat Security創辦人兼技術長、InfoWorld 2007年最傑出25位技術長)====

'''英文題目''': '''''The Next Challenge to Web Security: Business Logic Flaws'''''

'''中文題目''': '''''未來Web資安之大挑戰：邏輯漏洞（此演講於本會議做第一次公開！） '''''

'''國際演說''':BlackHat Briefings, Defcon, ISACA, CSI, OWASP, Vanguard, ISSA

'''暢銷書籍''':XSS Attacks

'''講者簡介''': N/A
<hr>

====Daniel Hsu, 徐子文 (美國運通全球安全部東北亞區安全經理、美國產業安全學會ASIS International台灣分會會長、亞洲危機暨安全合作組織執行委員會委員)====

'''英文題目''': '''''From a user perspective, what are CSOs' real concerns?'''''

'''中文題目''': '''''從使用者的角度出發，企業的安全長要的是什麼？'''''

'''國際演說''': 亞洲安全週、國際安全科技博覽會(SecuTech Expo)

'''暢銷書籍''': 企業安全管理完全手冊

'''講者簡介''': N/A
<hr>

====Jack Yu, 余俊賢 (資安人雜誌主編)====

'''英文題目''': '''''Live in Battle: The NetArmy and Cross-Straight Digital Warfare'''''

'''中文題目''': '''''決戰實況: 中國網軍與海峽兩岸資訊戰'''''

'''講者簡介''': N/A
<hr>

===第二場時段講者(3:30pm-5:00pm)===
==== Mike Shema (Qualys首席資安研究員)====
[[Image:owasp_taiwan_mike.jpg|100px]]

此場為英文演說，大會沒有提供同步口譯，還請見諒

'''英文題目''': '''''Automated Tools: Are They Any Good for Enterprises?'''''

'''中文題目''': '''''Web資安--企業如何有效利用自動工具？"'''''

'''國際演說''':BlackHat 2004, RSA 2005, IT Underground 2006, and SACIS 2007. Training at BlackHat conferences in the U.S. and Europe

'''暢銷書籍''':九本資安暢銷書籍之作者包括

[[Image:owasp_taiwan_mike1.jpg|100px]][[Image:owasp_taiwan_mike2.jpg|100px]][[Image:owasp_taiwan_mike3.jpg|100px]][[Image:owasp_taiwan_mike4.jpg|100px]][[Image:owasp_taiwan_mike5.jpg|100px]][[Image:owasp_taiwan_mike6.jpg|100px]][[Image:owasp_taiwan_mike7.png|100px]][[Image:owasp_taiwan_mike8.jpg|100px]][[Image:owasp_taiwan_mike9.jpg|100px]]

'''講者簡介''': Mr. Shema is the co-author of Hacking Exposed: Web Applications, The Anti-Hacker Toolkit, and the author of Hack Notes: Web Application Security. Mr. Shema worked for several years as a consultant and trainer at Foundstone where he conducted information security assessments across a variety of technologies and industries. He also worked at NT Objectives to develop assessment and mitigation strategies for all aspects of web application security. While his security background ranges across network penetration testing, wireless auditing, code review, and training, Mr. Shema primarily focuses on web application security. Mr. Shema is currently employed by Qualys, developing tools that automate the web application audit process.
<hr>

====Wayne Huang, 黃耀文 (OWASP台灣分會會長、[http://www.armorize.com/?utm_source=HIT&utm_medium=web 阿碼科技]創辦人兼執行長)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''英文題目''': '''''Secure Web Developing using Static Analysis'''''

'''中文題目''': '''''利用靜態檢測做好安全Web應用程式開發'''''

'''國際演說''': RSA, ACM/W3C WWW, IEEE DSN, IEEE ISSRE, Hacks in Taiwan

'''暢銷書籍''': Security in the 21st Century, 多篇頂尖IEEE/ACM國際論文

[[Image:owasp_taiwan_wayne1.jpg|100px]]

'''簡介''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

'''以上內容可能改變，請至OWASP台灣分會網頁獲得最新之詳盡會議資訊'''

'''OWASP為國際非營利組織，參加此次活動係完全免費，會場寬敞明亮，備有舒適席次(200名)。'''

'''然由於場地大小限制，席次僅提供來信報名者，同時請報名者於活動當天提早前往入席，還請包涵。'''

'''請各位欲參加之會員朋友，務必儘速來信報名參加。'''

===來信報名===
請email至[mailto:info@owasp.org.tw?subject=OWASP_Taiwan_Registration info@owasp.org.tw]，並註明下列資訊。
#中文姓名:
#英文姓名:
#單位:
#職稱:
#電子郵件:
#聯絡電話:
#免費加入OWASP台灣分會:(空白為願意加入，若不欲加入請填否)

'''鑑於報名人數踴躍，提醒各位務必準時報到以提早入席，目前大會仍並不強制安排座位，從12:30pm開始接受報到。'''

===會場位置===
台大醫院國際會議中心201廳

== 有關OWASP (About OWASP) ==
OWASP(開放Web軟體安全計畫 - Open Web Application Security Project)是一個開放社群、非營利性組織，目前全球有82個分會近萬名會員，其主要目標是研議協助解決Web軟體安全之標準、工具與技術文件，長期致力於協助政府或企業瞭解並改善網頁應用程式與網頁服務的安全性。由於應用範圍日廣，網頁應用安全已經逐漸的受到重視，並漸漸成為在安全領域的一個熱門話題，在此同時，駭客們也悄悄的將焦點轉移到網頁應用程式開發時所會產生的弱點來進行攻擊與破壞。

== OWASP 台灣分會 (OWASP Taiwan Chapter) ==
*[http://www.owasp.org.tw/?utm_source=HIT&utm_medium=web OWASP台灣分會網頁(http://www.owasp.org.tw)]
*電郵:info@owasp.org.tw
*群組:owasp-taiwan@lists.owasp.org
*住址:台北市115南港區三重路19-13號(南港軟體園區)E棟5樓554室

OWASP Asia 2007

2007-09-04T03:54:56Z

Bensonwu: Replacing page with 'test'

test

File:Owasp appsec asia 2007.jpg

2007-09-04T03:46:06Z

Bensonwu:

OWASP AppSec Asia 2007

2007-09-04T03:43:31Z

Bensonwu: New page: == 第一屆OWASP亞洲年會 (OWASP Asia 2007) （完全免費）== '''First OWASP Asia Conference 2007''' 800px OWASP破天荒將於台灣召開第...

== 第一屆OWASP亞洲年會 (OWASP Asia 2007) （完全免費）==
'''First OWASP Asia Conference 2007'''

[[Image:owasp_appsec_asia_2007.jpg|800px]]

OWASP破天荒將於台灣召開第一屆亞洲年會，將邀請國內外重量級專家齊聚一堂與會員分享與交流最新資安趨勢與實務案例。

「Web 2.0時代之Security 3.0 — 從實務經驗看Web資安防護之挑戰

* 2007年5月11日，Google開始監控遭駭網站，並貼上危險網站之標籤，政府及企業該如何應對？
* 2007年5月15日，OWASP公佈2007年最新的十大Web弱點，跨站腳本攻擊(XSS)登上榜首，對台灣及全球的含意為何？
* 2007年6月6日，IBM購併Watchfire，HP隨即於6月19日購併SPI Dynamics？為何在短短一個月內，重量級資訊巨人跨足資安產業？而僅存的Cenzic以滲透測試技術於6月18日甫獲美國專利，又將對產業有何影響？
* Web 2.0面臨哪些新的資安威脅？其因應之道是什麼？什麼是Security 3.0？又有哪些成功的實務案例？
<hr>
第一屆OWASP亞洲年會暨會員大會<s>將於2007年7月20日（週五）下午1點至5點舉行，會議地點定於國立臺灣科技大學公館校區-國際廳</s>'''由於報名人數眾多，原場地座位不敷大會使用，並配合部分國外講者時間異動，大會決定將延期至9月27日(週四)下午1點於台大醫院國際會議中心201室(台北市中正區徐州路二號)延期至9月27日(週四)下午1點於台大醫院國際會議中心201室(台北市中正區徐州路二號)'''，將由國內外知名專家一同與您探討，目前規劃演講者包含任職於國內外產、官、學的資安專家，詳細內容如下。

'''OWASP為國際非營利組織，參加此次活動係完全免費，會場寬敞明亮，備有舒適席次。'''

'''然由於場地限制，席次僅提供前300名來信報名者，還請包涵。'''

'''請各位欲參加之會員朋友，務必儘速來信報名參加。報名方式請見頁尾。'''

===OWASP台灣分會會長致詞===
====黃耀文(Wayne Huang) ([http://www.armorize.com/?utm_source=HIT&utm_medium=web 阿碼科技]創辦人兼執行長)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''簡介''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

===第一場時段講者(1:00pm-3:30pm)===
====Jeremiah Grossman (WhiteHat Security創辦人兼技術長、InfoWorld 2007年最傑出25位技術長)====

'''英文題目''': '''''The Next Challenge to Web Security: Business Logic Flaws'''''

'''中文題目''': '''''未來Web資安之大挑戰：邏輯漏洞（此演講於本會議做第一次公開！） '''''

'''國際演說''':BlackHat Briefings, Defcon, ISACA, CSI, OWASP, Vanguard, ISSA

'''暢銷書籍''':XSS Attacks

'''講者簡介''': N/A
<hr>

====Daniel Hsu, 徐子文 (美國運通全球安全部東北亞區安全經理、美國產業安全學會ASIS International台灣分會會長、亞洲危機暨安全合作組織執行委員會委員)====

'''英文題目''': '''''From a user perspective, what are CSOs' real concerns?'''''

'''中文題目''': '''''從使用者的角度出發，企業的安全長要的是什麼？'''''

'''國際演說''': 亞洲安全週、國際安全科技博覽會(SecuTech Expo)

'''暢銷書籍''': 企業安全管理完全手冊

'''講者簡介''': N/A
<hr>

====Jack Yu, 余俊賢 (資安人雜誌主編)====

'''英文題目''': '''''Live in Battle: The NetArmy and Cross-Straight Digital Warfare'''''

'''中文題目''': '''''決戰實況: 中國網軍與海峽兩岸資訊戰'''''

'''講者簡介''': N/A
<hr>

===第二場時段講者(3:30pm-5:00pm)===
==== Mike Shema (Qualys首席資安研究員)====
[[Image:owasp_taiwan_mike.jpg|100px]]

此場為英文演說，大會沒有提供同步口譯，還請見諒

'''英文題目''': '''''Automated Tools: Are They Any Good for Enterprises?'''''

'''中文題目''': '''''Web資安--企業如何有效利用自動工具？"'''''

'''國際演說''':BlackHat 2004, RSA 2005, IT Underground 2006, and SACIS 2007. Training at BlackHat conferences in the U.S. and Europe

'''暢銷書籍''':九本資安暢銷書籍之作者包括

[[Image:owasp_taiwan_mike1.jpg|100px]][[Image:owasp_taiwan_mike2.jpg|100px]][[Image:owasp_taiwan_mike3.jpg|100px]][[Image:owasp_taiwan_mike4.jpg|100px]][[Image:owasp_taiwan_mike5.jpg|100px]][[Image:owasp_taiwan_mike6.jpg|100px]][[Image:owasp_taiwan_mike7.png|100px]][[Image:owasp_taiwan_mike8.jpg|100px]][[Image:owasp_taiwan_mike9.jpg|100px]]

'''講者簡介''': Mr. Shema is the co-author of Hacking Exposed: Web Applications, The Anti-Hacker Toolkit, and the author of Hack Notes: Web Application Security. Mr. Shema worked for several years as a consultant and trainer at Foundstone where he conducted information security assessments across a variety of technologies and industries. He also worked at NT Objectives to develop assessment and mitigation strategies for all aspects of web application security. While his security background ranges across network penetration testing, wireless auditing, code review, and training, Mr. Shema primarily focuses on web application security. Mr. Shema is currently employed by Qualys, developing tools that automate the web application audit process.
<hr>

====Wayne Huang, 黃耀文 (OWASP台灣分會會長、[http://www.armorize.com/?utm_source=HIT&utm_medium=web 阿碼科技]創辦人兼執行長)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''英文題目''': '''''Secure Web Developing using Static Analysis'''''

'''中文題目''': '''''利用靜態檢測做好安全Web應用程式開發'''''

'''國際演說''': RSA, ACM/W3C WWW, IEEE DSN, IEEE ISSRE, Hacks in Taiwan

'''暢銷書籍''': Security in the 21st Century, 多篇頂尖IEEE/ACM國際論文

[[Image:owasp_taiwan_wayne1.jpg|100px]]

'''簡介''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

'''以上內容可能改變，請至OWASP台灣分會網頁獲得最新之詳盡會議資訊'''

'''OWASP為國際非營利組織，參加此次活動係完全免費，會場寬敞明亮，備有舒適席次(200名)。'''

'''然由於場地大小限制，席次僅提供來信報名者，同時請報名者於活動當天提早前往入席，還請包涵。'''

'''請各位欲參加之會員朋友，務必儘速來信報名參加。'''

===來信報名===
請email至[mailto:info@owasp.org.tw?subject=OWASP_Taiwan_Registration info@owasp.org.tw]，並註明下列資訊。
#中文姓名:
#英文姓名:
#單位:
#職稱:
#電子郵件:
#聯絡電話:
#免費加入OWASP台灣分會:(空白為願意加入，若不欲加入請填否)

'''鑑於報名人數踴躍，提醒各位務必準時報到以提早入席，目前大會仍並不強制安排座位，從12:30pm開始接受報到。'''

===會場位置===
台大醫院國際會議中心201廳

OWASP Asia 2007

2007-09-04T02:57:24Z

Bensonwu: /* 第一屆OWASP亞洲年會 (OWASP Asia 2007) （完全免費） */

== 第一屆OWASP亞洲年會 (OWASP Asia 2007) （完全免費）==
'''First OWASP Asia Conference 2007'''

[[Image:owasp_taiwan_2007.jpg|800px]]

OWASP破天荒將於台灣召開第一屆亞洲年會，將邀請國內外重量級專家齊聚一堂與會員分享與交流最新資安趨勢與實務案例。

「Web 2.0時代之Security 3.0 — 從實務經驗看Web資安防護之挑戰

* 2007年5月11日，Google開始監控遭駭網站，並貼上危險網站之標籤，政府及企業該如何應對？
* 2007年5月15日，OWASP公佈2007年最新的十大Web弱點，跨站腳本攻擊(XSS)登上榜首，對台灣及全球的含意為何？
* 2007年6月6日，IBM購併Watchfire，HP隨即於6月19日購併SPI Dynamics？為何在短短一個月內，重量級資訊巨人跨足資安產業？而僅存的Cenzic以滲透測試技術於6月18日甫獲美國專利，又將對產業有何影響？
* Web 2.0面臨哪些新的資安威脅？其因應之道是什麼？什麼是Security 3.0？又有哪些成功的實務案例？
<hr>
第一屆OWASP亞洲年會暨會員大會<s>將於2007年7月20日（週五）下午1點至5點舉行，會議地點定於國立臺灣科技大學公館校區-國際廳</s>'''由於報名人數眾多，原場地座位不敷大會使用，並配合部分國外講者時間異動，大會決定將延期至9月27日(週四)下午1點於台大醫院國際會議中心201室(台北市中正區徐州路二號)延期至9月27日(週四)下午1點於台大醫院國際會議中心201室(台北市中正區徐州路二號)'''，將由國內外知名專家一同與您探討，目前規劃演講者包含任職於國內外產、官、學的資安專家，詳細內容如下。

'''OWASP為國際非營利組織，參加此次活動係完全免費，會場寬敞明亮，備有舒適席次。'''

'''然由於場地限制，席次僅提供前300名來信報名者，還請包涵。'''

'''請各位欲參加之會員朋友，務必儘速來信報名參加。報名方式請見頁尾。'''

===OWASP台灣分會會長致詞===
====黃耀文(Wayne Huang) ([http://www.armorize.com/?utm_source=HIT&utm_medium=web 阿碼科技]創辦人兼執行長)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''簡介''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

===第一場時段講者(1:00pm-3:30pm)===
====Jeremiah Grossman (WhiteHat Security創辦人兼技術長、InfoWorld 2007年最傑出25位技術長)====

'''英文題目''': '''''The Next Challenge to Web Security: Business Logic Flaws'''''

'''中文題目''': '''''未來Web資安之大挑戰：邏輯漏洞（此演講於本會議做第一次公開！） '''''

'''國際演說''':BlackHat Briefings, Defcon, ISACA, CSI, OWASP, Vanguard, ISSA

'''暢銷書籍''':XSS Attacks

'''講者簡介''': N/A
<hr>

====Daniel Hsu, 徐子文 (美國運通全球安全部東北亞區安全經理、美國產業安全學會ASIS International台灣分會會長、亞洲危機暨安全合作組織執行委員會委員)====

'''英文題目''': '''''From a user perspective, what are CSOs' real concerns?'''''

'''中文題目''': '''''從使用者的角度出發，企業的安全長要的是什麼？'''''

'''國際演說''': 亞洲安全週、國際安全科技博覽會(SecuTech Expo)

'''暢銷書籍''': 企業安全管理完全手冊

'''講者簡介''': N/A
<hr>

====Jack Yu, 余俊賢 (資安人雜誌主編)====

'''英文題目''': '''''Live in Battle: The NetArmy and Cross-Straight Digital Warfare'''''

'''中文題目''': '''''決戰實況: 中國網軍與海峽兩岸資訊戰'''''

'''講者簡介''': N/A
<hr>

===第二場時段講者(3:30pm-5:00pm)===
==== Mike Shema (Qualys首席資安研究員)====
[[Image:owasp_taiwan_mike.jpg|100px]]

此場為英文演說，大會沒有提供同步口譯，還請見諒

'''英文題目''': '''''Automated Tools: Are They Any Good for Enterprises?'''''

'''中文題目''': '''''Web資安--企業如何有效利用自動工具？"'''''

'''國際演說''':BlackHat 2004, RSA 2005, IT Underground 2006, and SACIS 2007. Training at BlackHat conferences in the U.S. and Europe

'''暢銷書籍''':九本資安暢銷書籍之作者包括

[[Image:owasp_taiwan_mike1.jpg|100px]][[Image:owasp_taiwan_mike2.jpg|100px]][[Image:owasp_taiwan_mike3.jpg|100px]][[Image:owasp_taiwan_mike4.jpg|100px]][[Image:owasp_taiwan_mike5.jpg|100px]][[Image:owasp_taiwan_mike6.jpg|100px]][[Image:owasp_taiwan_mike7.png|100px]][[Image:owasp_taiwan_mike8.jpg|100px]][[Image:owasp_taiwan_mike9.jpg|100px]]

'''講者簡介''': Mr. Shema is the co-author of Hacking Exposed: Web Applications, The Anti-Hacker Toolkit, and the author of Hack Notes: Web Application Security. Mr. Shema worked for several years as a consultant and trainer at Foundstone where he conducted information security assessments across a variety of technologies and industries. He also worked at NT Objectives to develop assessment and mitigation strategies for all aspects of web application security. While his security background ranges across network penetration testing, wireless auditing, code review, and training, Mr. Shema primarily focuses on web application security. Mr. Shema is currently employed by Qualys, developing tools that automate the web application audit process.
<hr>

====Wayne Huang, 黃耀文 (OWASP台灣分會會長、[http://www.armorize.com/?utm_source=HIT&utm_medium=web 阿碼科技]創辦人兼執行長)====
[[Image:owasp_taiwan_wayne.jpg|100px]]

'''英文題目''': '''''Secure Web Developing using Static Analysis'''''

'''中文題目''': '''''利用靜態檢測做好安全Web應用程式開發'''''

'''國際演說''': RSA, ACM/W3C WWW, IEEE DSN, IEEE ISSRE, Hacks in Taiwan

'''暢銷書籍''': Security in the 21st Century, 多篇頂尖IEEE/ACM國際論文

[[Image:owasp_taiwan_wayne1.jpg|100px]]

'''簡介''': Wayne Huang is first author of two award-winning security papers in the International WWW Conference (2003, 2004) and the co-author of "Computer Security in the 21st Century". Wayne is the founder and CEO of [http://www.armorize.com/?utm_source=HIT&utm_medium=web Armorize Technologies]. He received the Microsoft Research Fellowship in 2005. He is a Ph.D. candidate at EE, National Taiwan University. He was the first author of many well-cited papers on web application security.
<hr>

'''以上內容可能改變，請至OWASP台灣分會網頁獲得最新之詳盡會議資訊'''

'''OWASP為國際非營利組織，參加此次活動係完全免費，會場寬敞明亮，備有舒適席次(200名)。'''

'''然由於場地大小限制，席次僅提供來信報名者，同時請報名者於活動當天提早前往入席，還請包涵。'''

'''請各位欲參加之會員朋友，務必儘速來信報名參加。'''

===來信報名===
請email至[mailto:info@owasp.org.tw?subject=OWASP_Taiwan_Registration info@owasp.org.tw]，並註明下列資訊。
#中文姓名:
#英文姓名:
#單位:
#職稱:
#電子郵件:
#聯絡電話:
#免費加入OWASP台灣分會:(空白為願意加入，若不欲加入請填否)

'''鑑於報名人數踴躍，提醒各位務必準時報到以提早入席，目前大會仍並不強制安排座位，從12:30pm開始接受報到。'''

===會場位置===
台大醫院國際會議中心201廳

== 有關OWASP (About OWASP) ==
OWASP(開放Web軟體安全計畫 - Open Web Application Security Project)是一個開放社群、非營利性組織，目前全球有82個分會近萬名會員，其主要目標是研議協助解決Web軟體安全之標準、工具與技術文件，長期致力於協助政府或企業瞭解並改善網頁應用程式與網頁服務的安全性。由於應用範圍日廣，網頁應用安全已經逐漸的受到重視，並漸漸成為在安全領域的一個熱門話題，在此同時，駭客們也悄悄的將焦點轉移到網頁應用程式開發時所會產生的弱點來進行攻擊與破壞。

== OWASP 台灣分會 (OWASP Taiwan Chapter) ==
*[http://www.owasp.org.tw/?utm_source=HIT&utm_medium=web OWASP台灣分會網頁(http://www.owasp.org.tw)]
*電郵:info@owasp.org.tw
*群組:owasp-taiwan@lists.owasp.org
*住址:台北市115南港區三重路19-13號(南港軟體園區)E棟5樓554室

Taiwan

2007-09-04T02:55:52Z

Bensonwu: /* [http://hitcon.org 第三屆台灣駭客年會(HIT 2007)] */

[[Image:OWASP_TW_Banner.png]]

歡迎加入OWASP台灣分會！「網站安全的第一步，從加入OWASP台灣分會開始」。

台灣分會會長[mailto:wayne@owasp.org.tw 黃耀文先生（Wayne Huang）]暨分會工作同仁衷心肯定您的參與，不管您在何處，甚至您僅曾留下網路足跡於台灣，感謝您願意跟大家一起分享，讓我們用更多不同的角度來檢視Web安全的趨勢、威脅、問題與解決方案。

== 歡迎光臨 OWASP 台灣分會 ==

== 最新活動 ==
=== [[Taiwan_OWASP_2007|第一屆OWASP官方亞洲年會(OWASP Asia 2007)]] ===
'''Security 3.0 in Web 2.0 Age — Practices and Challenges of Web 2.0 Security'''

[http://www.owasp.org/index.php/Taiwan_OWASP_2007 http://www.owasp.org/images/f/f7/Owasp_taiwan_2007small.png]

Whitehat Security、美國運通(American Express)、阿碼科技(Armorize)、Qualys等跨國企業與資安公司的高階主管與首席研究員齊聚台灣，您知道他們如何看待Web 2.0時代之 Security 3.0嗎？對台灣與全球的含意是什麼？我政府、企業與一般使用者又該如何因應？從下面這些2007年的資安界大新聞，透露著怎樣的訊息？
* 5月11日起，Google開始監控遭駭網站，並貼上危險網站之標籤!
* 5月15日月OWASP公佈2007年最新的十大Web弱點，跨站腳本攻擊(XSS)登上榜首!
* 6月6日IBM購併Watchfire，HP隨即於6月19日購併SPI Dynamics!而僅存的Cenzic以滲透測試技術於6月18日獲得美國專利!
* Web 2.0的資安威脅？因應之道？Security 3.0？成功的實務案例？
[[Taiwan_OWASP_2007|第一屆OWASP官方亞洲年會]]將於9月27日(週四)下午1點於台大醫院國際會議中心201室(台北市中正區徐州路二號)'''舉辦，歡迎您來共襄盛舉，滿載而歸![[Taiwan_OWASP_2007|還有更多...]]

=== [http://hitcon.org 第三屆台灣駭客年會(HIT 2007)] ===

[http://hitcon.org 第三屆台灣駭客年會(HIT 2007)]已於2007年7月21日(週六)至22日(週日)在國立臺灣科技大學公館校區圓滿落幕，活動盛況空前，詳情請見 HIT 2007 官方網站:
[http://hitcon.org http://www.owasp.org/images/b/b5/Owasp_taiwan_HIT-linkLOGO.gif] http://hitcon.org

== 歡迎您的參與 ==
加入OWASP台灣分會不需任何費用，會員資格完全開放給任何對於應用程式安全有興趣的人士，
我們鼓勵會員於OWASP台灣分會分享他們的知識並提供專題演講，
而在加入會員前，請您仔細閱讀[https://www.owasp.org/index.php/Chapter_Rules 分會會員手則]。
若要加入本分會的mailing list，請連結到[http://lists.owasp.org/mailman/listinfo/owasp-taiwan mailing list]網頁，
所有的活動討論與活動地點將透過這個清單來討論，
您也可以從[http://lists.owasp.org/pipermail/owasp-taiwan/ email 討論備份]中找到我們之前討論的備份。
最後提醒您，參加活動前，請再次檢查您mailing list的信件以確定活動地點與時間，或是任何有關活動記錄的事項。

== 有關OWASP (About OWASP) ==
OWASP(開放Web軟體安全計畫 - Open Web Application Security Project)是一個開放社群、非營利性組織，目前全球有82個分會近萬名會員，其主要目標是研議協助解決Web軟體安全之標準、工具與技術文件，長期致力於協助政府或企業瞭解並改善網頁應用程式與網頁服務的安全性。由於應用範圍日廣，網頁應用安全已經逐漸的受到重視，並漸漸成為在安全領域的一個熱門話題，在此同時，駭客們也悄悄的將焦點轉移到網頁應用程式開發時所會產生的弱點來進行攻擊與破壞。

美國聯邦貿易委員會(FTC)強烈建議所有企業需遵循OWASP所發佈的十大Web弱點防護守則、美國國防部亦列為最佳實務，國際信用卡資料安全技術PCI標準更將其列為必要元件。目前OWASP有30多個進行中的計畫，包括最知名的OWASP Top 10(十大Web弱點)、WebGoat(代罪羔羊)練習平台、安全PHP/Java/ASP.Net等計畫，針對不同的軟體安全問題在進行討論與研究。

當貴單位決定開放網頁服務時，就必須讓來自於全球的網頁請求進入單位內部的網頁伺服器。駭客可以藉由隱藏在合法的網頁請求內，通過防火牆、入侵偵測系統或其他防禦系統的偵測，堂而皇之的進入單位內部或藉由單位網站充當跳板與中繼站而向其他受害者發動攻擊。這意味著企業的網頁程式碼也必須成為機關(構)單位周邊的安全防護之一，當單位網頁服務的規模與複雜性增加時，單位暴露於外的風險也逐漸增加。

== OWASP 台灣分會 (OWASP Taiwan Chapter) ==
*網頁:http://www.owasp.org.tw
*電郵:info@owasp.org.tw
*群組:owasp-taiwan@lists.owasp.org
*住址:台北市115南港區三重路19-13號(南港軟體園區)E棟5樓554室

{{Chapter Template|chaptername=Taiwan|extra=The chapter leader is [mailto:wayne@owasp.org.tw Wayne Huang]|mailinglistsite=http://lists.owasp.org/mailman/listinfo/owasp-taiwan|emailarchives=http://lists.owasp.org/pipermail/owasp-taiwan}}

Chapter meetings are held several times a year, typically in the offices of our sponsor.

Please subscribe to the mailing list for meeting announcements.

Our chapter is sponsored by [http://www.armorize.com/?utm_source=OWASP%2BTW%2BMain&utm_medium=web Armorize Technologies].
感謝[http://www.armorize.com/?utm_source=OWASP%2BTW%2BMain&utm_medium=web 美商阿碼科技]提供會議茶水、食物與活動贊助!

== 免費加入OWASP台灣分會 ==



'''加入OWASP台灣分會不需任何費用，會員可享有：'''

1. 不定期由OWASP台灣分會發行之Web攻防CDROM，目前為V1.0，填妥入會資料後會由工作人員郵寄送達。V1.0 CDROM內容包括：

##OWASP-Taiwan-Web安全簡介投影片
##OWASP-Taiwan-2007年首份研討會講義
##OWASP-Taiwan-免費Web安全工具
##OWASP-Top10-最新十大Web弱點
##OWASP-代罪羔羊(WebGoat)工具(免下載)
##OWASP-Guide-參考指引計畫內容
##OWASP測試計畫內容

[http://www.owasp.org.tw/member/registration.php http://www.owasp.org/images/d/d9/OWASP-TW-2.jpg]

2. OWASP台灣分會電子報。

'''加入會員方法請見本頁下方''' '''[[#如何加入會員|如何加入會員]]'''

加入OWASP台灣分會不需任何費用，會員資格完全開放給任何對於應用程式安全有興趣的人士， 
我們鼓勵會員於OWASP台灣分會分享他們的知識並提供專題演講， 
而在加入會員前，請您仔細閱讀[https://www.owasp.org/index.php/Chapter_Rules 分會會員手則]。

若要加入本分會的mailing list，請連結到[http://lists.owasp.org/mailman/listinfo/owasp-taiwan mailing list]網頁， 
所有的活動討論與活動地點將透過這個清單來討論， 
您也可以從[http://lists.owasp.org/pipermail/owasp-taiwan/ email 討論備份]中找到我們之前討論的備份。

最後提醒您，參加活動前，請再次檢查您mailing list的信件以確定活動地點與時間，或是任何有關活動記錄的事項。

== OWASP台灣分會部落格 blog ==
需要一手資安情報，技術分析，市場資訊嗎？

歡迎常來 [http://www.owasp.org.tw/blog OWASP台灣分會部落格 blog]

[http://www.owasp.org.tw/blog http://www.owasp.org/images/d/da/OWASP_Banner_Blog.png]


== 如何加入會員 ==
歡迎免費加入OWASP Taiwan台灣分會！加入方式有三種，線上報名，email報名以及傳真報名：
工作同仁會持續通知所有會員有關OWASP最新活動資訊與座談會議程.

=== 線上報名 ===
請[http://www.owasp.org.tw/member/registration.php 按此填寫線上報名單]

=== Email報名 ===
請email：[mailto:info@owasp.org.tw info@owasp.org.tw]加入台灣分會,請註明下列資訊.
#姓名
#單位
#職稱
#電子郵件
#聯絡電話

=== 傳真報名 ===
請列印此報名表,填寫後傳真至(02)6616-1100即可.

[[Image:owasp_taiwan_opening.jpg|800px]]

== 近期消息 ==

*Web安全新聞:在2007年6月11日，iThome報導「[http://www.ithome.com.tw/itadm/article.php?c=43813 網站安全潰堤，不安全就沒顧客]」，深入追蹤Google搜尋引擎因應惡意網站之新措施，其搜尋結果會為有資安問題的網站貼上警告標籤，並阻止使用者直接瀏覽。

*OWASP台灣分會參展:在2007年4月16至18日，台北國際資安展(http://www.secutech.com/tw/is/index.asp) 隆重登場，OWASP台灣分會邀您蒞臨攤位A402與A404，即可獲得Web資安光碟一張，並親自動手體驗比滲透測試、弱點稽核等傳統資安檢測方式更為優異的自動源碼檢測技術。

*Web安全新聞:在2007年4月11日，iThome報導「[http://www.ithome.com.tw/itadm/article.php?c=42866 OWASP台灣分會成立會員免費招募中，盼助我國Web安全防護跟上國際趨勢]」。

*Web安全新聞:在2007年4月9日，蘋果日報報導台灣已有ESPN體育台等許多與民眾生活息息相關的二十七個官網，三月以來陸續遭駭客植入木馬後門，藉由軟體廠商尚無修補程式的「零時差攻擊」（Zero-Day Attack），無辜使用者只要連上網瀏覽，電腦就中獎，輕者帳號、密碼遭竊，身分被盜用；重者機敏資料外洩或財物損失。

*Web應用程式安全研討會:在2007年3月27至4月11日，行政院研考會與資通安全會報技服中心舉辦之[http://sid.iii.org.tw/96Q1_ISMS/ 政府資通安全防護巡迴研討會－資安發展趨勢及網路應用服務資訊安全]，歡迎政府機關(構)負責資通安全相關人員踴躍參加。NEW![https://www.owasp.org/images/b/b1/%E5%B7%A1%E8%BF%B4%E7%A0%94%E8%A8%8E%E6%9C%83%E8%AC%9B%E7%BE%A9_Web.pdf 研討會講義下載]

*Web安全新聞:在2007年3月21日，中國時報報導「上網最不安全國家，台灣高居第二」，由法務部調查局、刑事局等單位共同針對台灣網路安全進行觀察發現，台灣網路的資訊安全威脅，高居亞洲第二，僅次於中國。2007年初至今，平均每天都會發生5件駭客入侵事件。

*Web安全新聞:在2007年3月8日，東森新聞報導「台灣駭客攻擊事件四小龍之冠，90％銀行曾遭入侵」，然而許多企業都以沒有預算為由，不願意增加防護設備與人力，被駭客竄改入侵網頁，不瞭解背後嚴重的意義，網頁改回後，並沒有增加防護設備，甚至還有單一企業被駭連續高達82次。[http://www.ettoday.com/2007/03/08/339-2063921.htm 原新聞連結]

[[Image:Owasp taiwan first gathering.png]]

== 網站與Web服務的五大資安困境 ==
#IT人員不足
#缺乏資安領域專業知識
#功能性驗收為主
#缺乏自動化工具
#成本、效率導向專案模式不利確保專案品質

==最新2007年OWASP十大Web資安漏洞 (2007 OWASP Top 10)==
===十大Web資安漏洞列表===
*Cross-Site Scripting：中文翻譯為跨站腳本攻擊。Web應用程式直接將來自使用者的執行請求送回瀏覽器執行，使得攻擊者可擷取使用者的Cookie或Session資料而能直接登入成使用者。
*Injection Flaw：Web應用程式執行來自外部包括資料庫在內的惡意指令，SQL Injection, Command Injection等攻擊包括在內。
*Malicious File Execution：Web應用程式引入來自外部的惡意檔案並執行檔案內容。
*Insecure Direct Object Reference：攻擊者利用Web應用程式本身的檔案讀取功能任意存取檔案或重要資料，案例包括http://example/read.php?file=../../../../../../../c:\boot.ini
*Cross-Site Request Forgery (CSRF): 已登入Web應用程式的合法使用者執行到惡意的HTTP指令，但Web應用程式卻當成合法需求處理，使得惡意指令被正常執行，案例包括社交網站分享的QuickTime、Flash影片中藏有惡意的HTTP請求。
*Information Leakage and Improper Error Handling：Web應用程式的執行錯誤訊息包含敏感資料，案例包括:系統檔案路徑
*Broken Authentication and Session Management：Web應用程式中自行撰寫的身份驗證相關功能有缺陷。
*Insecure Cryptographic Storage：Web應用程式沒有對敏感性資料使用加密、使用較弱的加密演算法或將金鑰儲存於容易被取得之處。
*Insecure Communication：沒有在傳送敏感性資料時使用HTTPS或其他加密方式。
*Failure to Restrict URL Access：某些網頁因為沒有權限控制，使得攻擊者可透過網址直接存取，案例包括允許直接修改Wiki或Blog網頁內容。
這次OWASP公布新版Top 10反映出目前的攻擊現況，以今年為例，Cross-Site Scripting(XSS)調整為10大攻擊之首，真實的反映出目前網路釣魚與詐欺的攻擊濫用XSS的情形，事實上，美國國防部的BSI計畫(Build-Security In,https://buildsecurityin.us-cert.gov/) 及Mitre研究機構的CVE資安脆弱性列表(http://cve.mitre.org/) 亦顯示1)Cross Site Scripting與2)SQL Injection已連續兩年列為全球頭號嚴重資安弱點.

===直接與程式碼安全品質有關===
*[必要*]Cross Site Scripting (XSS) – 跨站腳本攻擊(即XSS)
*[必要*]Injection Flaws – 注入弱點(如SQL Injection等資料隱碼攻擊)
*[建議*]Insecure Remote File Include – 不安全的遠端檔案匯入(如File Inclusion)
*[建議*]Insecure Direct Object Reference –不安全的物件參考(如File Injection)
*[選擇*]Cross Site Request Forgery (CSRF) – 跨站冒名請求(類似XSS破壞身份鑑別)
<nowiki>*</nowiki>OWASP台灣分會強烈建議各單位在進行源碼檢測時，尤以政府機關(構)，應遵循政府資通安全作業規範(http://www.giscc.org.tw) 之「Web應用程式安全參考指引」，並將1與2列為必要檢測項目，3與4列為建議檢測項目，而5列為選擇檢測項目。

＊在實務案例上，檢測並修正1與2即可避免絕大多數的Web資安威脅。

===因上述漏洞間接造成或與Web伺服器及外部設定有關===
*Information Leakage and Improper Error Handling
*Broken Authentication and Session Management
*Insecure Cryptographic Storage
*Insecure Communications
*Failure to Restrict URL Access

== 會員列表 (Member List) ==
Coming up soon!

[http://www.owasp.org.tw http://www.owasp.org.tw/dot.png]

Taiwan

2007-09-04T02:55:03Z

Bensonwu: /* [http://hitcon.org 第三屆台灣駭客年會(HIT 2007)] */

[[Image:OWASP_TW_Banner.png]]

歡迎加入OWASP台灣分會！「網站安全的第一步，從加入OWASP台灣分會開始」。

台灣分會會長[mailto:wayne@owasp.org.tw 黃耀文先生（Wayne Huang）]暨分會工作同仁衷心肯定您的參與，不管您在何處，甚至您僅曾留下網路足跡於台灣，感謝您願意跟大家一起分享，讓我們用更多不同的角度來檢視Web安全的趨勢、威脅、問題與解決方案。

== 歡迎光臨 OWASP 台灣分會 ==

== 最新活動 ==
=== [[Taiwan_OWASP_2007|第一屆OWASP官方亞洲年會(OWASP Asia 2007)]] ===
'''Security 3.0 in Web 2.0 Age — Practices and Challenges of Web 2.0 Security'''

[http://www.owasp.org/index.php/Taiwan_OWASP_2007 http://www.owasp.org/images/f/f7/Owasp_taiwan_2007small.png]

Whitehat Security、美國運通(American Express)、阿碼科技(Armorize)、Qualys等跨國企業與資安公司的高階主管與首席研究員齊聚台灣，您知道他們如何看待Web 2.0時代之 Security 3.0嗎？對台灣與全球的含意是什麼？我政府、企業與一般使用者又該如何因應？從下面這些2007年的資安界大新聞，透露著怎樣的訊息？
* 5月11日起，Google開始監控遭駭網站，並貼上危險網站之標籤!
* 5月15日月OWASP公佈2007年最新的十大Web弱點，跨站腳本攻擊(XSS)登上榜首!
* 6月6日IBM購併Watchfire，HP隨即於6月19日購併SPI Dynamics!而僅存的Cenzic以滲透測試技術於6月18日獲得美國專利!
* Web 2.0的資安威脅？因應之道？Security 3.0？成功的實務案例？
[[Taiwan_OWASP_2007|第一屆OWASP官方亞洲年會]]將於9月27日(週四)下午1點於台大醫院國際會議中心201室(台北市中正區徐州路二號)'''舉辦，歡迎您來共襄盛舉，滿載而歸![[Taiwan_OWASP_2007|還有更多...]]

=== [http://hitcon.org 第三屆台灣駭客年會(HIT 2007)] ===

[http://hitcon.org 第三屆台灣駭客年會(HIT 2007)]已於2007年7月21日(週六)至22日(週日)舉行在國立臺灣科技大學公館校區-國際廳圓滿落幕，活動盛況空前，詳情請見 HIT 2007 官方網站:
[http://hitcon.org http://www.owasp.org/images/b/b5/Owasp_taiwan_HIT-linkLOGO.gif] http://hitcon.org

== 歡迎您的參與 ==
加入OWASP台灣分會不需任何費用，會員資格完全開放給任何對於應用程式安全有興趣的人士，
我們鼓勵會員於OWASP台灣分會分享他們的知識並提供專題演講，
而在加入會員前，請您仔細閱讀[https://www.owasp.org/index.php/Chapter_Rules 分會會員手則]。
若要加入本分會的mailing list，請連結到[http://lists.owasp.org/mailman/listinfo/owasp-taiwan mailing list]網頁，
所有的活動討論與活動地點將透過這個清單來討論，
您也可以從[http://lists.owasp.org/pipermail/owasp-taiwan/ email 討論備份]中找到我們之前討論的備份。
最後提醒您，參加活動前，請再次檢查您mailing list的信件以確定活動地點與時間，或是任何有關活動記錄的事項。

== 有關OWASP (About OWASP) ==
OWASP(開放Web軟體安全計畫 - Open Web Application Security Project)是一個開放社群、非營利性組織，目前全球有82個分會近萬名會員，其主要目標是研議協助解決Web軟體安全之標準、工具與技術文件，長期致力於協助政府或企業瞭解並改善網頁應用程式與網頁服務的安全性。由於應用範圍日廣，網頁應用安全已經逐漸的受到重視，並漸漸成為在安全領域的一個熱門話題，在此同時，駭客們也悄悄的將焦點轉移到網頁應用程式開發時所會產生的弱點來進行攻擊與破壞。

美國聯邦貿易委員會(FTC)強烈建議所有企業需遵循OWASP所發佈的十大Web弱點防護守則、美國國防部亦列為最佳實務，國際信用卡資料安全技術PCI標準更將其列為必要元件。目前OWASP有30多個進行中的計畫，包括最知名的OWASP Top 10(十大Web弱點)、WebGoat(代罪羔羊)練習平台、安全PHP/Java/ASP.Net等計畫，針對不同的軟體安全問題在進行討論與研究。

當貴單位決定開放網頁服務時，就必須讓來自於全球的網頁請求進入單位內部的網頁伺服器。駭客可以藉由隱藏在合法的網頁請求內，通過防火牆、入侵偵測系統或其他防禦系統的偵測，堂而皇之的進入單位內部或藉由單位網站充當跳板與中繼站而向其他受害者發動攻擊。這意味著企業的網頁程式碼也必須成為機關(構)單位周邊的安全防護之一，當單位網頁服務的規模與複雜性增加時，單位暴露於外的風險也逐漸增加。

== OWASP 台灣分會 (OWASP Taiwan Chapter) ==
*網頁:http://www.owasp.org.tw
*電郵:info@owasp.org.tw
*群組:owasp-taiwan@lists.owasp.org
*住址:台北市115南港區三重路19-13號(南港軟體園區)E棟5樓554室

{{Chapter Template|chaptername=Taiwan|extra=The chapter leader is [mailto:wayne@owasp.org.tw Wayne Huang]|mailinglistsite=http://lists.owasp.org/mailman/listinfo/owasp-taiwan|emailarchives=http://lists.owasp.org/pipermail/owasp-taiwan}}

Chapter meetings are held several times a year, typically in the offices of our sponsor.

Please subscribe to the mailing list for meeting announcements.

Our chapter is sponsored by [http://www.armorize.com/?utm_source=OWASP%2BTW%2BMain&utm_medium=web Armorize Technologies].
感謝[http://www.armorize.com/?utm_source=OWASP%2BTW%2BMain&utm_medium=web 美商阿碼科技]提供會議茶水、食物與活動贊助!

== 免費加入OWASP台灣分會 ==



'''加入OWASP台灣分會不需任何費用，會員可享有：'''

1. 不定期由OWASP台灣分會發行之Web攻防CDROM，目前為V1.0，填妥入會資料後會由工作人員郵寄送達。V1.0 CDROM內容包括：

##OWASP-Taiwan-Web安全簡介投影片
##OWASP-Taiwan-2007年首份研討會講義
##OWASP-Taiwan-免費Web安全工具
##OWASP-Top10-最新十大Web弱點
##OWASP-代罪羔羊(WebGoat)工具(免下載)
##OWASP-Guide-參考指引計畫內容
##OWASP測試計畫內容

[http://www.owasp.org.tw/member/registration.php http://www.owasp.org/images/d/d9/OWASP-TW-2.jpg]

2. OWASP台灣分會電子報。

'''加入會員方法請見本頁下方''' '''[[#如何加入會員|如何加入會員]]'''

加入OWASP台灣分會不需任何費用，會員資格完全開放給任何對於應用程式安全有興趣的人士， 
我們鼓勵會員於OWASP台灣分會分享他們的知識並提供專題演講， 
而在加入會員前，請您仔細閱讀[https://www.owasp.org/index.php/Chapter_Rules 分會會員手則]。

若要加入本分會的mailing list，請連結到[http://lists.owasp.org/mailman/listinfo/owasp-taiwan mailing list]網頁， 
所有的活動討論與活動地點將透過這個清單來討論， 
您也可以從[http://lists.owasp.org/pipermail/owasp-taiwan/ email 討論備份]中找到我們之前討論的備份。

最後提醒您，參加活動前，請再次檢查您mailing list的信件以確定活動地點與時間，或是任何有關活動記錄的事項。

== OWASP台灣分會部落格 blog ==
需要一手資安情報，技術分析，市場資訊嗎？

歡迎常來 [http://www.owasp.org.tw/blog OWASP台灣分會部落格 blog]

[http://www.owasp.org.tw/blog http://www.owasp.org/images/d/da/OWASP_Banner_Blog.png]


== 如何加入會員 ==
歡迎免費加入OWASP Taiwan台灣分會！加入方式有三種，線上報名，email報名以及傳真報名：
工作同仁會持續通知所有會員有關OWASP最新活動資訊與座談會議程.

=== 線上報名 ===
請[http://www.owasp.org.tw/member/registration.php 按此填寫線上報名單]

=== Email報名 ===
請email：[mailto:info@owasp.org.tw info@owasp.org.tw]加入台灣分會,請註明下列資訊.
#姓名
#單位
#職稱
#電子郵件
#聯絡電話

=== 傳真報名 ===
請列印此報名表,填寫後傳真至(02)6616-1100即可.

[[Image:owasp_taiwan_opening.jpg|800px]]

== 近期消息 ==

*Web安全新聞:在2007年6月11日，iThome報導「[http://www.ithome.com.tw/itadm/article.php?c=43813 網站安全潰堤，不安全就沒顧客]」，深入追蹤Google搜尋引擎因應惡意網站之新措施，其搜尋結果會為有資安問題的網站貼上警告標籤，並阻止使用者直接瀏覽。

*OWASP台灣分會參展:在2007年4月16至18日，台北國際資安展(http://www.secutech.com/tw/is/index.asp) 隆重登場，OWASP台灣分會邀您蒞臨攤位A402與A404，即可獲得Web資安光碟一張，並親自動手體驗比滲透測試、弱點稽核等傳統資安檢測方式更為優異的自動源碼檢測技術。

*Web安全新聞:在2007年4月11日，iThome報導「[http://www.ithome.com.tw/itadm/article.php?c=42866 OWASP台灣分會成立會員免費招募中，盼助我國Web安全防護跟上國際趨勢]」。

*Web安全新聞:在2007年4月9日，蘋果日報報導台灣已有ESPN體育台等許多與民眾生活息息相關的二十七個官網，三月以來陸續遭駭客植入木馬後門，藉由軟體廠商尚無修補程式的「零時差攻擊」（Zero-Day Attack），無辜使用者只要連上網瀏覽，電腦就中獎，輕者帳號、密碼遭竊，身分被盜用；重者機敏資料外洩或財物損失。

*Web應用程式安全研討會:在2007年3月27至4月11日，行政院研考會與資通安全會報技服中心舉辦之[http://sid.iii.org.tw/96Q1_ISMS/ 政府資通安全防護巡迴研討會－資安發展趨勢及網路應用服務資訊安全]，歡迎政府機關(構)負責資通安全相關人員踴躍參加。NEW![https://www.owasp.org/images/b/b1/%E5%B7%A1%E8%BF%B4%E7%A0%94%E8%A8%8E%E6%9C%83%E8%AC%9B%E7%BE%A9_Web.pdf 研討會講義下載]

*Web安全新聞:在2007年3月21日，中國時報報導「上網最不安全國家，台灣高居第二」，由法務部調查局、刑事局等單位共同針對台灣網路安全進行觀察發現，台灣網路的資訊安全威脅，高居亞洲第二，僅次於中國。2007年初至今，平均每天都會發生5件駭客入侵事件。

*Web安全新聞:在2007年3月8日，東森新聞報導「台灣駭客攻擊事件四小龍之冠，90％銀行曾遭入侵」，然而許多企業都以沒有預算為由，不願意增加防護設備與人力，被駭客竄改入侵網頁，不瞭解背後嚴重的意義，網頁改回後，並沒有增加防護設備，甚至還有單一企業被駭連續高達82次。[http://www.ettoday.com/2007/03/08/339-2063921.htm 原新聞連結]

[[Image:Owasp taiwan first gathering.png]]

== 網站與Web服務的五大資安困境 ==
#IT人員不足
#缺乏資安領域專業知識
#功能性驗收為主
#缺乏自動化工具
#成本、效率導向專案模式不利確保專案品質

==最新2007年OWASP十大Web資安漏洞 (2007 OWASP Top 10)==
===十大Web資安漏洞列表===
*Cross-Site Scripting：中文翻譯為跨站腳本攻擊。Web應用程式直接將來自使用者的執行請求送回瀏覽器執行，使得攻擊者可擷取使用者的Cookie或Session資料而能直接登入成使用者。
*Injection Flaw：Web應用程式執行來自外部包括資料庫在內的惡意指令，SQL Injection, Command Injection等攻擊包括在內。
*Malicious File Execution：Web應用程式引入來自外部的惡意檔案並執行檔案內容。
*Insecure Direct Object Reference：攻擊者利用Web應用程式本身的檔案讀取功能任意存取檔案或重要資料，案例包括http://example/read.php?file=../../../../../../../c:\boot.ini
*Cross-Site Request Forgery (CSRF): 已登入Web應用程式的合法使用者執行到惡意的HTTP指令，但Web應用程式卻當成合法需求處理，使得惡意指令被正常執行，案例包括社交網站分享的QuickTime、Flash影片中藏有惡意的HTTP請求。
*Information Leakage and Improper Error Handling：Web應用程式的執行錯誤訊息包含敏感資料，案例包括:系統檔案路徑
*Broken Authentication and Session Management：Web應用程式中自行撰寫的身份驗證相關功能有缺陷。
*Insecure Cryptographic Storage：Web應用程式沒有對敏感性資料使用加密、使用較弱的加密演算法或將金鑰儲存於容易被取得之處。
*Insecure Communication：沒有在傳送敏感性資料時使用HTTPS或其他加密方式。
*Failure to Restrict URL Access：某些網頁因為沒有權限控制，使得攻擊者可透過網址直接存取，案例包括允許直接修改Wiki或Blog網頁內容。
這次OWASP公布新版Top 10反映出目前的攻擊現況，以今年為例，Cross-Site Scripting(XSS)調整為10大攻擊之首，真實的反映出目前網路釣魚與詐欺的攻擊濫用XSS的情形，事實上，美國國防部的BSI計畫(Build-Security In,https://buildsecurityin.us-cert.gov/) 及Mitre研究機構的CVE資安脆弱性列表(http://cve.mitre.org/) 亦顯示1)Cross Site Scripting與2)SQL Injection已連續兩年列為全球頭號嚴重資安弱點.

===直接與程式碼安全品質有關===
*[必要*]Cross Site Scripting (XSS) – 跨站腳本攻擊(即XSS)
*[必要*]Injection Flaws – 注入弱點(如SQL Injection等資料隱碼攻擊)
*[建議*]Insecure Remote File Include – 不安全的遠端檔案匯入(如File Inclusion)
*[建議*]Insecure Direct Object Reference –不安全的物件參考(如File Injection)
*[選擇*]Cross Site Request Forgery (CSRF) – 跨站冒名請求(類似XSS破壞身份鑑別)
<nowiki>*</nowiki>OWASP台灣分會強烈建議各單位在進行源碼檢測時，尤以政府機關(構)，應遵循政府資通安全作業規範(http://www.giscc.org.tw) 之「Web應用程式安全參考指引」，並將1與2列為必要檢測項目，3與4列為建議檢測項目，而5列為選擇檢測項目。

＊在實務案例上，檢測並修正1與2即可避免絕大多數的Web資安威脅。

===因上述漏洞間接造成或與Web伺服器及外部設定有關===
*Information Leakage and Improper Error Handling
*Broken Authentication and Session Management
*Insecure Cryptographic Storage
*Insecure Communications
*Failure to Restrict URL Access

== 會員列表 (Member List) ==
Coming up soon!

[http://www.owasp.org.tw http://www.owasp.org.tw/dot.png]