iT邦幫忙

2017 iT 邦幫忙鐵人賽
DAY 8
0
Security

資安x系統x絕對領域系列 第 10

[Day07]弱點掃描x弱點修補x經驗分享

接續上一篇[Day06]弱點掃描x概念x工具之後,你會發現弱點掃描也沒有什麼厲害噠,就只是用工具去掃描而已,還不簡單,連貓咪也會呀~
http://ithelp.ithome.com.tw/upload/images/20161213/20103647sLrSvMO17X.jpg

沒錯!其實弱點掃瞄的動作都讓會工具自動化完成!
但是你以為按下掃描就好了嗎 XDDDD
好啦,就嚇嚇你而已,其實就真的很簡單。

只是通常在客戶的環境底下,我們會先去看幾個重點:
(0) 建議在測試環境測試後,修補完再上正式環境再掃一次
(1) 取得「管理者」及「不同權限身份」做不同驗證
(2) 若有圖形化驗證,請調整指定帳號的驗證內容(不建議取消功能)
(3) 登入之後,將所有開發人員的便捷指令或執行程式停用
//哭哭有遇過客戶自行刪帳號、清空資料庫、Drop Table什麼都有~
(4) 因為是掃描,所以可能要將部份限制拿掉。
//像說停用登入或停止連線的設定之類的,不然工具會中止並且跳開不繼續
(5) 有時候硬體規則較差時,建議在非尖峰時段做,避免影響到正常運作
(6) 特別值得一提的是… 正式環境資料千萬要備份!要備份!要備份!!!

弱點掃描的重點就這樣了,修補方式相信工具報告都會給,所以就不寫了 =v=+
看最近幾天有沒有需要驗證或修補的方式,再來開專題寫~


上一篇
[Day04]原始碼檢測x弱點修補X驗證攻擊-File Upload
下一篇
[Day08]弱點掃描x弱點驗證x常見弱點
系列文
資安x系統x絕對領域47

2 則留言

0
Kathy Lai
iT邦新手 5 級 ‧ 2016-12-13 11:38:37

這貓咪收買我了(歪題)

虎虎 iT邦新手 3 級‧ 2016-12-13 11:39:48 檢舉

耶耶 我也是貓派的 XDDDD
只是想說沒有內容的話,放隻貓咪擠版面 XDDDD

並不會沒有內容阿~但是這個擠版面我喜歡:D

0
Sergeyau
iT邦研究生 3 級 ‧ 2016-12-13 22:48:51

雖然貓咪也會,但是貓咪沒辦法說服工程師補洞><|||

虎虎 iT邦新手 3 級‧ 2016-12-14 01:05:54 檢舉

哭哭,也是啦 XDDDD
但貓咪萌萌噠 =v=+
看在那麼可愛的份上我就努力點吧的概念(?)

Sergeyau iT邦研究生 3 級‧ 2016-12-15 21:50:15 檢舉

貓咪還要解釋弱點掃描的報告。因為遇過工程師看不懂,資安小兵當下哭哭~(乾脆你薪水那一份也給我,我來幫你補洞)

我要留言

立即登入留言