幸好,目前網路上已有許多開放的團體與非營利的機構,針對網頁應用安全議題,提供了很多豐富專業的資訊,可供我們來學習與效法,以下則為各位介紹,個人經常去補充資安知識,值得推薦的網頁應用安全資訊網站。
推薦一:WhiteHat Security
WhiteHat Security是由前Yahoo的資安長Jeremiah Grossman所創辦的公司,主要提供了各種有關網站安全的解決方案與服務。在WhiteHat Security網站的新聞專區中,收集匯整了來自世界各個媒體有關網頁應用安全的文章,讓你不必再花費力氣去一一瀏覽各個媒體所刊登的訊息。
WhiteHat的部落格是由Jeremiah親自執筆,主要分享他個人的網站安全防護經驗,其中一系列的「How to」文章,像是「如何加強網站防護避免被駭」、「如何檢查你的WebMail帳號是否被入侵」、「如何評估你的網站價值」、「如何找到你的網站弱點」等,是非常實用的經驗分享。
個人最喜歡WhiteHat Security網站的一點,是在於它的安全資源中心,提供了為數眾多的Whitepaper還有簡報檔,讓使用者可以免費下載閱讀。雖然WhiteHat Security的Whitepaper有些頁數並不多,但是字字珠璣且淺顯易讀,以下幾篇推薦給有心想了解網站安全的朋友們,可以到網站下載瀏覽的文章:
- Ten Things You Should Know about Website Security
- WhiteHat Security Web Application Security Risk Report
- The Top Five Myths of Website Security
- Website Security 101
Web Application Security Consortium (WASC)是由許多專家、業者和開放資源的代表所共同組成的國際性社群,WASC透過這些會員們的意見交換,不斷地產生各項網頁安全技術資訊、文章和安全指引等,可提供給來自世界各地的商業組織、學術團體、政府機構與資安專家們,協助他們面對不斷變化的網頁應用安全的挑戰。
雖然WASC的創辦者之一是WhiteHat Security的Jeremiah,但是WASC秉持著中立自主,並不偏向任何營利組織,它主要的目標是創造一個開放性的論壇,讓所有對於網頁應用安全有興趣的人,都能共同參與討論,促使各界更加關注各項有關網頁應用安全的事件與議題。
WASC網站提供了Mailing List討論服務,使用者可以用e-mail方式來訂閱,參與各項網頁應用安全的主題討論,另外,也可以透過RSS Feed來訂閱,相當地方便而且不會漏失任何的訊息。WASC也設立了許多有關網頁應用安全的計劃,如果你願意參與並且貢獻自己的專業,可以主動與各個Project Leader聯絡。
WASC網站同樣也有很多豐富的參考資料,在你點選Library連結之後,就可以看到有關網頁安全的書籍介紹,以及它收集自各個知名網頁安全業者,所免費提供的Whitepaper,雖然資料有一段時間未更新了,但仍然具有參考價值。
推薦三:Cgisecurity
Cgisecurity是目前最早建立,內容有關網頁應用安全的網站,它的創建者同時也是WASC的核心創辦者之一,如果你是想要從事網頁應用安全研究的學生,那麼Cgisecurity是你不可錯過的網站,因為它提供了相關的期刊paper,可作為研究的參考之用。
Cgisecurity網站最大的特色,就是將網頁應用安全的相關主題,分門別類地排列,使用者可以很快地一網打盡同一類型的參考資料,像是以研究Phishing主題為例,當你點選連結進入內頁之後,即可得知有關Phishing的網站、相關的工具與軟體、技術文章、新聞連結、犯罪案例,以及如何自我防護等相關資料;如果你想了解什麼是SQL Injection,也只要輕鬆按下一個連結,就可以在這個網站內獲得問題解答、相關的參考文章與網路連結指引。總之,這個網站資訊相當豐富,肯定會花掉你不少時間。
推薦四:World Wide Web Consortium
World Wide Web Consortium(W3C)是由全球資訊網(WWW)的發明人Tim Berners-Lee所創立的組織,其成立的宗旨是為了推動全球資訊網的相關技術,並鼓勵各項合作與討論。同時,W3C也致力於各種網際網路標準的研發、制定與推廣,使業者的對於全球資訊網的應用發展,能有一個可供遵循的標準。
W3C針對網際網路的各種應用,建立了一些工作小組,像是Web Security Context Working Group就專注在研究使用者部署安全技術時,可能會面臨的問題,尤其是在企業部署了安全機制之後,惡意駭客可能會採取規避的方法來欺騙過關,在這部份W3C工作小組能提供一些因應之道。
在網頁安全方面,如果你是網頁應用程式的開發人員,可以參照網站上所提供有關資安的文件,像是XML Security的規格說明、XML簽章與加密,以及金鑰的管理等。至於目前最熱的AJAX網頁技術,W3C也有一個工作小組,產出許多可供開發人員參考的文件,同時也提供Email List給有興趣的人員訂閱討論。
推薦五:Open Web Application Security Project
OWASP(Open Web Application Security Project)開放Web軟體安全計畫,是一個全球開放的社群,也是一個非營利的組識,長期致力於改善有關網頁應用服務的安全性,以提供給政府和業界參考。OWASP的主要目標在於協助建立網頁應用安全的標準、工具與技術文件,以減少應用程式在開發過程中可能會產生的弱點,防止惡意駭客利用這些弱點來進行破壞。
在台灣分會會長Wayne的努力之下,OWASP台灣分會已於2007年正式成立,並且開放給各界人士參與,目前,每年由OWASP所公布的十大Web資安漏洞資料,已成為業界人士用來加強網站安全與修補漏洞的參考指標,也被政府機關列為網頁應用安全必要的檢測項目之一。
在OWASP網站上,除了十大Web資安漏洞說明資料外,你還可以找到目前正在進行的相關計劃說明,歷年研討會的簡報資料與影音檔案,而對於下一代網頁Web2.0有興趣的研究者,也可在此找到可供參考的paper文件。另外,OWASP的部落格也持續不斷地在更新,對於網頁應用安全有興趣的人,相信在此可以獲得很多有用資訊。
總結
以上是幾個相當不錯的國外網站,在此分享給各位作為參考,由於網頁攻擊的手法日新月異,對IT人員而言,唯有不斷地補充相關知識,才能有效做好資訊安全防護工作。但比較可惜的是,國內目前還相當缺乏有關網頁安全的開放組織與中文參考資訊,大多只能依賴國外網站所提供的內容,這點大家要一起加油了。(本文刊載於2007年iThome資安專刊)
沒有留言:
張貼留言