評估和緩解網頁系統中的漏洞

• 在瀏覽器中運行的程式型態
  • ActiveX：
    嵌入在Web瀏覽器中，在本地運行的可執行文件。
    雖多會搭配憑證，但安全性仍因執行權限難以控管而需注意。
  • Applets：
    嵌入在Web瀏覽器中，在本地運行的可執行文件。
  • DOM / CSS：
    開發人員需注意，可能造成程式碼注入漏洞。
  • Java Script：
    嵌入網頁中的程式碼片斷，可使您的瀏覽器執行某些操作。
• 修復方法
  • OWASP：
    定期查看Web應用程式，是否容易受到攻擊。
    使用OWASP ZAP進行掃描。
  • 更新第三方元件：
    使用安全的程式函式庫。
    使用靜態分析工具掃秒。
• 弱點類型
  • 網頁伺服器軟體弱點
  • 寫死(Hard Code)的憑證或密碼
  • 不當的權限和重新導向(redirects)
  • 身份驗證錯誤(badauthentication)
  • 不當的會話管理
  • 不當加密演算法
  • SQL injection
  • 跨網站指令碼（XSS）
  • 跨網站偽造請求
  • 本地/遠程文件引用
  • API資訊洩漏

評估和緩解移動系統中的漏洞

行動裝置是一個實際的問題。
應使用行動裝置管理員(mobile device manager)管理並訂定規範；可以遠程監控資料傳輸，並進行資料加密。

評估和緩解嵌入式(embedded )設備中的漏洞

應該可以追蹤設備的網路連線軌跡。
查看使用的產品是否具有通用漏洞披露(CVE)或其他常見弱點與漏洞。