Vnisa - Hội thảo "Web security" - chủ đề được nhiều doanh nghiệp quan tâm

Hội thảo "Web security" - chủ đề được nhiều doanh nghiệp quan tâm

26/06/2010

Khách tham dự có dịp cập nhật các kiến thức bảo mật web, các kiểu tấn công thực dụng và các quy trình kiểm tra bảo mật ứng dụng web từ các diễn giả là các chuyên gia làm công tác bảo mật và đào tạo về bảo mật.

Ông Phạm Thanh Hải - thành viên của Nhóm OWASP Việt Nam trình bày 10 lỗi an ninh web phổ biến nhất năm 2010 (OWASP Top 10 - 2010) một cách chi tiết giúp người tham dự hiểu rõ hơn về bản chất của từng lỗi để từ đó có kiểm soát được lỗi bảo mật của các ứng dụng web một cách tốt hơn. 10 lỗi an ninh web 2010 được OWASP công bố và xếp theo thứ tự ưu tiên là:

A1 –Injection
A2 –Cross-Site Scripting (XSS)
A3 –Broken Authentication and Session Management
A4 –Insecure Direct Object References
A5 –Cross-Site Request Forgery (CSRF)
A6 –Security Misconfiguration
A7 –Insecure Cryptographic Storage
A8 -Failure to Restrict URL Access
A9 -Insufficient Transport Layer Protection
A10 –UnvalidatedRedirects and Forwards

Ông Phạm Thanh Hải đang trình bày tại hội thảo

Ông Dương Ngọc Thái - Trưởng phòng An ninh Ngân hàng Đông Á với chủ đề "Tấn công mã thực dụng" đã trình diễn cho người xem kỹ thuật giải mã các các văn bản đã được mã hóa (ciphertext) mà không cần đến chuỗi ký tự khóa (key). Kỹ thuật này được sử dụng để bẻ khóa các các ký tự phức tạp (CAPTCHA) và giải mã các trạng thái JSF (Java Server Faces view state). Như vậy các ứng dụng web có dùng phương pháp bảo vệ CAPTCHA và JSF view state đã không còn an toàn nữa nếu hacker sử dụng phương pháp tấn công này.

Ông Dương Ngọc Thái

Ông Phạm Kiên Cường

Ngoài ra, để một ứng dụng web được phát triển và triển khai an toàn Ông Phạm Kiên Cường - Giám đốc dự án trung tâm an ninh mạng Athena với chủ đề "Quy trình kiểm tra lỗi trong ứng dụng web" mang đến cho người tham dự các kiến thức liên quan đến chuẩn bảo mật, các quy trình và phương pháp kiểm tra bảo mật một ứng dụng web. Trong đó nhấn mạnh đến phương pháp kiếm tra Penetration Testing gồm 3 mức kiểm tra Black-box, Gray-box và White-box.

Nhìn chung với hội thảo Web security lần này VNISA Phía Nam đã thành công trong việc mang đến cho cộng đồng quan tâm đến bảo mật ứng dụng web các kiên thức và kỹ năng chuyên môn chuyên sâu và chất lượng. Gần 200 khách đã đến tham dự hội thảo và đánh giá cao về chất lượng chuyên môn của buổi hội thảo.

Vui lòng download tài liệu liên quan đến hội thảo tại đây.

Hồng Tài