- ใครๆ ก็ใช้ DOCKER กันแล้ว
- ติดตั้งไม่ยาก โหลดเอา
- Linux ใช้ได้เลย
- Windows 10 Pro ใช้ได้เลย
- Mac ใช้ได้เลย
- windows 7 ยุ่งยากหน่อย ต้องใช้ docker-toolbox
- การทำ software แบบ line production ใช้ Jenkins กันแล้ว
- ใช้ GIT
- ใช้ SonarQube ตรวจสอบข้อที่อาจผิดพลาด
- Programmer เข้าถึงได้แค่ส่วนของ Dev Server
- แบ่ง 3 Servers คือ Dev, UAT, Production
- ผู้เกี่ยวข้อง 3 คนใน การ Dev คือ Programmer, Audit, Security
- ควร Secure ตั้งแต่การออกแบบ
- Dev ไม่มีวันรู้เรื่อง Secure ได้ครบทุกข้อ
- ควรปิด Version ของทุกสิ่ง
- ห้ามเชื่อ User Input ต้อง Validate ทุกๆ Input แม้จะเกิดจาก Program Input
- UI ต้องเป็นแค่ UI มีไว้อำนวยความสะดวก ห้ามมี Program Logic
- ส่งข้อมูลให้ User เท่าที่เขาควรรู้ เท่านั้น
- ต้องเข้ารหัสที่ฐานข้อมูล เสมอ
- ต้องเข้ารหัสในการส่งข้อมูล เสมอ
- Key ที่ใช้ในการแสดงผล UI / URL ไม่ควรตรงกับในฐานข้อมูล ควรมี Map Table แยกต่างห่าง
- ส่งข้อมูลด้วย Method GET เฉพาะเรื่องจำเป็นเท่านั้น
- ใช้ Framework ในการพัฒนา จะง่ายกว่าในการปกป้อง Security
- Redis เหมาะมากในการ cache database
- Mongo DB เหมาะมากสำหรับ Big Data คือ แค่เก็บ เก็บไว้ก่อน เดี๋ยวมาเชื่อมโยง
- Angular เหมาะมากในการพัฒนา เป็น Framework ตัวหนึ่ง
- สายพัฒนาตอนนี้มี 2 ทางคือ Legacy และ Modern
- BurpSuite เป็นโปรแกรมช่วยเจาะ แบบครบเครื่อง
- WebGoat ช่วยเรียนรู้การเจาะ
- XML ก็มีช่องโหว่ ไม่ควรใช้ DTD บังคับใช้ XSD เถอะ
- ใน 10 ข้อของ OWASP จำเป็นต้องเข้าใจ
- รหัสแบบ Two Factor or More ย่อมดีกว่าเสมอ
Categories