技術問答
技術文章
iT 徵才
Tag
聊天室
2023 鐵人賽
登入/註冊
問答
文章
Tag
邦友
鐵人賽
搜尋
第 11 屆 iThome 鐵人賽
DAY
29
0
Security
認證信息系統安全專業人員(CISSP)學習筆記
系列 第
29
篇
應用程式安全(Application Security)
11th鐵人賽
HO-HSUN
2019-10-15 08:54:09
1227 瀏覽
定義
撥號攻擊:自動掃描電話號碼列表。
滲透測試方法:
規劃
勘查(Reconnaissance)
掃描
漏洞評估
滲透攻擊(Exploitation)
報告
單元測試:函式,程序(Procedures)或物件。
安裝測試:查看安裝程序是否可正常運行。
整合測試:多個組件在一起。確保組件同時運行正常。
回歸測試:測試更新,修改或補丁。
驗收測試:確保符合使用者需求。
模糊測試:黑箱測試及猴子測試(Monkey Testing),以查看其是否崩潰。
動態分析:提供程序輸入測試所有可能發生的錯誤,弱點,漏洞等。
靜態分析:分析原始碼錯誤,弱點,漏洞,模式。
風險:威脅(Threat) X 漏洞(Vulnerability)
設計和驗證評估,測試和審核策略
滲透測試和主動評估,建立內容後,查找弱點或濫用案例。
內部:通常通過檢查日誌,使用漏洞掃描程序掃描內部網路,檢查攝像機覆蓋範圍。
外部:分析防火牆規則,IDS/IPS,端點保護,遮罩(gates)等。
第三方:購買第三方的安全測試服務。
進行安全控制測試
漏洞評估:
描述系統中的大量缺陷。
滲透測試:
將弱點鏈接在一起,模擬攻擊者行為。
日誌查看:
查看日誌或設置日誌分析工具及過濾器(例如:Splunk)
綜合交易:
建立腳本案例以模擬正常活動,以捕抓並模擬流量。
程式碼審查和測試:
靜態分析和動態分析。
濫用案例測試:
可以編寫安全測試來確保服務器導向,或者使用的所有密碼雜湊值測試。
測試覆蓋率分析:
查看要測試或覆蓋的動態分析程式碼數量。
介面測試:
確保用戶看不到錯誤消息或任何不必要的內容。
安全流程資料收集(例如技術和資料管理)
帳戶管理:
監控帳戶,檢查權限並自動更改密碼。
管理層的審核和批准:
在採取行動之前,應始終將弱點和風險交給管理層。
確定最好的計劃,以及他們要接受的風險。
關鍵績效和風險指標:
流程管理KPI。
備份驗證數據:
用於備份和驗證的資訊備份。
培訓和意識:
每個人都應該經常進行警戒性培訓,並追蹤他們的培訓狀態。
災難恢復(DR)和業務連續性(BC):
制定計劃,擬定災難發生時該怎麼辦。
是否需要熱備援,冷備援。
分析測試報告
政策和程序
安全人員培訓
變更管理(Change Management)
架構評審
漏洞報告
安全性的指標報告
資訊管理和修補的指標報告
滲透測試(Penetration Testing)報告
留言
追蹤
檢舉
上一篇
應用程式安全(Application Security)
下一篇
法律、規章、遵循性與調查(Legal, Regulations, Compliance and Investigations)
系列文
認證信息系統安全專業人員(CISSP)學習筆記
共
30
篇
目錄
RSS系列文
訂閱系列文
13
人訂閱
26
實體及環境安全(Physical (Environmental) Security )
27
應用程式安全(Application Security)
28
應用程式安全(Application Security)
29
應用程式安全(Application Security)
30
法律、規章、遵循性與調查(Legal, Regulations, Compliance and Investigations)
完整目錄
直播研討會
{{ item.subject }}
{{ item.channelVendor }}
{{ item.webinarstarted }}
|
{{ formatDate(item.duration) }}
直播中
立即報名
尚未有邦友留言
立即登入留言
iThome鐵人賽
參賽組數
1123
組
團體組數
52
組
累計文章數
23096
篇
完賽人數
656
人
看影片追技術
看更多
{{ item.subject }}
{{ item.channelVendor }}
|
{{ formatDate(item.duration) }}
直播中
熱門tag
看更多
15th鐵人賽
13th鐵人賽
14th鐵人賽
12th鐵人賽
11th鐵人賽
鐵人賽
2019鐵人賽
2018鐵人賽
javascript
2017鐵人賽
python
windows
php
c#
windows server
linux
css
react
程式設計
vue.js
熱門問題
公司一定要用企業版軟體嗎
能幾分鐘就能解決的問題,需要拖延嗎?
不是內部或外部命令、可執行的程式或批次檔。上網查了很多但都無法解決也不知道為什麼,煩請各位大神幫幫我,感激不盡。
印表機連不上,但ping的到
如何在進入系統前擋住USB開機
工業電腦外表溫度請教
如何讓程式碼快速在1900個csv檔案中找到相對應的檔案?
感覺AI要導致廢物如我失業了
微服務、敏捷開發成本概念
想請問有關用 PowerShell 達成自動化的指令,懇請高手賜教,十分感謝!
熱門回答
不是內部或外部命令、可執行的程式或批次檔。上網查了很多但都無法解決也不知道為什麼,煩請各位大神幫幫我,感激不盡。
能幾分鐘就能解決的問題,需要拖延嗎?
感覺AI要導致廢物如我失業了
JSON資料儲存關聯式資料庫(MSSQL)
關於mssql資料庫使用者最小權限設定的問題
熱門文章
弱點掃描與滲透測試的不同
用合法動作掩飾非法行為,這4種業務邏輯安全漏洞,穿過保護機制套利提權
pokemon Go 寶可夢go 團戰神器使用心得
在 Production 環境使用 Docker 需要注意的大小事
建立虛擬機 in Cent OS by KVM
IT邦幫忙
×
標記使用者
輸入對方的帳號或暱稱
Loading
找不到結果。
標記
{{ result.label }}
{{ result.account }}