資安八卦鏡：打造個資大盜痛恨的企業網站

Get ready for security breach and data leakage! Sooner or later.

上次寫文章給雜誌好像已經是快一年前了 @@
如今個資法來勢洶洶，我和Birdman花了好些心力寫了一篇資安小品「資安八卦鏡：打造個資大盜痛恨的企業網站」獻給全台灣勞苦功高的網管和開發人員！
目前雜誌只刊出1/3，剩下2/3要等待電子版。 XD

For every piece of sensitive information, you need to consider salt, hash, and encryption.

我們從駭客的角度去想怎麼樣的網站最難搞，首先，駭客入侵之後遇到加密資料就得破密，而破密需要運算資源，駭客得去養肉雞或買專業破密設備，這都需要耗費他的成本，所以只要網站把加密工作做得嚴嚴實實，撒鹽巴，搞雜湊，玩密碼學，這樣駭客就算偷到東西也不會happy！可惜還蠻多網站沒有這樣做的... chroot的Allen很用心地從無辜用戶角度收集一卡車沒有嚴嚴實實加密用戶密碼的網站...我的密碼沒加密

Every webmaster must often review the website for one-line trojan/backdoor.

再者，駭客進來後，絕對會意猶未盡，所以他會在網站上放後門，方便以後進進出出。但我們發現這樣的事實卻只有壞人知道，好人都很少知道，所以我們一定要告訴大家，在這篇文章我們整理了三個又愛又恨的一句話木馬，各位務必舉一反三，提高意識和警覺！

What if malicious document is uploaded via Web interface, would that count as APT? Ahha!

最後許多網站會提供上傳文件的介面，這都是很頭疼的地方，說穿了，後面是誰在開啟這些文件，還不就是人！那如果今天上傳的"履歷"是惡意文件，上傳的論文或作業是惡意文件，上傳的"民眾陳情"是惡意文件，上傳的"貸款申請書"是惡意文件，那該怎麼辦？這不正是APT攻擊嗎？ 不囉嗦，XecScan最喜歡吃APT ;-)

各位對文章有甚麼想法與指教，歡迎來信 benson @ xecure-lab.com 交流。