我的雲端生活網 - Life+

Tuesday, October 28, 2008

參與2008年第二屆OWASP官方亞洲年會

OWASP是 Open Web Application Security Project(開放網路應用的安全) 的省稱。

這個會議在2008年10月27到28日在台北市國際會議中心(3F)舉行,主要是揭露當前在網路應用上的許多攻擊方式。

概觀

McAfee Foundstone 陳彥銘理事指出當前熱門的攻擊有 mass SQL injection 、 buffer overflow 、 cross-site scripting 等。此外以社會基礎的攻擊方式也需注意,例如由於 Google 搜尋找到一項地方新聞提到 UAL 破產,使 UAL 當天股價臨時劇烈滑落而損失。安全措施類似軟體發展過程,有一套 SDLC (Software Development Life Cycle) 。微軟也有 Microsoft SDL 。而一般企業使用 ad-hoc SDL ,不見得將理論的 SDLC 全部採用。一般安全測試方法有內部狀態測試、將測試外包、或是滲透測試。而未來在網路安全防護的要項是:

  • 使用Web 2.0服務,則一部份安全關卡與 Web 2.0 服務有關係。
  • 安全防護是一個過程,應列為日常生活該做的事情。
  • 有些非安全專業的公司購買安全專業的公司,做為走向安全領域的方法。
  • MS08067的安全威脅不是由自動工具發現;許多攻擊方式不能由自動工具阻擋。

安全防護需要關心的方面有:密碼政策、存取控制政策、程序流程控制、客戶端資料驗證、資料的保護(SSL)、以及不要發明自己的加解密演算法等等。

OWASP台灣分會阿瑪科技黃耀文理事介紹了網路攻擊程式的發展趨勢,由1993年米開朗基羅病毒、1996年的VBA巨集病毒、一路直道2004年 skylived IE javascript heap spray 技巧、以及當前的 mass SQL injection。

攻擊方法

今日多以組織型駭客發動規模攻擊。而攻擊程式則有許多程式技巧:

  • 網頁掛馬:只要想辦法在網頁中殖入 <script src="ALIEN.JS"></script> 就是掛馬。
  • 善用命名混淆、字串分解、編碼混淆就能夠製作變形的攻擊程式。混淆是一般的技巧,對於安全防護的麻煩是,並非混淆的網頁碼都是攻擊。
  • 攻擊程式可用若干技巧躲閉安全分析:測試執行環境是否為可上網的環境或網頁的直譯器、設法隱藏 document.write 和 eval 函數、以及使用 javascript 的函數語言特性撰寫能自我校驗的程式。

Javascript 函數語言特性的程式技巧,例如:

function testCallee () { return argument.callee; }
document.write( testCallee() );
// 印出 function testCallee () { return argument.callee; }

由於網路應用程式執行環境的特殊, source analysis 是可採用的安全分析方法。

ICST的林佳明介紹了 web mail 的攻擊方式,使駭客能夠容易偷取電子郵件。而那樣的攻擊手法不是修改密碼能夠解決的。

另外有 Robert "RSnake" Hansen 介紹新的 clickjacking 攻擊方式。

由此可見,對於 web 執行平台(包含客戶端與服務端),需要新型態的防火牆如 WAF (Web Application Firewalls) 及持續的安全改善政策。

詳細的資訊,或許等十二月的微程式資訊技術研討會做細節的分享。

Friday, October 24, 2008

參與「2008年空間資訊基礎建設國際研討會暨台灣地理資訊學會年會」

2008年10月23到24日在台北市台大集思會議中心(羅斯福路四段85號B1)舉行,由行政院經濟建設委員會與台灣地理資訊學會主辦、財團法人台灣地理資訊中心與逢甲大學地理資訊系統研究中心執行。

在場次C1孫國勛教授發表了〈以RFID、GPS、GIS定位與通訊科技整合為基礎之文化資產保存、管理、展示及導覽系統─以『珍貴老樹管理系統』為例〉,直接點明為RPID資訊應用的一例。

在場次C11,張筑鈞研究生發表了〈以開放空間服務鏈架構支源互操作中介軟體之發展〉,其中提出將多項公開資訊服務串連成服務鏈的構想,為地理資訊應用的中介軟體。做為中介軟體,勢必要思考到異質資料的套疊與重覆資料的整併或篩減。

在場次C15,來自中華電信的楊仕丞先生發表了〈一種快速之階層式合理路徑計算方法〉,提出根據道路層次限制其計算最短路徑所考慮的路徑數目。

當前在RFID技術研究的興趣,轉向到中介軟體(middleware)的考慮。其中可評量觀點有:異質平台的協同運作、資料的粹取、資料的一致、以及通訊安全。這是我參與空間資訊基礎建設研討會所關心的方面,由他山之石尋找切入點。

Monday, October 20, 2008

msnSDK v1.0.2 文件釋出

msnSDK(http://tcmail.program.com.tw/image/msnSDKV1.0.2.pdf)主要的功能就是把一些常用的MSN 功能做成一些API,讓外部的程式可以簡單的應用它來開發相關應用程式

Wednesday, October 15, 2008

MSNP16 與MSNP15 的差異

MSNP16 與MSNP15 唯一的差異

USR 4 SSO S t=...&p=xxx {MACHINE_GUID}
其中 MACHINE_GUID 可以是任何 32bytes 的16進制亂數,這大概是為了要讓MSN 可以在不同位置重複登入所設計,就像是XMPP 中的(jid)uid@domain/resource類似

Sunday, October 12, 2008

msnSDK 文件

msnSDK(http://tcmail.program.com.tw/image/msnSDKV1.0.1.pdf)主要的功能就是把一些常用的MSN 功能做成一些API,讓外部的程式可以簡單的應用它來開發相關應用程式,目前;msnSDK支援4種程式介面, 1.SOAP 2.CGI 3.ADO (這三種API的功能相同) 4.CGI-Steam 這個介面主要是處理從msn client 到msnSDK 之間的訊息以及線上狀況的資訊傳遞,歡迎需要測試功能的人或是有應用需求的各行各業先進與我聯繫(sonet.all@gmail.com)

備註:msnSDK 本身有unix/linux/win32 版本


v1.0.2 已釋出:msnSDK v1.0.2 文件釋出
v1.0.3 已釋出:msnSDK v1.0.3 文件釋出
不分版本(最新):msnSDK 不分版本(最新)文件



Blog Archive