常有人問: 為什麼我的網站在發布前, 需要做侵入測試(penetration test)? 我們不是已經有防火牆和SSL加密了嗎?不錯, 以現今的技術, 很少人會在防火牆打洞或破解SSL加密上面動腦筋. 所以我們安全了嗎?
OWASP 是個非營利的電腦應用軟體安全組織. 它每年發布的十大 (Top 10) 安全漏洞是產業界的重要指標. 看看2010年的排行, 勉強只有No.9 是SSL可以擋一擋. 傳統的 Network level 防火牆更是一個都沒撈到. 為什麼?
道理其實很簡單. 沒有一個黑客喜歡捨易求難, 或專找硬釘子碰. 大家都喜歡找環節中最弱的一點 (the weakest link). 應用軟體的漏洞可讓黑客堂而皇之的走大門, 又何必辛苦翻牆呢. 這就是為什麼安全是需要測試的, 不是自我感覺良好就行的.
http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
圖取自此處
-- kryptoman
No comments:
Post a Comment