近年來許多調查中發現,應用程式中的漏洞數量已經遠大於作業系統。根據全球知名的SANS資安訓練與認證組織,所提出的20大網路安全問題、威脅與風險,其中與網頁應用程式相關的包括其中4個項目:Web Browsers、Phishing/Spear Phishing、Web Applications、Database Software。

另外,開放原始碼OWASP開發社群組織,公佈了極具公信力的“OWASP Top 10”10大應用程式安全報告,這項報告來自於世界各地多位頂尖資訊安全專家的專業知識與建議,而美國聯邦貿易委員會強烈建議所有公司採用OWASP Top 10,採用OWASP Top 10將是改變軟體開發程序的第一步,以確保程式設計師所開發的是安全的應用程式碼。

 

A.G. Edwards、Bank of Newport、Best Software、British Telecom、Bureau of Alcohol, Tobacco, and Firearms (ATF)、Citibank、Cboss Internet、Cognizant、Contra Costa County, CA、Corillian Corporation、Digital Payment Technologies、Foundstone Strategic Security、IBM Global Services、National Australia Bank、Norfolk Southern、Online Business Systems、Predictive Systems、Price Waterhouse Coopers、Recreational Equipment, Inc. (REI)、SSP Solutions、Samsung SDS (Korea)、Sempra Energy、Sprint、Sun Microsystems、Swiss Federal Institute of Technology、Symantec、Texas Dept of Human Services、The Hartford、Zapatec、ZipForm…等等。

Cross-Site Scripting(XSS) 跨站指令碼攻擊
  利用XSS漏洞變更連結到特定網站,駭客常運用此種漏洞轉址到釣魚網站,騙取使用者輸入帳號、密碼等個人重要資料。
Phishing
 
SQL Injection 資料隱碼攻擊
  使用SQL Injection成功登入後,資料庫第一筆資料通常是系統管理者,擁有最大管理權限,可任意增加、修改資料。
 
Insecure Direct Object Reference 不安全的物件參考
  若網頁網址採用訂單編號,使用者只要自行更換編號即可看到他人資料;如將以下網址order-id改為:09111600001,即可看到相關資料。
 
Cross-Site Request Forgery (CSRF) 跨網站的偽造要求
  駭客可自行增加購物清單項目,使用者在結帳時會出現未選購的項目。
 
Broken Authentication and Session Management 遭破壞的鑑別與連線管理
  駭客使用自訂的客製化程式,取得使用者的Cookie,模擬使用者的登入動作,以竊取網頁相關重要訊息,如使用者的密碼。
 
Insecure Cryptographic Storage 不安全的密碼儲存器
  密碼採用明碼標示,容易被盜用與竊取。
 
恆逸保留所有優惠方案、開課時間以及課程內容與費用調整之權力,歡迎來電洽詢
台北恆逸- 台北市復興北路99號14樓 TEL:02-25149191 FAX:02-25149292
新竹恆逸- 新竹市光復路二段295號3樓 TEL:03-5723322 FAX:03-5745738
台中恆逸- 台中市中港路一段201號2樓
 TEL:04-23297722
 FAX:04-23102000
高雄恆逸- 高雄市前鎮區中山二路2號25樓 TEL:07-5361199 FAX:07-5366161
恆逸教育訓練中心網址 http://www.uuu.com.tw/