CYBERSEC 2025最新大會議程快報
讓您的專業登上雲端舞台!
號召DevOps專家立即投稿
技術問答
技術文章
iT 徵才
Tag
聊天室
2024 鐵人賽
登入/註冊
問答
文章
Tag
邦友
鐵人賽
搜尋
第 11 屆 iThome 鐵人賽
DAY
29
0
Security
認證信息系統安全專業人員(CISSP)學習筆記
系列 第
29
篇
應用程式安全(Application Security)
11th鐵人賽
HO-HSUN
2019-10-15 08:54:09
1373 瀏覽
分享至
定義
撥號攻擊:自動掃描電話號碼列表。
滲透測試方法:
規劃
勘查(Reconnaissance)
掃描
漏洞評估
滲透攻擊(Exploitation)
報告
單元測試:函式,程序(Procedures)或物件。
安裝測試:查看安裝程序是否可正常運行。
整合測試:多個組件在一起。確保組件同時運行正常。
回歸測試:測試更新,修改或補丁。
驗收測試:確保符合使用者需求。
模糊測試:黑箱測試及猴子測試(Monkey Testing),以查看其是否崩潰。
動態分析:提供程序輸入測試所有可能發生的錯誤,弱點,漏洞等。
靜態分析:分析原始碼錯誤,弱點,漏洞,模式。
風險:威脅(Threat) X 漏洞(Vulnerability)
設計和驗證評估,測試和審核策略
滲透測試和主動評估,建立內容後,查找弱點或濫用案例。
內部:通常通過檢查日誌,使用漏洞掃描程序掃描內部網路,檢查攝像機覆蓋範圍。
外部:分析防火牆規則,IDS/IPS,端點保護,遮罩(gates)等。
第三方:購買第三方的安全測試服務。
進行安全控制測試
漏洞評估:
描述系統中的大量缺陷。
滲透測試:
將弱點鏈接在一起,模擬攻擊者行為。
日誌查看:
查看日誌或設置日誌分析工具及過濾器(例如:Splunk)
綜合交易:
建立腳本案例以模擬正常活動,以捕抓並模擬流量。
程式碼審查和測試:
靜態分析和動態分析。
濫用案例測試:
可以編寫安全測試來確保服務器導向,或者使用的所有密碼雜湊值測試。
測試覆蓋率分析:
查看要測試或覆蓋的動態分析程式碼數量。
介面測試:
確保用戶看不到錯誤消息或任何不必要的內容。
安全流程資料收集(例如技術和資料管理)
帳戶管理:
監控帳戶,檢查權限並自動更改密碼。
管理層的審核和批准:
在採取行動之前,應始終將弱點和風險交給管理層。
確定最好的計劃,以及他們要接受的風險。
關鍵績效和風險指標:
流程管理KPI。
備份驗證數據:
用於備份和驗證的資訊備份。
培訓和意識:
每個人都應該經常進行警戒性培訓,並追蹤他們的培訓狀態。
災難恢復(DR)和業務連續性(BC):
制定計劃,擬定災難發生時該怎麼辦。
是否需要熱備援,冷備援。
分析測試報告
政策和程序
安全人員培訓
變更管理(Change Management)
架構評審
漏洞報告
安全性的指標報告
資訊管理和修補的指標報告
滲透測試(Penetration Testing)報告
留言
追蹤
檢舉
上一篇
應用程式安全(Application Security)
下一篇
法律、規章、遵循性與調查(Legal, Regulations, Compliance and Investigations)
系列文
認證信息系統安全專業人員(CISSP)學習筆記
共
30
篇
目錄
RSS系列文
訂閱系列文
13
人訂閱
26
實體及環境安全(Physical (Environmental) Security )
27
應用程式安全(Application Security)
28
應用程式安全(Application Security)
29
應用程式安全(Application Security)
30
法律、規章、遵循性與調查(Legal, Regulations, Compliance and Investigations)
完整目錄
直播研討會
尚未有邦友留言
立即登入留言
iThome鐵人賽
參賽組數
1064
組
團體組數
40
組
累計文章數
22210
篇
完賽人數
600
人
看影片追技術
看更多
圖控式AI自動化應用
DevOpsDays
|
26 分
從0開始打造企業級元件及低代碼平台
Hello World Dev Conference
|
43 分
混合雲網路流量分析與優化找出效能瓶頸與潛在資安風險
IT EXPLAINED
|
39 分
北榮用 AutoML 加速開發洗腎風險預測模型,下一步要取 TFDA 認證推廣全臺
Cloud Summit 臺灣雲端大會
|
25 分
Machine Learning DDoS 攻擊緩解
臺灣資安大會
|
31 分
F5 NGINX Modernizes App 系列三:NGINX 啟動雲原生多雲 Kubernetes 應用
IT EXPLAINED
|
43 分
容器監控維運
Kubernetes Summit
|
27 分
有高層支持推動敏捷,難道事情就會順又少嗎?
MWC
|
42 分
Troubleshooting and Workaround in Kubernetes
Kubernetes Summit
|
33 分
從數據了解全球使用者體驗,展望未來雲趨勢
Cloud Summit 臺灣雲端大會
|
29 分
熱門tag
看更多
15th鐵人賽
16th鐵人賽
13th鐵人賽
14th鐵人賽
12th鐵人賽
11th鐵人賽
鐵人賽
2019鐵人賽
javascript
2018鐵人賽
python
2017鐵人賽
windows
php
c#
windows server
linux
css
react
vue.js
熱門問題
請問有大大使用過Synology NAS加入AD網域控管的經驗嗎?
網頁伺服器突然斷網
請問 DeepSeek R1 有實際生產環境用過的大神嗎? (不要廣告)
mail server 主機推薦
norton 出現"這個網路已遭入侵" 警告頁面(已附上截圖, 請幫我看一下)
Outlook 2016 收不到外來信 已解決
在AD裡有辦法設定軟體白名單嗎?
Win11 更新之後 鍵盤沒有反應
请问content delivery network怎么翻译?
無法訪問Docker container
CYBERSEC YouTube 正式上線,回顧精選議程,探究資安議題!
「加入 Team Taiwan」 2025 臺灣雲端大會徵稿啟動!
Windows 10支援倒數,聯繫微軟夥伴諮詢
DevOps專家看過來!投稿開放至2/27,立即行動分享技術實力!
CYBERSEC 2025專家傳授AI 、供應鏈、金融安全、零信任等資安關鍵應對策略
GenAI 加速企業創新落地,更需要全新 IT 戰略
熱門回答
mail server 主機推薦
SQL 如何將同欄位數據依照條件拆分成不同欄的資料
windows11的複製功能出現問題
Outlook 2016 收不到外來信 已解決
请问content delivery network怎么翻译?
熱門文章
如何在本機部署DeepSeek及更多AI模型體驗
請問大家有爬蟲Shopee的經驗嗎?
「記憶體與基本儲存電路:Latch & Flip Flop」
計算訊號 - 快取錯誤 and Equal 函數不追蹤訊號
KMP 演算法筆記
IT邦幫忙
×
標記使用者
輸入對方的帳號或暱稱
Loading
找不到結果。
標記
{{ result.label }}
{{ result.account }}