This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests.
To view the new OWASP Foundation website, please visit https://owasp.org

Taiwan

From OWASP
Revision as of 16:41, 2 April 2007 by Wayne huang (talk | contribs)

Jump to: navigation, search

歡迎加入OWASP台灣分會!「安全Web軟體的第一步,從加入OWASP台灣分會開始」。

台灣分會會長黃耀文先生(Wayne Huang)暨分會工作同仁衷心肯定您的參與,不管您在何處,甚至您僅曾留下網路足跡於台灣,感謝您願意跟大家一起分享,讓我們用更多不同的角度來檢視Web安全的趨勢、威脅、問題與解決方案。


OWASP 台灣分會 OWASP Taiwan

Welcome to the 台灣分會 OWASP Taiwan chapter homepage. 歡迎蒞臨OWASP台灣分會!台灣分會會長為 黃耀文先生(Wayne Huang)


Participation

OWASP Foundation (Overview Slides) is a professional association of global members and is open to anyone interested in learning more about software security. Local chapters are run independently and guided by the Chapter_Leader_Handbook. As a 501(c)(3) non-profit professional association your support and sponsorship of any meeting venue and/or refreshments is tax-deductible. Financial contributions should only be made online using the authorized online chapter donation button. To be a SPEAKER at ANY OWASP Chapter in the world simply review the speaker agreement and then contact the local chapter leader with details of what OWASP PROJECT, independent research or related software security topic you would like to present on.

Sponsorship/Membership

Btn donate SM.gif to this chapter or become a local chapter supporter. Or consider the value of Individual, Corporate, or Academic Supporter membership. Ready to become a member? Join Now BlueIcon.JPG


有關OWASP (About OWASP)

OWASP(開放Web軟體安全計畫 - Open Web Application Security Project)是一個開放社群、非營利性組織,目前全球有82個分會近萬名會員,其主要目標是研議協助解決Web軟體安全之標準、工具與技術文件,長期致力於協助政府或企業瞭解並改善網頁應用程式與網頁服務的安全性。由於應用範圍日廣,網頁應用安全已經逐漸的受到重視,並漸漸成為在安全領域的一個熱門話題,在此同時,駭客們也悄悄的將焦點轉移到網頁應用程式開發時所會產生的弱點來進行攻擊與破壞。

美國聯邦貿易委員會(FTC)強烈建議所有企業需遵循OWASP所發佈的十大Web弱點防護守則、美國國防部亦列為最佳實務,國際信用卡資料安全技術PCI標準更將其列為必要元件。目前OWASP有30多個進行中的計畫,包括最知名的OWASP Top 10(十大Web弱點)、WebGoat(代罪羔羊)練習平台、安全PHP/Java/ASP.Net等計畫,針對不同的軟體安全問題在進行討論與研究。

當貴單位決定開放網頁服務時,就必須讓來自於全球的網頁請求進入單位內部的網頁伺服器。駭客可以藉由隱藏在合法的網頁請求內,通過防火牆、入侵偵測系統或其他防禦系統的偵測,堂而皇之的進入單位內部或藉由單位網站充當跳板與中繼站而向其他受害者發動攻擊。這意味著企業的網頁程式碼也必須成為機關(構)單位周邊的安全防護之一,當單位網頁服務的規模與複雜性增加時,單位暴露於外的風險也逐漸增加。

OWASP 台灣分會 (OWASP Taiwan Chapter)

Chapter meetings are held several times a year, typically in the offices of our sponsor.

Please subscribe to the mailing list for meeting announcements.

Our chapter is sponsored by Armorize Technologies. 感謝美商阿碼科技提供會議茶水、食物與活動贊助!

免費加入OWASP台灣分會、立刻啟用免費源碼資安檢測!

OWASP-TW-1.jpg



加入OWASP台灣分會不需任何費用,會員可享有:

1. 配合Web安全宣導,政府機關(構)可獲免費資安源碼檢測(靜態分析)線上使用帳號。(廠商贊助,限台灣政府機構)

2. 不定期由OWASP台灣分會發行之Web攻防CDROM,目前為V1.0,填妥入會資料後會由工作人員郵寄送達。V1.0 CDROM內容包括:

    1. OWASP-Taiwan-Web安全簡介投影片
    2. OWASP-Taiwan-2007年首份研討會講義
    3. OWASP-Taiwan-免費Web安全工具
    4. OWASP-Top10-最新十大Web弱點
    5. OWASP-代罪羔羊(WebGoat)工具(免下載)
    6. OWASP-Guide-參考指引計畫內容
    7. OWASP測試計畫內容

OWASP-TW-2.jpg

3. OWASP台灣分會電子報。


加入會員方法請見本頁下方
如何加入會員

加入OWASP台灣分會不需任何費用,會員資格完全開放給任何對於應用程式安全有興趣的人士,
我們鼓勵會員於OWASP台灣分會分享他們的知識並提供專題演講,
而在加入會員前,請您仔細閱讀分會會員手則


若要加入本分會的mailing list,請連結到mailing list網頁,
所有的活動討論與活動地點將透過這個清單來討論,
您也可以從email 討論備份中找到我們之前討論的備份。

最後提醒您,參加活動前,請再次檢查您mailing list的信件以確定活動地點與時間,或是任何有關活動記錄的事項。


如何加入會員

歡迎免費加入OWASP Taiwan台灣分會!加入方式有三種,線上報名,email報名以及傳真報名: 工作同仁會持續通知所有會員有關OWASP最新活動資訊與座談會議程.


線上報名

按此填寫線上報名單

Email報名

請email:[email protected]加入台灣分會,請註明下列資訊.

  1. 姓名
  2. 單位
  3. 職稱
  4. 電子郵件
  5. 聯絡電話

傳真報名

請列印此報名表,填寫後傳真至(02)6616-1100即可.

Owasp taiwan opening.jpg

近期消息

網站與Web服務的五大資安困境

  1. IT人員不足
  2. 缺乏資安領域專業知識
  3. 功能性驗收為主
  4. 缺乏自動化工具
  5. 成本、效率導向專案模式不利確保專案品質

最新2007年OWASP十大Web資安漏洞 (2007 OWASP Top 10)

直接與程式碼安全品質有關

註:美國國防部的BSI計畫(Build-Security In,https://buildsecurityin.us-cert.gov/) 及Mitre研究機構的CVE資安脆弱性列表(http://cve.mitre.org/) 亦顯示1)Cross Site Scripting與2)SQL Injection已連續兩年列為全球頭號嚴重資安弱點.

  • [必要*]Cross Site Scripting (XSS) – 跨站腳本攻擊(即XSS)
  • [必要*]Injection Flaws – 注入弱點(如SQL Injection等資料隱碼攻擊)
  • [建議*]Insecure Remote File Include – 不安全的遠端檔案匯入(如File Inclusion)
  • [建議*]Insecure Direct Object Reference –不安全的物件參考(如File Injection)
  • [選擇*]Cross Site Request Forgery (CSRF) – 跨站冒名請求(類似XSS破壞身份鑑別)

*OWASP台灣分會強烈建議各單位在進行源碼檢測時,尤以政府機關(構),應遵循政府資通安全作業規範(http://www.giscc.org.tw) 之「Web應用程式安全參考指引」,並將1與2列為必要檢測項目,3與4列為建議檢測項目,而5列為選擇檢測項目。

*在實務案例上,檢測並修正1與2即可避免絕大多數的Web資安威脅。

因上述漏洞間接造成或與Web伺服器及外部設定有關

  • Information Leakage and Improper Error Handling
  • Broken Authentication and Session Management
  • Insecure Cryptographic Storage
  • Insecure Communications
  • Failure to Restrict URL Access

會員列表 (Member List)

Coming up soon!

<analytics uacct="UA-1605527-1" ></analytics>

OWASP Taiwan Translation temporary page