# 程式碼中的隱形陷阱：開發者的安全挑戰 / 沈宜婷 (Noflag) {%hackmd @ModernWeb/SyA2U6SmT %} > 共筆請從這開始 # 開發者的資安挑戰 不只要能動的程式，也要具備安全性 ## 考慮到資安有哪些好處 資安風險變高的因素 - 軟體系統沒維護 - bad code - network - password 儲存不安全 - 舊版軟體 - 開發人員覺得不會發生 - 覺得公司會保護設備 可以參考 [**OWASP** Top 10](https://owasp.org/www-project-top-ten/) 通常只會到測試階段才會考慮資安，但已太晚。應該在每個階段都做 # 實際案例分享 人工檢測發現的問題： - 未使用金鑰儲存工具，將金鑰或 token 明碼放在 codebase - Android webview interface （舊版）有機會注入木馬實行遠端操控 - 敏感資料的儲存需要告知使用者，且使用正確的方式進行儲存 - 使用字串轉換為可執行程式碼函式/方法需要注意 - 註解內容不要放敏感的內容 敏感資料保護 可儲存敏感性資料，但要用有效的加密演算法 呼叫 PHP eval() function，讓外部可以執行任意程式 註解裡有密碼提示? # 最小成本建立檢測環境與修復問題 SonarQube - open source 免費版要另外靠套件去產出報告。付費版內建。 # 常見手法及如何防範 Cirtical > High > Medium > Low | 衝擊程度 \ 可能性 | 低 | 高 | |:-----------------:|:----:|:--------:| | 高 | High | Cirtical | | 低 | Low | Medium | ## XSS 跨站腳本攻擊 - 檢查輸入數值 - 輸出時要編碼 - 執行內容安全策略 csp ## 權限提升手法 - Path Manipulation - Remote Code execution - 從入口端防禦 (Web 應用程式防火牆) - 產品升級 - 白名單 (指令、IP) - 安全產品 (WAF, 花錢, 連網更新) - 編碼、配置角度 (關閉高危險函數) - SQL injection - Trusted Service Paths - 已知 CVE 漏洞 - 開源惡意腳本 Remote code execution (最高危害的漏洞) # 總結 資安是永無止境的挑戰 建立安全的程式開發週期 ------ > 以下是聊天室 好多人... 然後我旁邊一男一女一直在聊天，外面比較好聊啊 搞不懂？ 醜一 B 棟持續爆滿 投影片之後應該可以下載吧???? 可以，活動結束後會徵求**講師同意後開放**，聽說還可能會有影片的部分 講超快 後面完全看不到內容 QQ 只好等之後釋出簡報 字好小...還是等投影片開放好了...坐中間看都覺得糊 > +1 ..+1真的... 我覺得現在的部份看不到字也沒關係，講師口說得比較多，簡報沒什麼字 "講師同意後開放"?? 如果講師不同意或忘了不就.. 主辦單位會去問講師，應該不存在忘記...但講師不同意就沒有囉 好的. ：） 簡報像是 90 年代做出來的 大概就公司給的版型xddd 感覺比起實作更像是資安宣導的演講... 就是基本介紹跟可以怎麼做而已