第25個冬天

  接續前幾篇系列 經得起原始碼資安弱點掃描的程式設計習慣培養(一)_OWASP Top 10(十大網站安全風險)_學習寫更安全程式碼的網站推薦 經得起原始碼資安弱點掃描的程式設計習慣培養(二)_8.Insecure Deserialization ：不安全的反序列化漏洞ASP.NET處理方式 經得起原始碼資安弱點掃描的程式設計習慣培養(三)_7.Cross Site Scripting(XSS)_Stored XSS_Reflected XSS All Clients 經得起原始碼資安弱點掃描的程式設計習慣培養(四)_1.Injection注入攻擊_SQL Injection)_order by 語句正確參數化套入 經得起原始碼資安弱點掃描的程式設計習慣培養(四)_2.Injection注入攻擊_SQL Injection_In語句正確參數化套入 經得起原始碼資安弱點掃描的程式設計習慣培養(五)_Missing HSTS Header 經得起原始碼資安弱點掃描的程式設計習慣培養(六)_Path Traversal 經得起原始碼資安弱點掃描的程式設計習慣培養(七)_Code Injection 經得起原始碼資安弱點掃描的程式設計習慣培養(八)_Client DOM XSS 經得起原始碼資安弱點掃描的程式設計習慣培養(九)_Use of Cryptographically Weak PRNG(Pseudo-Random Number Generator) 經得起原始碼資安弱點掃描的程式設計習慣培養(十)_Heap Inspection 經得起原始碼資安弱點掃描的程式設計習慣培養(十一)_HttpOnlyCookies In Config Data Filter Injection風險 可能發生問題 攻擊者可能直接存取所有系統的資料。 使用簡單的工具和文字編輯時，攻擊者可以竊取儲存在伺服器中緩存區 (如個人的詳細訊息或信用卡)的任何敏感資訊，並可能更改或刪除隨後被用於其他使用者或依賴安全性決策現有資料。程式臨時的儲存並查詢資料於緩存區中。該應用程序通過簡單的連接字符串包括使用者的輸入建立查詢。由於使用者的輸入包含既沒有檢查資料類型有效性，隨後也未經消毒的命令。 通常也時常發生在 DataTable的Select Filter沒有經過處理 checkmarxC#提...

到sonarqube官網 https://www.sonarqube.org/ 去載Community版 將壓縮檔解壓 SonarQube 是一款透過 Java 開發的原始碼檢測與品質管理系統， 其架構又細分為Server 與 Client 都是跨平台的。 首先記得電腦要有安裝OpenJDK (或只裝JRE) Server端的作業 若是Linux 或MacOS就請自行到對應目錄去執行sonar.sh start  sonarqube-9.2.4.50792\bin\linux-x86-64\sonar.sh start  sonarqube-9.2.4.50792\bin\macosx-universal-64\sonar.sh start  而Windows環境則是去執行bat檔 sonarqube-9.2.4.50792\bin\windows-x86-64\StartSonar.bat 這裡執行有跑錯誤資訊 目前電腦上裝的OpenJDK版本1.8過低問題 OK 到9.2版 至少要用到JDK11 https://docs.sonarqube.org/latest/requirements/requirements/ 基於未來 Oracle Java 會有收費的情況，一般企業、公司都傾向使用 OpenJDK https://openjdk.java.net/projects/jdk/11/ https://github.com/ojdkbuild/ojdkbuild 可以到github去下載對應jdk msi檔 螢幕左下角 搜尋「檢視進階系統設定」，或是於「本機」右鍵→「內容」→「進階系統設定」，進入「環境變數」 再次執行就可以成功 StartNTService.bat 啟動sonarqube系統服務 StartSonar.bat 命令列啟sonarqube服務（關閉命令列即關閉服務） StopNTService.bat 停止sonarqube系統服務 用瀏覽器訪問http://localhost:9000，進入sonarqube頁面 預設賬號密碼 帳號:admin/密碼:admin 我在之後更改為  帳號:admin/密碼:admin123 預設儀錶板 接下來要分析C#程式碼，必須借用SonarQube Scanner fo...

這邊找到的針對puma scan大多數都為vs2015,vs2017的使用教學文 下載安裝VS插件 Puma Scan https://marketplace.visualstudio.com/items?itemName=PumaSecurity.PumaScan 下載安裝VS插件 Error List Manager 2 (ELM2) 用於好匯出報告及錯誤用 https://marketplace.visualstudio.com/items?itemName=ShemeerNS.ErrorListManager2ELM2 將visual studio 全部關閉重啟 Tools -> Options -> Text Editor -> C# Advanced  -> 檢查Enabled Full Solution Analysis 接著Enable Additional File Analysis 這步驟只能手動去開啟編輯專案的.csproj檔案 這裡就會遇到十分尷尬的點 若你們公司都是用website的application種類方式開發 就不會有 .csproj的專案檔案(不過後來發現website類型的專案也可以被puma scan自動掃出來) 所以比較適用於web application的模式 適用.net core 跟 asp.net mvc,web api 只要是應用程式專案類型的 這邊我拿ado.net搭配寫的.net web api專案來做測試 當我們把.csproj編輯存檔 並重新建置後 下方就會出現很多warning 選擇SEC前綴的就代表有安全疑慮 而都能打開連結到puma網頁上看對應可以進行secure codeing修改的範本 這邊比較一下跟CheckMarx比還是遜色一些 不過大部分常見的漏洞都還是有機會可提前先掃過作修正。 最後Puma Scan也有提供一個幫助驗證是否能夠成功白箱掃描的專案 裡面充斥很多漏洞 https://github.com/pumasecurity/puma-prey Ref: 免費的白箱檢測工具puma scan https://hoolihome.blogspot.com/2017/09/puma-scan.html github 免費版的Installation和跟.net...

  白箱掃描(原始碼,靜態代碼掃描) 會協助找到Source Code的安全問題，如果是賣軟體產品，一般都不會提供產品部份的Source Code，但如果是產品上有做客製化，一般的慣例還是要提供客製化部分的Source Code，這就是一般白箱會有的範圍 常見要付費的工具(七位數台幣起跳)有 Checkmarx https://checkmarx.com/ Fortify Static Code Analyzer https://www.microfocus.com/zh-tw/products/static-code-analysis-sast/overview IBM Security AppScan 後來好像轉給HCL接手 https://www.ibm.com/docs/zh-tw/sas/9.0.3?topic=SSPH29_9.0.3/com.ibm.help.common.infocenter.aps/helpindex_appscan.html https://help.hcltechsw.com/appscan/Welcome.html 黑箱掃描(動態應用安全測試) 有分成弱點掃描和滲透測試 弱點掃描 主要是透過自動工具偵測作業系統與軟體系統的明顯弱點，這些弱點比較容易被發掘，指要注意一些安全相關的電子報或網站就可以很快得知一些有名軟體的弱點，而這些弱點都會在最短時間內被修正，弱點掃描軟體也不少，包括上面提到的Fortify和AppScan其實都有弱點掃描工具 純弱點掃描比較常被用的商業軟體(上述的AppScan跟Fortify都有包含) Nexpose Vulnerability Scanner (六位數台幣) https://www.rapid7.com/products/nexpose/ 滲透測試 與弱點掃描一樣是由外部這個黑盒子去找出問題，但他用的不是工具，而是找到專業的駭客(Hacker)來嘗試攻破你的系統，透過其經驗可以找到許多自動軟體找不到弱點，甚至透過駭客手法破壞你的軟體系統，因此滲透測試可以找到的弱點比弱點掃描找到得更多。 常見要付費的工具 HP WebInspect http://www.phitech.com.tw/file/HP/SolutionBrief__FF_WeInspect_%E8%B3%87%E5%AE%...

  vue create todo-app