iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 9
1
Security

認證信息系統安全專業人員(CISSP)學習筆記系列 第 9

安全架構與設計(Security Architecture and Design)

評估和緩解網頁系統中的漏洞

  • 在網絡瀏覽器中運行的代碼類型
    • ActiveX:
      嵌入在Web瀏覽器中,在本地運行的可執行文件。
      雖多會搭配憑證,但安全性仍因執行權限難以控管而需注意。
    • Applets:
      嵌入在Web瀏覽器中,在本地運行的可執行文件。
    • DOM / CSS:
      開發人員需注意,可能造成程式碼注入漏洞。
    • Java Script:
      嵌入網頁中的程式碼片斷,可使您的瀏覽器執行某些操作。
  • 修復方法
    • OWASP:
      定期查看Web應用程式,是否容易受到攻擊。
      使用OWASP ZAP進行掃描。
    • 更新第三方元件:
      使用安全的程式函式庫。
      使用靜態分析工具掃秒。
  • 弱點類型
    • 網頁伺服器軟體弱點
    • 寫死(Hard Code)的憑證或密碼
    • 不當的權限和重新導向(redirects)
    • 身份驗證錯誤(badauthentication)
    • 不當的會話管理
    • 不當加密演算法
    • SQL injection
    • 跨網站指令碼(XSS)
    • 跨網站偽造請求
    • 本地/遠程文件引用
    • API資訊洩漏

評估和緩解移動系統中的漏洞

行動裝置是一個實際的問題。
應使用行動裝置管理員(mobile device manager)管理並訂定規範;可以遠程監控資料傳輸,並進行資料加密。

評估和緩解嵌入式(embedded )設備中的漏洞

應該可以追蹤設備的網路連線軌跡。
查看使用的產品是否具有通用漏洞披露(CVE)或其他常見弱點與漏洞。


上一篇
安全架構與設計(Security Architecture and Design)
下一篇
安全架構與設計(Security Architecture and Design)
系列文
認證信息系統安全專業人員(CISSP)學習筆記30

尚未有邦友留言

立即登入留言