Categories
Uncategorized

ข้อคิดจากการอบรม security กับ ETDA

  1. ใครๆ ก็ใช้ DOCKER กันแล้ว
    1. ติดตั้งไม่ยาก โหลดเอา
    2. Linux ใช้ได้เลย
    3. Windows 10 Pro ใช้ได้เลย
    4. Mac ใช้ได้เลย
    5. windows 7 ยุ่งยากหน่อย ต้องใช้ docker-toolbox
  2. การทำ software แบบ line production ใช้ Jenkins กันแล้ว
    1. ใช้ GIT
    2. ใช้ SonarQube ตรวจสอบข้อที่อาจผิดพลาด
    3. Programmer เข้าถึงได้แค่ส่วนของ Dev Server
    4. แบ่ง 3 Servers คือ Dev, UAT, Production
  3. ผู้เกี่ยวข้อง 3 คนใน การ Dev คือ Programmer, Audit, Security
  4. ควร Secure ตั้งแต่การออกแบบ
  5. Dev ไม่มีวันรู้เรื่อง Secure ได้ครบทุกข้อ
  6. ควรปิด Version ของทุกสิ่ง
  7. ห้ามเชื่อ User Input ต้อง Validate ทุกๆ Input แม้จะเกิดจาก Program Input
  8. UI ต้องเป็นแค่ UI มีไว้อำนวยความสะดวก ห้ามมี Program Logic
  9. ส่งข้อมูลให้ User เท่าที่เขาควรรู้ เท่านั้น
  10. ต้องเข้ารหัสที่ฐานข้อมูล เสมอ
  11. ต้องเข้ารหัสในการส่งข้อมูล เสมอ
  12. Key ที่ใช้ในการแสดงผล UI / URL ไม่ควรตรงกับในฐานข้อมูล ควรมี Map Table แยกต่างห่าง
  13. ส่งข้อมูลด้วย Method GET เฉพาะเรื่องจำเป็นเท่านั้น
  14. ใช้ Framework ในการพัฒนา จะง่ายกว่าในการปกป้อง Security
  15. Redis เหมาะมากในการ cache database
  16. Mongo DB เหมาะมากสำหรับ Big Data คือ แค่เก็บ เก็บไว้ก่อน เดี๋ยวมาเชื่อมโยง
  17. Angular เหมาะมากในการพัฒนา เป็น Framework ตัวหนึ่ง
  18. สายพัฒนาตอนนี้มี 2 ทางคือ Legacy และ Modern
  19. BurpSuite เป็นโปรแกรมช่วยเจาะ แบบครบเครื่อง
  20. WebGoat ช่วยเรียนรู้การเจาะ
  21. XML ก็มีช่องโหว่ ไม่ควรใช้ DTD บังคับใช้ XSD เถอะ
  22. ใน 10 ข้อของ OWASP จำเป็นต้องเข้าใจ
  23. รหัสแบบ Two Factor or More ย่อมดีกว่าเสมอ