Taiwan



歡迎加入OWASP台灣分會！「網站安全的第一步，從加入OWASP台灣分會開始」.

台灣分會會長[mailto:wayne@owasp.org.tw 黃耀文先生（Wayne Huang）]暨分會工作同仁衷心肯定您的參與，不管您在何處，甚至您僅曾留下網路足跡於台灣，感謝您願意跟大家一起分享，讓我們用更多不同的角度來檢視Web安全的趨勢、威脅、問題與解決方案.

歡迎您的參與
加入OWASP台灣分會不需任何費用，會員資格完全開放給任何對於應用程式安全有興趣的人士， 我們鼓勵會員於OWASP台灣分會分享他們的知識並提供專題演講， 而在加入會員前，請您仔細閱讀分會會員手則. 若要加入本分會的mailing list，請連結到mailing list網頁， 所有的活動討論與活動地點將透過這個清單來討論， 您也可以從email 討論備份中找到我們之前討論的備份. 最後提醒您，參加活動前，請再次檢查您mailing list的信件以確定活動地點與時間，或是任何有關活動記錄的事項.

有關OWASP (About OWASP)
OWASP(開放Web軟體安全計畫 - Open Web Application Security Project)是一個開放社群、非營利性組織，目前全球有82個分會近萬名會員，其主要目標是研議協助解決Web軟體安全之標準、工具與技術文件，長期致力於協助政府或企業瞭解並改善網頁應用程式與網頁服務的安全性. 由於應用範圍日廣，網頁應用安全已經逐漸的受到重視，並漸漸成為在安全領域的一個熱門話題，在此同時，駭客們也悄悄的將焦點轉移到網頁應用程式開發時所會產生的弱點來進行攻擊與破壞.

美國聯邦貿易委員會(FTC)強烈建議所有企業需遵循OWASP所發佈的十大Web弱點防護守則、美國國防部亦列為最佳實務，國際信用卡資料安全技術PCI標準更將其列為必要元件. 目前OWASP有30多個進行中的計畫，包括最知名的OWASP Top 10(十大Web弱點)、WebGoat(代罪羔羊)練習平台、安全PHP/Java/ASP.Net等計畫，針對不同的軟體安全問題在進行討論與研究.

當貴單位決定開放網頁服務時，就必須讓來自於全球的網頁請求進入單位內部的網頁伺服器. 駭客可以藉由隱藏在合法的網頁請求內，通過防火牆、入侵偵測系統或其他防禦系統的偵測，堂而皇之的進入單位內部或藉由單位網站充當跳板與中繼站而向其他受害者發動攻擊. 這意味著企業的網頁程式碼也必須成為機關(構)單位周邊的安全防護之一，當單位網頁服務的規模與複雜性增加時，單位暴露於外的風險也逐漸增加.

OWASP 台灣分會 (OWASP Taiwan Chapter)

 * 網頁:http://www.owasp.org.tw
 * 電郵:info@owasp.org.tw
 * 群組:owasp-taiwan@lists.owasp.org
 * 住址:台北市115南港區三重路19-13號(南港軟體園區)E棟5樓554室

Chapter meetings are held several times a year, typically in the offices of our sponsor.

Please subscribe to the mailing list for meeting announcements.

Our chapter is sponsored by Armorize Technologies. 感謝美商阿碼科技提供會議茶水、食物與活動贊助!

免費加入OWASP台灣分會、立刻啟用免費源碼資安檢測！
http://www.owasp.org/images/f/f8/OWASP-TW-1.jpg



加入OWASP台灣分會不需任何費用，會員可享有：

1. 配合Web安全宣導，政府機關(構)可獲免費資安源碼檢測（靜態分析）線上使用帳號. （廠商贊助，限台灣政府機構）

2. 不定期由OWASP台灣分會發行之Web攻防CDROM，目前為V1.0，填妥入會資料後會由工作人員郵寄送達. V1.0 CDROM內容包括：


 * 1) OWASP-Taiwan-Web安全簡介投影片
 * 2) OWASP-Taiwan-2007年首份研討會講義
 * 3) OWASP-Taiwan-免費Web安全工具
 * 4) OWASP-Top10-最新十大Web弱點
 * 5) OWASP-代罪羔羊(WebGoat)工具(免下載)
 * 6) OWASP-Guide-參考指引計畫內容
 * 7) OWASP測試計畫內容

http://www.owasp.org/images/d/d9/OWASP-TW-2.jpg

3. OWASP台灣分會電子報.

加入會員方法請見本頁下方 如何加入會員

加入OWASP台灣分會不需任何費用，會員資格完全開放給任何對於應用程式安全有興趣的人士， 我們鼓勵會員於OWASP台灣分會分享他們的知識並提供專題演講， 而在加入會員前，請您仔細閱讀分會會員手則.

若要加入本分會的mailing list，請連結到mailing list網頁， 所有的活動討論與活動地點將透過這個清單來討論， 您也可以從email 討論備份中找到我們之前討論的備份.

最後提醒您，參加活動前，請再次檢查您mailing list的信件以確定活動地點與時間，或是任何有關活動記錄的事項.

OWASP台灣分會 部落格 blog
需要一手資安情報，技術分析，市場資訊嗎？

歡迎常來 OWASP台灣分會 部落格 blog

http://www.owasp.org/images/d/da/OWASP_Banner_Blog.png

如何加入會員
歡迎免費加入OWASP Taiwan台灣分會！加入方式有三種，線上報名，email報名以及傳真報名： 工作同仁會持續通知所有會員有關OWASP最新活動資訊與座談會議程.

線上報名
請按此填寫線上報名單

Email報名
請email：[mailto:info@owasp.org.tw info@owasp.org.tw]加入台灣分會,請註明下列資訊.
 * 姓名
 * 單位
 * 職稱
 * 1) 電子郵件
 * 2) 聯絡電話

傳真報名
請列印此報名表,填寫後傳真至(02)6616-1100即可.



近期消息

 * OWASP台灣分會參展:在2007年4月16至18日，台北國際資安展(http://www.secutech.com/tw/is/index.asp) 隆重登場，OWASP台灣分會邀您蒞臨攤位A402與A404，即可獲得Web資安光碟一張，並親自動手體驗比滲透測試、弱點稽核等傳統資安檢測方式更為優異的自動源碼檢測技術.


 * Web安全新聞:在2007年4月11日，iThome報導「OWASP台灣分會成立會員免費招募中，盼助我國Web安全防護跟上國際趨勢」.


 * Web安全新聞:在2007年4月9日，蘋果日報報導台灣已有ESPN體育台等許多與民眾生活息息相關的二十七個官網，三月以來陸續遭駭客植入木馬後門，藉由軟體廠商尚無修補程式的「零時差攻擊」（Zero-Day Attack），無辜使用者只要連上網瀏覽，電腦就中獎，輕者帳號、密碼遭竊，身分被盜用；重者機敏資料外洩或財物損失.


 * Web應用程式安全研討會:在2007年3月27至4月11日，行政院研考會與資通安全會報技服中心舉辦之政府資通安全防護巡迴研討會－資安發展趨勢及網路應用服務資訊安全，歡迎政府機關(構)負責資通安全相關人員踴躍參加. NEW!研討會講義下載


 * Web安全新聞:在2007年3月8日，東森新聞報導台灣駭客攻擊事件四小龍之冠，90％銀行曾遭入侵，然而許多企業都以沒有預算為由，不願意增加防護設備與人力，被駭客竄改入侵網頁，不瞭解背後嚴重的意義，網頁改回後，並沒有增加防護設備，甚至還有單一企業被駭連續高達82次. 原新聞連結



網站與Web服務的五大資安困境

 * 1) IT人員不足
 * 2) 缺乏資安領域專業知識
 * 3) 功能性驗收為主
 * 4) 缺乏自動化工具
 * 5) 成本、效率導向專案模式不利確保專案品質

直接與程式碼安全品質有關
註:美國國防部的BSI計畫(Build-Security In,https://buildsecurityin.us-cert.gov/) 及Mitre研究機構的CVE資安脆弱性列表(http://cve.mitre.org/) 亦顯示1)Cross Site Scripting與2)SQL Injection已連續兩年列為全球頭號嚴重資安弱點. * OWASP台灣分會強烈建議各單位在進行源碼檢測時，尤以政府機關(構)，應遵循政府資通安全作業規範(http://www.giscc.org.tw) 之「Web應用程式安全參考指引」，並將1與2列為必要檢測項目，3與4列為建議檢測項目，而5列為選擇檢測項目.
 * [必要*]Cross Site Scripting (XSS) – 跨站腳本攻擊(即XSS)
 * [必要*]Injection Flaws – 注入弱點(如SQL Injection等資料隱碼攻擊)
 * [建議*]Insecure Remote File Include – 不安全的遠端檔案匯入(如File Inclusion)
 * [建議*]Insecure Direct Object Reference –不安全的物件參考(如File Injection)
 * [選擇*]Cross Site Request Forgery (CSRF) – 跨站冒名請求(類似XSS破壞身份鑑別)

＊在實務案例上，檢測並修正1與2即可避免絕大多數的Web資安威脅.

因上述漏洞間接造成或與Web伺服器及外部設定有關

 * Information Leakage and Improper Error Handling
 * Broken Authentication and Session Management
 * Insecure Cryptographic Storage
 * Insecure Communications
 * Failure to Restrict URL Access

會員列表 (Member List)
Coming up soon!

http://www.owasp.org.tw/dot.png