Upgrade to Pro — share decks privately, control downloads, hide ads and more …

2016.11.30 電商業者的資安困境

DEVCORE
November 30, 2016

2016.11.30 電商業者的資安困境

2016.11.30 TiEA 資安座談會

DEVCORE

November 30, 2016
Tweet

More Decks by DEVCORE

Other Decks in Business

Transcript

  1. 㣕⚔ᷔᖱỉᮑ؍ᘳ๿ Ø ϫ̍⳽ቛ Ø ㌱୏⾬̳ϕⅹ Ø ϕᴟؙ⢬ Ø ̂ኴ⳽ቛ Ø

    ന⢬ஞᾋ Ø ⳽ቛൻ Ø ឪぞ Ø ሟᇌ⁰෇ Ø ໬⳽
  2. 㑒ࠎ⎛↫෤⯊ỉऺ਴㦑 Ø ╹⨭㉐ḋ⋣⃳ୖࢢᣩដ Ø ੒৖㉐ḋ⋣⃳ୖࢢᣩដ Ø Ө⾠ܓ೸㌱┗⽈ӧβ৖ធϫ⳽ Ø ⿸ٸඦݘϫ⳽৖ធ Ø

    ሟᇌ␹ᴟഀ৖ធന⢬ஞᾋḊӧ㌱ݘ⋣⃳ Ø ⳮஔࢢ⮍㔔㌉࢙ḑⴑॆ̂ኴ ☱⫤㍱ể⎛↫ఎक़ᦡᡂ ଊ઎㍱ể⎛↫ఎक़ᦡᡂ 網站伺服器
  3. 㑒ࠎ⎛↫෤⯊ỉऺ਴㦑 Ø ╹⨭㉐ḋ⋣⃳ୖࢢᣩដ Ø ੒৖㉐ḋ⋣⃳ୖࢢᣩដ Ø Ө⾠ܓ೸㌱┗⽈ӧβ৖ធϫ⳽ Ø ⿸ٸඦݘϫ⳽৖ធ Ø

    ሟᇌ␹ᴟഀ৖ធന⢬ஞᾋḊӧ㌱ݘ⋣⃳ Ø ⳮஔࢢ⮍㔔㌉࢙ḑⴑॆ̂ኴ ֝ざ߉ධ㑒•⿾֜ѧ઎ᡊҠⶳ 個⼈人電腦
  4. 㑒ࠎ⎛↫෤⯊ỉऺ਴㦑 Ø ╹⨭㉐ḋ⋣⃳ୖࢢᣩដ Ø ੒৖㉐ḋ⋣⃳ୖࢢᣩដ Ø Ө⾠ܓ೸㌱┗⽈ӧβ৖ធϫ⳽ Ø ⿸ٸඦݘϫ⳽৖ធ Ø

    ሟᇌ␹ᴟഀ৖ធന⢬ஞᾋḊӧ㌱ݘ⋣⃳ Ø ⳮஔࢢ⮍㔔㌉࢙ḑⴑॆ̂ኴ ギܮ๞ࠎҠⶳ઎ᡊ 配合廠商 伺服器或電腦
  5. 㑒ࠎ⎛↫෤⯊ỉऺ਴㦑 Ø ╹⨭㉐ḋ⋣⃳ୖࢢᣩដ Ø ੒৖㉐ḋ⋣⃳ୖࢢᣩដ Ø Ө⾠ܓ೸㌱┗⽈ӧβ৖ធϫ⳽ Ø ⿸ٸඦݘϫ⳽৖ធ Ø

    ሟᇌ␹ᴟഀ৖ធന⢬ஞᾋḊӧ㌱ݘ⋣⃳ Ø ⳮஔࢢ⮍㔔㌉࢙ḑⴑॆ̂ኴ ዗ኄ⓱ᷗම઎ᡊ෠⥣ౖ⁃Ể֜㑒ࠎ⎛↫ ⶤౌक़ⱃ㘵㐪ॏỉ⷇৽η፬ 買家資安意識
  6. Ϯᖱ෤⯊య֞㕚㐖㦑ዾㄔ 7% 2% 2% 3% 3% 4% 6% 7% 9%

    9% 49% 跨站腳本攻擊 資料庫注入攻擊 功能缺少權限控管 指令注入攻擊 資訊洩漏 跨站冒名請求 不安全的直接存取物件 未驗證的轉址 錯誤訊息洩漏 商業邏輯漏洞洞 其他
  7. Ϯᖱ෤⯊య֞㕚㐖㦑Ҡⶳ἖㎬ 7% 2% 2% 3% 3% 4% 6% 7% 9%

    9% 49% 跨站腳本攻擊 資料庫注入攻擊 功能缺少權限控管 指令注入攻擊 資訊洩漏 跨站冒名請求 不安全的直接存取物件 未驗證的轉址 錯誤訊息洩漏 商業邏輯漏洞洞 其他 ᚪΩ㖉⽈㡯
  8. 55

  9. 56

  10. 57

  11. 58

  12. ౖ⁃య֞۱؞ Ø ஞᾋ㉅൷ Ø ㉅൷ณぜ⬋㡦යⱬϫ୕̩ʲ㡦˂㍳٤ⓗϫ୕ӏ Ø ஞᾋ⪯㌜൷ Ø ቆ୕ơ☶ቒয়௑஺ơ₶Ḍơℤ⢬ Ø

    ʵ٩▎ന⢬ぜ⪯ơʵ٩ᴟബᴟ୕ˊ Ø ஞᾋϑⱮ Ø ʵ٩৖ឪӱ̝Βᴟ␹ơʵผӯᴟ Ø ⽙Әኯቒѡ⼿ơʵ٩Ӭ㉐ෞⳳ
  13. ⶳయΦϨỉ8) Ø 8IP㡩ሟᇌ␹ዅ⯐㡮 Ø 8IZ㡩᨟̎㞨⬋ሟᇌ㡮 Ø 8IBU㡩ሟᇌ␹⬋ḑዅ̎㞨㡮 Ø 8IPN㡩᨟̎㞨ዅ࿝⩰ሟᇌ㡮 Ø

    8IFSF㡩มܛ⪖㉐੉ሟᇌ㡮 Ø 8IFO㡩̎㞨ዏϸḋֽሟᇌ㡮 Ø )PX㡩๪㞨ሟᇌ㡮 Ø )PX.VDI㡩ሟ㊣㌴⬋৙௓⳽ᢋ㡮
  14. 8IBU዗ኄ⓱⯁ỉ፽σ㣉㦖 Ø ٩̩Ⳣⴑḑ⳽ቛ Ø ϫ⳽ Ø だ⦎⳽ቛ Ø ന⢬ஞᾋ Ø

    ̹ᓹӨ⾠ᖤሪ⳽ቛ Ø ٩̩՗ᴟḑ⳽ᢋ Ø ͵᨟ⶪᎩ Ø ͵᨟ƫ⒈ᖤƬ Ø ͵᨟ᙽ௵⋣ⶦ WHAT