首先,我對於 OWASP India 分會在舉辦第一屆OWASP印度年會的努力高度肯定,這次的會議為期兩天,事實上已經跟 OWASP 美國年會的長度差不多 (2~3天), Microsoft 、 HP 以及 (ISC)2 等業者也都有出席,今年我們是臨時被主辦單位邀請去支援,我也是臨時被通知要去德里,所以來不及排上 Talk也沒準備,所以沒有排定任何演講,不過分會主席與會議主席看過我們的 demo 後都說明年一定要我們去講。
說到印度,不知道從幾年前開始 "BRIC" 這新名詞開始成為媒體與大眾的新寵,但去過德里的人就知道,從你下飛機過海關開始,就會感受到它是一個一邊開發先進軟體,但另一邊趕不上基礎建設的國家,牛、各種交通工具與行人都擠在路上的老城市,雖然我們有印度籍同事,但我很肯定所到之處是一個特殊的國家,果然沒錯,我在機場過海關被收了"服務費",問過其他同事,也有類似經驗,甚麼是服務費 ? 白話中文叫做:索賄,但那的確是一個小插曲,出了機場,我在會場的時間都工作的相當愉快。
OWASP 總部為了支援第一次舉辦的印度年會,原先安排了頭銜為 Chief OWASP Evangelist 的 Diniz Cruz 助陣,我也是想跟 Diniz 聊聊,07年在矽谷的年會碰過一次之後就沒再見過,會議一開始,我在下面東張西望,沒看到人,我想大概是只排了 session,沒有讓他講 keynote,繼續等下去,直到OWASP的另一位成員 Jason Li 上台,拿出了NB開了video player,我就知道 Diniz 不會來了 ,他在影片中跟大家道歉說因為簽證原因,不能到印度,很遺憾,所以請 Jason 幫忙代打他的場次:
不過老實說,個人覺得至少應該用即時視訊才對。
Jason Li是 AntiSamy 專案的主持人之一,在這次的會議相當的活躍,也因為Diniz無法到場,他一個人罩4場 talk:
1. About OWASP Foundation– The story so far and beyond.
2. Tour of OWASP projects & The Moral Ecology of OWASP
3. OWASP AntiSamy Project
4. Web 2.0 Security
雖然內容我在去年的 OWASP 美國年會都聽過了,我還是有去捧場,其中比較值得注意的是 ESAPI (Enterprise 跟 AntiSamy專案的發展,基本上兩個專案都是 Input Filter 相關的專案。我還記得 07 年時 OWASP 主席 Jeff Williams 很得意的發表 ESAPI 時 我也在現場。
ESAPI 本身其實就是一個 Java framework,讓 Java developer有一套方法可以做輸入過濾,它針對 OWASP Top10 2007 每一個問題都有對應的解決方法,理論上可以讓開發人員直接套用在專案內,防堵Top10攻擊。 而 AntiSamy 則是針對使用者的輸入做檢查,檢查的方式為比對輸入與 xml 規則,以避免掉類似05年的 SamyWorm 繞過Myspace Regular Expression Input Filter的情況,這兩個專案稍後我有時間的話都會再介紹。
而來自 (ISC)2 的 Mano Paul 講了目前安全的趨勢,內容當然不會比Syscan Taiwan 來得精采,但台風相當風趣,值回票價 ,他一開場就說他們全家為了OWASP India特地從美國飛回來,今天他老婆跟小孩都坐在最後面,而他的小孩才只有2歲,這麼小就參加 Security 年會,搞不好是全世界最年輕的資安人員,搞不好可以申請金氏世界紀錄 ,其實,那時候我的腦海突然閃了幾個面孔。
在會議期間,我們穿著背後繡著 "Is your CodeSeucre?" 的橘色工作服在演講與攤位中來回穿梭,且我又是唯二的老中之一,相當醒目,我想要低調都難:
我們的攤位在會場入口,很多人來問技術跟產品相關的問題,其中一位詢問者的website被我們用 HackAlert 當場掃到惡意連結,當場就抓給他看,在技術與產品的回答應該都讓來詢問的人覺得滿意,在會場中我們算是人氣最高的攤位:
OWASP AppSec 年會第一次來到印度,卻辦得有聲有色,連背包衣服都有做:
會議為期一天,收費一個人125元美金,各位可以看一下 OWASP 各地的年會,應該只有在台北辦的 OWASP 亞洲年會是不收費的。想一想,似乎我們與 COSEINC 共同主辦的 SySCAN 前瞻資安技術年會,也是全世界收費最低的高技術水平資安年會。
作者 Walter Tsai 為阿碼科技 CTO
繼續閱讀全文...