Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
2016.11.30 電商業者的資安困境
Search
DEVCORE
November 30, 2016
Business
0
530
2016.11.30 電商業者的資安困境
2016.11.30 TiEA 資安座談會
DEVCORE
November 30, 2016
Tweet
Share
More Decks by DEVCORE
See All by DEVCORE
2017.03 雲端時代企業面臨的攻擊威脅
devcore
0
160
2015.04.02 從滲透測試談企業常見資安風險
devcore
0
160
2015.01.09 HITCON 戴夫寇爾 2014 年度弱點回顧
devcore
0
140
[2014/10/06] HITCON Freetalk - App Security on Android
devcore
0
150
Other Decks in Business
See All in Business
2023年度ICT職専門研修(海外派遣研修)報告書 No.2
tokyo_metropolitan_gov_digital_hr
0
190
サインコサインと起業家精神について
kakukoki
1
310
BizMow 会社紹介資料_2024
bizmow
0
460
新規プロダクトの仮説検証ループをすばやく回し続けるためのプロダクトエンジニアリング/PdENight3
kakehashi
13
3.5k
セキュリティインシデント演習の効果を高めるためのポイントと実例
humihumi
1
310
GA technologies Co.,Ltd. Corporate Story
gatechnologies
2
510
「推し活」記憶術〜学んだことを15倍記憶するためにやっていること〜 / Oshikatsu memory technique
aki_moon
3
850
株式会社WAKUWAKU 会社説明資料2024/Company Description
wakuwaku
0
250
経理ポジション候補者様向け補足資料
jmty_recruit
1
690
地方在住フルリモートワークエンジニアのリアル 〜ジモトで_活きる_エンジニアライフ〜
wkm2
1
230
AnyMind Group Credential Deck(EN)
anymind
1
73k
20240314_AnsibleNight_Part2_Ansibleの「きほん」の「き」
uchida0411
0
250
Featured
See All Featured
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
8
8.2k
Clear Off the Table
cherdarchuk
82
310k
Statistics for Hackers
jakevdp
789
220k
Why You Should Never Use an ORM
jnunemaker
PRO
50
8.6k
Automating Front-end Workflow
addyosmani
1353
200k
The Illustrated Children's Guide to Kubernetes
chrisshort
28
46k
Thoughts on Productivity
jonyablonski
57
3.8k
Web Components: a chance to create the future
zenorocha
304
41k
Embracing the Ebb and Flow
colly
78
4.1k
The MySQL Ecosystem @ GitHub 2015
samlambert
242
12k
How To Stay Up To Date on Web Technology
chriscoyier
781
250k
The Mythical Team-Month
searls
214
42k
Transcript
㑒ࠎᖱ⓱ỉⶳయऺ Ꮦ˃ဧٰ΅Ϟࠢʮ̡
[email protected]
ॽख͍"MMFO0XO 5J&"༟τࢭሔึ
ⳝ⓱≼ύ ␃ុᙏ "MMFO0XO ৢடᬕ%&7$03&घ⨭㉅ ٪᧫㓲ஆؓፎ)*5$0/ബׁ᱙˱ BMMFOPXO!EFWDPSF ொ㉅㡩㓲ஆሟᇌစՁᎵơᣑ⼈ᡄ⮜
http://en.wikipedia.org/wiki/Liebig's_law_of_the_minimum
Ϯᖱ㒘ಇⶳయΦϨᡢℨ 事前預防 事件發⽣生時 事後處理理 ᣑ⼈ᡄ⮜ ሲ⒣⭧⌕ ྭⱽ⭟ᵍ ˱̳ᣬ⌕ ⳽୷⼐ृ ⋸ྭⱽ
˱̳⢦᱙ ቆͦ㈢ⱛ สػぜය
Ϯᖱⶳయᐎٷ⯋وⴢ Ø යⱬ̹ᓹӔဪԺ㕴ⴗʲḑො㞾㡦ἃ⼶⳽୷ⓞොↀ ࢢܛϫ⾠Ձ㡦ӻど⮦⾠Ձ⼟⨭⪒Ƣ 需 求 訪 談 滲 透
測 試 教 育 訓 練 整 體 規 劃
Τ⯺ኄ⓱ỉἍỉɗ༰⎖㦎 Ⴞ▏Άⱜӛσ㣉ၥಇᆹጮɘ
ߕཧਯਠ*5ӻ୕Κዚ ৰə5BSHFUεཧਯਠɰቊݪ ௰ڐdԨʔස˟5BSHFUɓ೯͛ࠠɽ༟̮ࣘރԫf ࣬ኽ༩ீٟܸ̈dίື˚ᒅي֙ಂගdৰə5BSHFUၾ /FJNBO.BSDVTʘ̮ٙεཧਯਠdɰቊՑᎡ܄ҸᏘf ɪ5BSHFUீᚣܸ̈dᎡ܄՟ə ຬഅٙᚥ܄ ֑Τeඉήѧeཥ༑ᇁeཥɿඉήѧၾ˕˹̔ ༟ࣘdШ̘ϋ˜ʕϚৎజኬ፲̰ٙഅᅰމ ຬ
അf 7 IUUQOFXTOFUXPSLNBHB[JOFDPNUXDMBTTJGJDBUJPOTFDVSJUZ
iThome http://www.ithome.com.tw/news/100772
中央通訊社 http://www.cna.com.tw/news/afe/201605130398-1.aspx
中央通訊社 http://www.cna.com.tw/news/afe/201605130398-1.aspx
內政部警政署 165 反詐騙 http://165.gov.tw
܉ⱃ㘵ᓪϨዾㄔ㦑 2016.01.01 ~ 2016.10.06 ญ३ᝎҠᐉϨⱃ㘵ᓪϨ
㣕⚔ᷔᖱ ϞცӋdఱϞԶഗiϞлूdఱϞପุf ලЍପุሖ͛ʊɮd͍ΪމϞცӋeϞлूdʑึϞᎡ܄ ණྠආБଡ଼ᔌٙҸᏘf
㣕⚔ᷔᖱỉᮑ؍ᘳ Ø ϫ̍⳽ቛ Ø ㌱⾬̳ϕⅹ Ø ϕᴟؙ⢬ Ø ̂ኴ⳽ቛ Ø
ന⢬ஞᾋ Ø ⳽ቛൻ Ø ឪぞ Ø ሟᇌ⁰ Ø ⳽
None
None
None
None
㑃㑒ࠎᖱ⓱ಙ⿅㣉⇝㦖 እ᮸ⴸኄ⓱Ⴔᛟ㦖
໙㑒ࠎᖱ⓱ỉ⯬ฯюᆲⰘⶳయ
㑒ࠎ⎛↫⯊ỉऺ㦑 ╹⨭㉐ḋ⋣ୖࢢᣩដ ㉐ḋ⋣ୖࢢᣩដ Ө⾠ܓ㌱┗⽈ӧβធϫ⳽ ⿸ٸඦݘϫ⳽ធ
ሟᇌᴟഀធന⢬ஞᾋḊӧ㌱ݘ⋣ ⳮஔࢢ⮍㔔㌉࢙ḑⴑॆ̂ኴ
㑒ࠎ⎛↫⯊ỉऺ㦑 Ø ╹⨭㉐ḋ⋣ୖࢢᣩដ Ø ㉐ḋ⋣ୖࢢᣩដ Ø Ө⾠ܓ㌱┗⽈ӧβធϫ⳽ Ø ⿸ٸඦݘϫ⳽ធ Ø
ሟᇌᴟഀធന⢬ஞᾋḊӧ㌱ݘ⋣ Ø ⳮஔࢢ⮍㔔㌉࢙ḑⴑॆ̂ኴ ☱⫤㍱ể⎛↫ఎक़ᦡᡂ ଊ㍱ể⎛↫ఎक़ᦡᡂ 網站伺服器
㑒ࠎ⎛↫⯊ỉऺ㦑 Ø ╹⨭㉐ḋ⋣ୖࢢᣩដ Ø ㉐ḋ⋣ୖࢢᣩដ Ø Ө⾠ܓ㌱┗⽈ӧβធϫ⳽ Ø ⿸ٸඦݘϫ⳽ធ Ø
ሟᇌᴟഀធന⢬ஞᾋḊӧ㌱ݘ⋣ Ø ⳮஔࢢ⮍㔔㌉࢙ḑⴑॆ̂ኴ ֝ざ߉ධ㑒•֜ѧᡊҠⶳ 個⼈人電腦
㑒ࠎ⎛↫⯊ỉऺ㦑 Ø ╹⨭㉐ḋ⋣ୖࢢᣩដ Ø ㉐ḋ⋣ୖࢢᣩដ Ø Ө⾠ܓ㌱┗⽈ӧβធϫ⳽ Ø ⿸ٸඦݘϫ⳽ធ Ø
ሟᇌᴟഀធന⢬ஞᾋḊӧ㌱ݘ⋣ Ø ⳮஔࢢ⮍㔔㌉࢙ḑⴑॆ̂ኴ ギܮࠎҠⶳᡊ 配合廠商 伺服器或電腦
㑒ࠎ⎛↫⯊ỉऺ㦑 Ø ╹⨭㉐ḋ⋣ୖࢢᣩដ Ø ㉐ḋ⋣ୖࢢᣩដ Ø Ө⾠ܓ㌱┗⽈ӧβធϫ⳽ Ø ⿸ٸඦݘϫ⳽ធ Ø
ሟᇌᴟഀធന⢬ஞᾋḊӧ㌱ݘ⋣ Ø ⳮஔࢢ⮍㔔㌉࢙ḑⴑॆ̂ኴ ኄ⓱ᷗමᡊ⥣ౖ⁃Ể֜㑒ࠎ⎛↫ ⶤౌक़ⱃ㘵㐪ॏỉ৽η፬ 買家資安意識
☱⫤㍱ể⎛↫ఎक़ᦡᡂ
☱⫤㍱ể⎛↫ఎक़ᦡᡂ Ý ⼠ዕṦպͅᔉ㍅⬜ӡ⭕ᜡḢݫ㐩㡯 Ø ☬⋣፭⸽⳽୷㕴ⴗʵ㡦ըፎ⺀ኴ⩰ሟᇌӧβƢ Ø ⳽୷ݞ㐘ญญ⾱ዅ̹ᓹӨ⾠ፌ㌢⭄ḑݞ㐘㡦⼶㕸ʬ௦㗐㕸ʬ ʰ㡦☬ᜥፒ⋍⼱ቂḑᣑ⼈ᡄ⮜㡦ը㌢̩ဪԺݞ㐘ḑᐦᢋƢ Ø ဪ՚˯ݞ㐘˘ท㡦㉐ḋ̍ܓḑሲ⒣⭧⌕ơ⳽୷ᖤ՟ơ⳽୷⭶
ё㡦⾱ፎዅ̹ᓹჽʳΙ⬋㍷ḑ⯑㐘Ƣ
None
⯺ៈጫᓪ Ø ᣑ⼈ᡄ⮜㡩ဪԺᣩដࢢ㡦ਗټаආᗏᏱ Ø ሲ⒣⭧⌕㡩⪒⬵ḑ⎛১ Ø ⳽୷㐮ݞ㡩㉅።ሞހ̹ᓹ㕴ⴗ㡦ਗټஔൽᴚ
Ϯᖱ⯊య֞㕚㐖㦑ዾㄔ 7% 2% 2% 3% 3% 4% 6% 7% 9%
9% 49% 跨站腳本攻擊 資料庫注入攻擊 功能缺少權限控管 指令注入攻擊 資訊洩漏 跨站冒名請求 不安全的直接存取物件 未驗證的轉址 錯誤訊息洩漏 商業邏輯漏洞洞 其他
Ϯᖱ⯊య֞㕚㐖㦑Ҡⶳ㎬ 7% 2% 2% 3% 3% 4% 6% 7% 9%
9% 49% 跨站腳本攻擊 資料庫注入攻擊 功能缺少權限控管 指令注入攻擊 資訊洩漏 跨站冒名請求 不安全的直接存取物件 未驗證的轉址 錯誤訊息洩漏 商業邏輯漏洞洞 其他 ᚪΩ㖉⽈㡯
Ϯᖱ⯊య֞㕚㐖㦑ể᷒ 跨站腳本攻擊 資訊洩漏 跨站冒名請求 功能缺少權限控管 資料庫注入攻擊 錯誤訊息洩漏 指令注入攻擊 不安全的直接存取物件 未驗證的轉址
商業邏輯漏洞洞 發⽣生率 0% 25% 50% 75% 100% 32% 36% 36% 36% 41% 50% 59% 64% 73% 91%
Ϯᖱ⯊య֞㕚㐖㦑ධ֧ᬔᚇ 跨站腳本攻擊 資訊洩漏 跨站冒名請求 功能缺少權限控管 資料庫注入攻擊 錯誤訊息洩漏 指令注入攻擊 不安全的直接存取物件 未驗證的轉址
商業邏輯漏洞洞 發⽣生率 0% 25% 50% 75% 100% 32% 36% 36% 36% 41% 50% 59% 64% 73% 91%
Ϯᖱ⯊య֞㕚㐖㦑ධ֧ᦡ৺ 跨站腳本攻擊 資訊洩漏 跨站冒名請求 功能缺少權限控管 資料庫注入攻擊 錯誤訊息洩漏 指令注入攻擊 不安全的直接存取物件 未驗證的轉址
商業邏輯漏洞洞 發⽣生率 0% 25% 50% 75% 100% 32% 36% 36% 36% 41% 50% 59% 64% 73% 91%
ଊ㍱ể⎛↫ఎक़ᦡᡂ Жუړࠎͪ⥝ᴑ
ଊ㍱ể⎛↫ఎक़ᦡᡂ Ý ㉡Ḝ⋴℄ࢯល㡺ͭျתݥˁ⢸ᱪ Ø ʵ̹ᓹᜥፒ╹㉐ḋ⋣㡦ዅḋם⊬⾠ඦݘ ㉐ḋơ⋞⼮Ƣါםݘḑ܃ⴗ⼐ബ㌢̩ყჾ㡦Җᐩ ḑᓹᴺᴚཌྷ㡦ፄⲂ㉐ḋḑ܃ⴗ㌢̩ᄛ؊Ƣ͡ᓹፌ 㐄য়ḑዅ㡩უړࠎᄡ⍘⥝ᴑᦡᡂɘ
ଊ㍱ể⎛↫ఎक़ᦡᡂ Ø ☬ᜥፒࢢʬ㉐ḑٸ≜ኯ⭛⳽୷⋞Ɱᕵᢏ㡦 ࢢነทḋᴚ⳽୷˱̳ዏը㌢̩⬋ᛩါםݘϙ⪒ᣩដ Ø ࡻᙐයⱬᓹࢢነทḑ㉐ḋᐲ㡦ኯ⭛⳽୷ᕵᢏơ 㕇ማዏᗏ㊯⇠ͦጫᦉ⾾ⱒ৺ݥ㡦˂ʺነทⶳయ ⎖ⴤܮ⌔ᯧ⃯ትʬ▪⋞Ɱ≜˘㡦՟घ⨭Ƣ
⯺ៈጫᓪ Ø ⽒ݘᕵᢏ㡩ਗͮ႖⽒ʬϫ܃ⴗ◚ḑඦݘ Ø ㉐ᕵ⬕ᐩ㡩ࢢ⬕ᐩˆ՟⭛⳽୷⬕ↂ Ø 㕇ማᕵᢏ㡩㕇ማዏ⬋ᛩℨʱታ⳽୷ᗏᡄृگ Ø ⳽୷⋞Ɱٸ≜㡩ḋᴚ⳽୷˱̳㡦ྭⱽِϙสḑዏ㉘
σ㣉ᐆᐊⶳయᦡᡂ㦖 Ø ㉐ḋ̍ܓ⎛˛⳽୷⋞ Ø ඦݘ⎛˛⳽୷ぞ Ø ̹ᓹ⊓⍟ᜥፒ⳽୷⬕֒
None
֝ざ߉ධ㑒•֜ѧᡊҠⶳ
֝ざ߉ධ㑒•֜ѧᡊҠⶳ Ø ᵑ⋣㌢̩⩰ӧβ㡦ሟᇌፎ⺨ญܓ㌱┗ʳစƢ ⼈⼱ῢ̂⁰ơᅢ⿸༃༦⾬̳℻"15ሟᇌ㡦ӧβϫ ̍㌱┗ทٕผ៖Ⳳϫ⳽㡦ᴖ╾Ц᨟ⶪᎩᣑ⼈̹ᓹ Ө⾠ᇪয়ሟᇌᎿƢ☬ᜥፒḑ⳽୷༦ⱛ㡦ܓ ፎዅ̹ᓹፌয়ḑ⳽୷⎛ٞƢ
None
⯺ៈጫᓪ Ø ת⳽୷⋞㡩Ⲃነബ͵⾱˯⭄⳽୷㐹㋵ͮࢢ Ø ᘐ㊶ፌתػը㡩٤⊬˰฿⬋ḑᘐ㊶㡦㋃ፒʵ ฿⬋ḑ㡦Ⲃᘐ㊶ፌת Ø "15㊣㡩.BJM(BUFXBZơ㊣ᚘ⹖㕴ơ"15 4PMVUJPO
ЮἮỉ"15ỉ܌⓱㦖 〔ܚዙᔳⶳయỉ⣶ܔ㦖
ギܮࠎҠⶳᡊ
ギܮࠎҠⶳᡊ Ø ㌱ݘ⋣ፒٵ₇▎ᴺᖔჽḑፖׁ㡦Νਗだឪơᬳ ឪƢ☬ᅢ⿸ḑ⾠≕⊶⽈՚ӧβ㡦ϫ⳽ʬᕼፎ⩰ٕ ผƢ͡ᛆẐơ㕴٤ፎ⬰ผƫࢢ⼏ஔ㌱ݘൕ٪ⳮ ⬊⩰⮍㔔Ƭ㡦⎼՚̹ᓹ፭⸽ƢϮᖱᐊϪ⯁ ឡギܮỉࠎܲ͡ಁⶳయɗҠⶳხ㎬ɘ
⯺ៈጫᓪ Ø ⿸ٸඦݘḑ⳽୷⬕ↂ㡩⿸ٸඦݘ˥㌴⬋ፒṞྭḑ ⳽୷⬕ↂ㡦ṍ㞾˂ჾ՟㐹㋵Ƣ Ø ᣑ⼈ᡄ⮜㡩ፒ̘ჽḑ≕⊶Ц୷өṍ㞾
None
ኄ⓱ᷗමᡊ⥣ౖ⁃ Ể֜㑒ࠎ⎛↫
ኄ⓱ᷗᡊ⥣ౖ⁃Ể֜⎛↫ Ø ⳽୷ḑ⳥̵˂ʵѯࢢ̹ᓹ㡦ፒḑዏϸ៖Ⳳ፭⸽ന⢬ḑ୷ ө˥ፎข㏡՚㌱ݘ⋣ḑᠳⱳƢṕխᛆẐ٤⬋ჽማ՚⮍㔔 ㌱⮥㡦ṛ⬰⾱ፎዅࢢᏡϫ൮ஔḑ̂ኴ⩰㓲㡦⩰ٕผ⳽ቛท Ⳣ݄⊬⮍㔔㌉࢙㡦ࡻࡹृ⊬℻ٓ⮍㔔ொ⌀Ƣ Ø ⿅ℿᓪђΚᐆ∤क़㑒ࠎ⎛↫ỉͧ㦎Ж۟ͪ͡㑒ࠎ⎛ ↫ỉࠔ㔹Ƣ⼏ᕼḑሟᇌစ˥ϋ₊ƫᆯൻƬƢ
ኄ⓱ᷗᡊ⥣ౖ⁃Ể֜⎛↫ Ø ሟᇌ߲⮜ᴟᆯൻٕผ̹ᓹܓന⢬ஞᾋ㡦ᴖ╾ ⅳ᱙ᘐ㊶Ƣ☬ᜥፒṞྭḑᖤ՟ըኴ⩰ٕผ≕ ⊶ჾ՟ᘐ㊶Ƣ
None
⯺ៈጫᓪ Ø ̹ᓹ㉘ḑ⑶㊣㡩̂ᄥฉᙐḑሟᇌ㞴ٽޢ㡦ᵑʳʬ ᝡሟᇌ㉐˘խӔ⨭㊧ᇍƢ Ø ᄛΩΒᴟന⢬ϑⱮ㡩⇄⭠㕇ⱍơ˲ᙑ㕌㕇ⱍơ*1 ϑⱮơ4FTTJPOϑⱮ℻Ƣ
55
56
57
58
ౖ⁃య֞۱؞ Ø ஞᾋ㉅൷ Ø ㉅൷ณぜ⬋㡦යⱬϫ୕̩ʲ㡦˂㍳٤ⓗϫ୕ӏ Ø ஞᾋ⪯㌜൷ Ø ቆ୕ơ☶ቒয়ơ₶Ḍơℤ⢬ Ø
ʵ٩▎ന⢬ぜ⪯ơʵ٩ᴟബᴟ୕ˊ Ø ஞᾋϑⱮ Ø ʵ٩ឪӱ̝Βᴟơʵผӯᴟ Ø ⽙Әኯቒѡ⼿ơʵ٩Ӭ㉐ෞⳳ
чౖᷗܲ⁃ಈ☷⥣⬦֜ѧ #ၣ१ ᇁj!?? BH ᇁjRB[XTY ᇁjRB[XTY "ၣ१ ቊɝڧ $ၣ१ ɝڧ
∫ᴑౖ⁃ỉධ֧ Ø ᝥ༦⬋㞾㡩ፒᩜ.BTUFS1BTTXPSEơፒᩜټᙑ֤ⓗơ፭ ᖤஞᾋ⳽ቛൻዅڑፒ֥ஞ Ø ,FF1BTT㡩IUUQLFFQBTTJOGP Ø 1BTTXPSE㡩IUUQTBHJMFCJUTDPNPOFQBTTXPSE Ø -BTU1BTT㡩IUUQTMBTUQBTTDPN
Ø "QQMFJ$MPVE,FZDIBJO ֥ஞơፎ⋣ⶦټᙑ
ⶤౌक़ⱃ㘵㐪ॏỉ৽η፬
ⶤౌक़ⱃ㘵㐪ॏỉ৽η፬ Ø ٤⬋ፒ٩࢘㡦⮍㔔㌉࢙ፎᩜʵᴟӱᔀḑ།ᯰ ٕḽƢᵑ≕⊶ഀ⋍⼷छ፭ḑ୷өơΒᴟធ ḑന⢬˥ഀ⋍ᩜᴟ˘ท㡦⮍㔔㌉࢙ӻሟᇌ̍ ḑᣩដ㡦㍱Ⱜ᭯㍫ࠎỉ৽㦎ݗᬔ⽹ỉ ܌⓱ⷜⶤƢࢢⴑॆḑᵀ⭚॓ИӾⴑஔ㡦ᵀ ʳ╹ḑ-*/&▎៖Ⳳᢕ⼐㡦⼟⨭⮍㔔Ƣ
㑒ࠎᖱ⓱ⱜУ☱҆
㑒ࠎᖱ⓱ⱜУ☱҆ Ø ˯⭄㐹㋵ Ø ˯⭄ቃ̍ Ø ᙏᾉḑཌྷ൷㍷⳽୷
WHO WHY WHAT WHOM WHERE WHEN HOW HOW MUCH
ⶳయΦϨỉ8) Ø 8IP㡩ሟᇌዅ⯐㡮 Ø 8IZ㡩᨟̎㞨⬋ሟᇌ㡮 Ø 8IBU㡩ሟᇌ⬋ḑዅ̎㞨㡮 Ø 8IPN㡩᨟̎㞨ዅ⩰ሟᇌ㡮 Ø
8IFSF㡩มܛ⪖㉐ሟᇌ㡮 Ø 8IFO㡩̎㞨ዏϸḋֽሟᇌ㡮 Ø )PX㡩㞨ሟᇌ㡮 Ø )PX.VDI㡩ሟ㊣㌴⬋⳽ᢋ㡮
8IPኄ⓱Ⲇ㦖 Ø ༃༦㓲ஆ⊓⍟㡦˂▎⮍㔔㌉࢙ٸ͵ Ø ټᓹ℁ᬌစ Ø ϫ㕴 WHO
8IZσ㣉⯁ኄ႕㦖 Ø ᨟˯ㅓⳛḽሟᇌ Ø Ӭׁơ⁅̍ຮກ Ø ੶ⓝ Ø ᨟˯ፒơᨒ WHY
8IBUኄ⓱⯁ỉσ㣉㦖 Ø ٩̩Ⳣⴑḑ⳽ቛ Ø ϫ⳽ Ø だ⦎⳽ቛ Ø ന⢬ஞᾋ Ø
̹ᓹӨ⾠ᖤሪ⳽ቛ Ø ٩̩ᴟḑ⳽ᢋ Ø ͵᨟ⶪᎩ Ø ͵᨟ƫ⒈ᖤƬ Ø ͵᨟ᙽ௵⋣ⶦ WHAT
8IPNσ㣉႕㦖 Ø ⹖ᐇ Ø ਗ㡩ږፒኯ㐳ᣩដḑ⋣㡦ᚚʳစ Ø ᐥ෧⮜ॆ Ø ਗ㡩ፌ⻝Ժ᱒ḑቭᣩដơቭሟᇌစ Ø
ṬⵍΙፒㅓ̍ Ø ਗ㡩ᇅፒয়ぞだㅓơਗ̂ኴൕ٪ơᚚᬿൈ WHOM
Уⴸኄ⓱ͪ〈႕ Ø ㌴ዏ㉘㡩⳽୷㊣аө㡦≫⌌ሟᇌḑম֣ Ø ㌴⳽ᢋ㡩㌴⬋ፄˏᖤơ☋Ⳳ⼟⨭Ἲ⭄ Ø ㌴㐹㋵㡩ፎጚ㍝⨭⸆ơፒ⩰ြḑ㐹㋵
Уⴸኄ⓱ͪ〈႕ Ø ㌴ዏ㉘㡩⳽୷㊣аө㡦≫⌌ሟᇌḑম֣ Ø ਗ㊣᧲ᬛơ8"'ơ*%4ơ͙ፖࠨ୷ө㊧ᇍ⭶ஂ Ø ㌴⳽ᢋ㡩㌴⬋ፄˏᖤơ☋Ⳳ⼟⨭Ἲ⭄ Ø ਗ֥ஞơᣬⅬơ⳽୷㊣аө Ø
㌴㐹㋵㡩ፎጚ㍝⨭⸆ơፒ⩰ြḑ㐹㋵ Ø ਗ≕⊶⭫ㄻ⽀℀ё̶ᖤ՟ơṌჾᖤ՟
ギ⑸4*&.Ўᐎࣞ
8IFSF໙ߑ⭌㍱ଁኄ㦖 Ø ᙏ㍷⻜ᇌ Ø м㍷⬁ᇌ Ø ⒳ท₼ᇌ WHERE
ᜇ㒘⾒ኄ Ø ṛჽᙏ㍷⻜⋣ፖׁ㡦ᩜᴼ㊣ᖤ՟㡛 Ø ᵑ⋣ፒᣩដơ፫ϙ⪒୷өݞ㐘㡦ዅ⋣ڡӧ β㡦ሟᇌፎᙏ㍷⻜ᇌ⋣㡛 Ø ☬⋣㊣ё㡦ʵ㌴⬋ᇓΙ╹ᙏ㍷ḑሟᇌ㡦 ٤⬋⭫ผஂ።வቶ⳽୷ᗏᡄơِᾉϑ≕⊶ḑ୷өᣩ ដ⾱ِዏϙ⪒ᵇƢ
ӱ㒘⮷ኄ Ø ⼈⼱ӧβ̹ᓹࣘ٪㡦ټˏᖤӱ̝٪㡦Ιሟࡹṕᕵ㡦 َ₊ƫቸᝥƬƢ Ø ਗᎿᙏ㍷ᩜ⩰ӧβ㡦ሟᇌፎ்ဪټ*1ơṞ⻝⋣ᚃḑӱ ̝ˏᖤ⼟⨭ሟᇌ㡦☬ሟᇌ֤ፒᖤፎ٩̩ᣑ⼈ࡹṕᕵ⋣Ƣ Ø ̹ᓹ฿㏪͙ፖࠨḑ⋣ޢ≬ת㡦⽙Әʵ฿⬋ḑ٪ӯୖ㡦 ˂ʺټ⋣ᚃ㐦ˏᖤϕⴟ㊋λṍ㞾ᠳᓩƢ
╫ⅴኄ Ø ⼈⼱ῢ̂⁰℻ታ㡦ᣑ⼈̹ᓹӨ⾠㡦ม⒳ทḋֽ ሟᇌƢṕխ"15ሟᇌჹٕᙐ㐦ታ㡦㌢̩㊣Ƣ Ø ሟᇌፎ⪩͵ʬ༃༦ቒ̳㡦ஜ⊬̹ᓹ㊋ㆋ̍ᬳ㡦 ⯂Β̝㉐ݧƢ☬⮦̍ܓᜥፒӑ⳽୷⋞㡦ዅΒ ᴟḑ⹖㕴ږፒ୷өᣩដ㡦٩ⓗṛჽ⽈՚ӧβƢ Ø ⠿ᴨჾ՟ܓ㌱┗٩ṛჽᣑ⼈̹ᓹӨ⾠⃮ٕ⳽ቛƢ
㏄᪪ᯓܚ⯁ኅざ⿏⎸㦖 Ref: https://www.facebook.com/thehackernews/posts/1307041839309686
8IFOσ㣉ᎇҭᐆểٳኄ Ø ᩜዏᩜգ Ø ፒぜয়ቭᣩដḋ⨾ḑዏϸ Ø ̹ᓹ⩰ᄳ㍝⳽୷ᣩដዏ WHEN
)PX༢㣉ኄỉ㦖 Ø どʵټḑሟᇌ㋡ᚃơṕḑჹٕʵټḑሟᇌታ㡦Νਗ ❐㌉ृ㡦ዅどො㞾⼟⨭ஆ⪩תሟᇌƢ Ø რᄚፖׁ㡩1PSU4DBOOJOH Ø ሟᇌᬿஂᣩដ㡩7VMOFSBCJMJUZ&YQMPJU Ø ̍ஆ⪩תሟᇌ㡩்ဪEBZơ⽦⺔ݞ㐘℻
Ø ㊧ቱፖׁሟᇌ㡩%P4ơ%%P4 HOW
)PXNVDI㐺ጫỉⶳ↹ᯄ Ø ቃጉኯ㡦ሟᇌ٤⬋ᴟʬ㞾⳽ᢋ㡦ᮄᇌ̹ᓹḑ ⓞො㞾㡦ⓗผ՚㏰።ḑ⳽ቛƢ͡ᵑ㊣℻≲⼷ ՚ʬஂ⁰൷㡦ሟᇌ฿㏪⬋☋Ⳳᔀ㕸፭⼷ሟ ᇌƢ 投入資源 攻擊者 企業(防禦者) HOW
MUCH
)PXNVDI㐺ጫჶ֜ٙ Ø ͡☬ሟᇌ།⼷ḑṕḑ㡦Ⲃ̝㐡༦ှӧḑዏ ㉘⼟⨭ᣑ⼈㡢"15ሟᇌ㡣㡦ዏ㉘٩ⓗ㉅⼷ቆϫፑ╾ ቆൖ㡦ը̹ᓹ㌢̩㊣㡦ࡻᩜ⋞ႊ㉅˕∭֣ᝥ༦Ƣ 投入時間、注意⼒力力 攻擊者 企業(防禦者) HOW MUCH
Ϯᖱ㒘ಇⶳయΦϨỉᜇ⁁စฯ
㒘ಇⶳయΦϨỉể᷒ Ø ϫ⳽ਗͮធḑ㡮 Ø ข㏡ↂፒඩ㡮 Ø ท⎊⮦ਗͮ⢦᱙㡮
ҠⶳУᡊỉ Ø ᐦᇘϫ⳽ធḑᝄΙՓஂ⳽୷ḑݞ㐘Ժࢢܛϫↀ㡦 ٩ⓗዅ≕⊶ᣩដơྭᴟ⁰ᣩដơ༃༦⁰ӧβơ ዅܓ༃༦ធ⳽ቛƢՁ̩ʳʱϫ₇㐦ΙՓஂ㡩 Ø ቆぞ Ø ₇㐦 Ø
ዏ㉘
຺㔂∺ॊᐊઑ Ø ዅʬϫḑϫ⳽ធ㡦⽞ዅʬϫ㌉࢙ḑϫ⳽ធ㡮 Ø ⽈՚ӧβḑ͙ፖࠨơ⽈՚༲Ꮴḑ㌱┗㡦ዅڑ⽞ፎญ Өබ͗㡮ਗͮᙎ⨤ᢶ᧲㡮 Ø 㕴ơݘⱳơⳛׁᅆ১ơถݞ㐘
⑂ⱜУ⥝ᴑ Ø ᗏ⭢⎛১㡦ʵⅳዅᖤ՟ʲḑᣩដơ⬕ↂḑʵơာ ⨱ḑ⎛㋐ơ̍ḑ১⯉㡦⽙ӘӻᘟḋᴚƢ Ø ☬⽈՚ӧβḑ͙ፖࠨ㡦㋥㌡㊧⊠㡦⽙Әሟᇌឪ⃪ Ө⾠㡦˂ʺϑөⱍᇘơたᠳٖↂ㡦ፌท⮦͙ ፖࠨቂぜයƢ
⯊ᓪђ
⹖↫◘ᐥኄ$SPTT4JUF4DSJQUJOH Ø ࡻ㡩㉐ḋ፫⼱ᦝ⺛ӧВ㡦ṛჽٍቆሡӧ⋣㏣ˆ㡦Βሟᇌ٩̵༦ᄝӧ )5.-ӏ≸㡦ΝਗJGSBNFơTDSJQU℻ Ø ሟᇌ⊛Ꮏ㡩 Ø ⃮ٕʬ▪ᴟơⅳ᱙ന⢬ Ø ぜቭௐځ༃༦⋣
Ø ⃪ሞ⋣⬵ᕼ Ø ข㏡㡩Βᴟന⢬⩰⃮ٕ㡢ኴ⽈⮍㔔㌉࢙ᴟΙṇٕϫ⳽˂⼟ʬᙑᴟ㡦Ө ഀፒᐲΝ㡣
↦܋⥣ᡢℨ Ḋӧ ٕผ$PPLJF ⋍ᴨ944ᣩដ $PPLJF⽈⃮ ٕผ$PPLJF .BMJDJPVT4FSWFS "UUBDLFS 7VMOFSBCMF4FSWFS 7JDUJN
ჾ՟ന⢬
ⶳⰖᡊᦡ*OGPSNBUJPO-FBLBHF Ø ࡻ㡩⋞⼮̍ܓ㉐ḋ⭶ஂㅟ⯉㡦ௐ╿≕⊶ᖤሪ⳽⭠ធᣩት⋣ʲ Ø ബ⬔᭱ᝄ Ø ػᾋធᣩന⢬ஞᾋơធᣩท٪ṕㄻ Ø ㅟ⯉⭠ິធᣩ⋣⁰ⶦนơធᣩ⾠Ձػᾋ Ø
ធᣩ͵ᓹ≕⊶ơ'SBNFXPSL㐦ِࣘᬝ፭ Ø ё̶ᗃᐲធᣩ⋣Ꮜᕀơػᾋ Ø ข㏡㡩ʵʬஂፒ⃯أ㐹㋵㡦͡⊛ٸӱ̝ො㞾ዏข㏡٩য়٩
42-*OKFDUJPO Web Server Database Attacker ెจሗӋ ڢ͍੬ݟ༔ ԴʘੂБܸ˿ ፩̈ഐ؈ ΫᏐ፩̈
ҸᏘ٫ెจੂБն˿ ʫ4FSWFS ెจੂБܸ˿ ܸ˿ΫᏐ ʫၣ
⯊ᓪђ IUUQEFWDPSFQBZQIQ JUFNBCDBNPVOU
⯊ᓪђ $POU Ø ፒˊだឪḑ̹ᓹ㡦⾱฿㏪⬋ᝥ༦ᙐ㐦ݞ㐘 Ø ḋᴚػࡻ㡩ṛჽだឪݘᄛΩḑↂ፭ᆼ⁰㡦˥፫㕇ⱍ̂ ኴ⊛Ꮏዅڑᙏᾉ Ø ข㏡㡩 Ø
ᩜ̍ന㡩য়ぞだㅓᅆ১ Ø ፒ̍ന㡩֥ന֣̍Ⳛᇓ
⯊ᓪђ $POU Ø ⭄ᜐታᐲ㡢⬙だឪݘᄛΩ"1*ፒʵټ㡣㡩 㕇ⱍだឪݘࡹѡḑፌ⊑̂ኴだ㐙ዅڑᙏᾉ Βᴟ4FSWFSUP4FSWFSḑታѡ⼿ٍቆ ࢢḋḑٍቆˆ֥ӧʬ⊓㕇ⱍᾋ㡦ⲂだឪݘᗏᏱჽማ՚
ḑٍቆዅڑᙏᾉ
㑒ࠎ⎛↫ㄖᡢᡢℨ ៖Ⳳ だឪݘ ㌱ݘ⋣ ᬳ ௐځ╾だឪݘ ̟ᘲ
⼐ἃ̟ᘲ
㑒ࠎ⎛↫ㄖᡢᡢℨ ៖Ⳳ だឪݘ ㌱ݘ⋣ ᬳ ௐځ╾だឪݘ ̟ᘲ
⼐ἃ̟ᘲ чᷗᩣ⯨ࣞἓᆵಈܷ
㑒ࠎ⎛↫ㄖᡢᡢℨ ៖Ⳳ だឪݘ ㌱ݘ⋣ ᬳ ௐځ╾だឪݘ ↢ዖϔᛪㄖ㔺
⿆Άϔᛪఱ႔
⯊ᓪђₘ∺
▟㔃கӼᴫƭ▟㑊㌆Ӽ
5BLFBXBZ Ø ⳽୷ഀ⋍᨟ข㏡̹ᓹݘⱳˏࡻ˘ʬ Ø ˯⭄ቃ̍㡦ဆⓗ՟ፖቃ̍㡩8) Ø ዏዏፄቭ⳽୷⬵㡦ἃἃฉḍʵ Ø ՂכΫⴟ⳽୷⭶ё㡦㓲ஆዅ̍㡦ʵዅ㌱┗ Ø
ʵ⬋Ṟϕ̵ͮΒᴟḑ⺛ӧơ⺛Ժ㡩 ƫ'JMUFS*OQVU&TDBQF0VUQVUƬ
ࠔ㔹♆ⰘⲢ
͡ౌಉ㑒ࠎУᐊዟ㏄৾㘓ా֜ѧ㦖 Ø ṍ㞾㐹㋵ࢢ Ø යᕀ㊣ᄁቶ Ø ᵐࢩᵀୖ⭫ㄻ
ἅ㣟㕚㐖Ⴔक़ Ø ṍ㞾ٵ₇⳽ቛḑୖሡͦ⏀ơୖٕᘐ㊶ơϑⱮᄁቶ Ø Νਗ㡩ϫ⳽ơ̂ኴ⳽ቛơだ⦎⳽ቛơന⢬ஞᾋơػ ᾋơ֥ஞだ㈴ Ø ㌱ݘ⋣ḑ⳽ቛୖٕჾ՟฿㏪ፄᐩჾⅳ㡦฿㏪㊶ ՟ⓗୖٕϫ⳽ḑܓቆぞ㡦˂ࢢᚖᘟୖٕவ⨭⭫ㄻ ̩ΩᐥᗏᏱƢ
ᗸ㏄⃥ᆹጮ Ø ṍ㞾ԺΙḑ㐹㋵⢦⼟⨭ʵټ㐦ࣘḑ㊣ᄁቶ㡦Ν ਗḌٽޢ㊣᧲ᬛ㊧ᇍơ⹖㕴㊣᧲ᬛơ֥ஞ℻℻Ƣ Ø ന⢬ḑϑⱮʬถჹᴟ'" 5XP'BDUPS "VUIFOUJDBUJPO 㡦ਗὔ㕴⹖㕴051Ƣ
Ḉय़᷸ఎⰡ㈣ Ø ≕⊶ِ⋣ⶦ⭫ㄻዅ⯚Ᏹ⳽୷˱̳ḑራێ⍮≺㡦☬ᜥ ፒ̵ͮ⭫ㄻ㡦˥ᜥፒ⯚Ᏹḑ٩ⓗƢ Ø ሟᇌӧβท฿ஂ߲⮜㋃⹈⭫ㄻ㡦ࡻᙐ฿㏪ᵐ ࢩᵀୖ⭫ㄻ㡦͵᨟፫Ιृᐲِ⯚ᏱΒᴟƢ
⇠ͦጫࠎɗલϨࠔ㔹 Ø ̹ᓹ⋍ബΒᴟℨʱታ৺̳ය⏀ፖׁ̩ↀṤ㉐ḋዏ㉘㡦͡ة⋍ബ ᵊℨʱታ৺̳ḋḑ⳽୷ⱬ㐘㡩 Ø ⮦৺̳ዅڑ⋍ബ⽈ٖሟᇌ㡮 Ø ⮦৺̳ዅڑ⽈ٖሟᇌทዅڑḒⓗ⻗⼕ずԺ⳽୷ፄቭ㡮 Ø ⮦৺̳ዅڑፒொ⑽ḑ4FDVSJUZ5FBN㡮
Ø ⮦৺̳ዅڑፒჽٖⰿḑ⳽୷ᡄ⮜㡮 Ø ⮦৺̳ዅڑፒ⋞Ɱඦݘ٩Ω⯾⮚㡮
┮⍡ጫ ☬ϰḑፖׁፒ̵ͮḑᵣݞ㡦 ᙍ⻜㋳ዏ▎ϰ⑶⍰Ƣ IUUQEFWDPSF DPOUBDU!EFWDPSF