筆記《Hacksplaining》安全應用程式設計概念的教學網站。
說明
Hacksplaining,只要註冊之後即可以完全使用,目前總計有 27 個資安弱點,每一則弱點都有 Exercise、Prevention 以及 Quiz。
Exercise 就是一連串的對白動作,讓學習者明白資安弱點是如何被利用 (Exploit)。
Prevention 則是觀念性的說明,可以從那些面向去做防守。
Quiz 則是簡單的單選題,讓學習者確認最核心的知識有被牢記。
資安弱點課程
目前為止包含下列的 27 個弱點:
- sql injection
- cross-site scripting
- command execution
- clickjacking
- cross-site request forgery
- directory traversal
- reflected xss
- dom-based xss
- file upload vulnerabilities
- broken access control
- open redirects
- unencrypted communication
- user enumeration
- information leakage
- password mismanagement
- privilege escalation
- session fixation
- weak session ids
- xml bombs
- xml external entities
- denial of service attacks
- email spoofing
- malvertising
- lax security settings
- toxic dependencies
- logging and monitoring
- buffer overflows
此外也有依照 OWASP TOP 10 的方式去做排序:
價格
基本上就是佛心來的,個人用戶只要註冊就可以享用完整的教學內容。而如果有團隊學習需求,五人以下的團隊也不用費用,而團隊管理則是多了一個介面可以掌控團隊成員的學習進度,整體性的提升組織內的資安開發意識。
結論
與 OWASP Cheat Sheet Series相比,Hacksplaining 的特色在於篇幅較短且說明方式更為生動,OWASP Cheat Sheet Series 則是內容豐富完善,對於預防的方式有更全面的介紹。
後續行動
從 Hacksplaining 學習各項資安弱點,並回饋到在 ASP.NET MVC 環境下如何處理這些資安弱點。
修正 ASP.NET MVC 常見 Checkmarx 原碼檢測漏洞 (Fix ASP.NET MVC Common Vulnerability Scan by Checkmarx)
ASP.NET MVC 5 實作更安全的檔案下載功能 (ASP.NET MVC Safer Downloads Implements)