技術問答
技術文章
iT 徵才
Tag
聊天室
2025 鐵人賽
登入/註冊
問答
文章
Tag
邦友
鐵人賽
搜尋
第 11 屆 iThome 鐵人賽
DAY
29
0
Security
認證信息系統安全專業人員(CISSP)學習筆記
系列 第
29
篇
應用程式安全(Application Security)
11th鐵人賽
HO-HSUN
2019-10-15 08:54:09
1662 瀏覽
分享至
定義
撥號攻擊:自動掃描電話號碼列表。
滲透測試方法:
規劃
勘查(Reconnaissance)
掃描
漏洞評估
滲透攻擊(Exploitation)
報告
單元測試:函式,程序(Procedures)或物件。
安裝測試:查看安裝程序是否可正常運行。
整合測試:多個組件在一起。確保組件同時運行正常。
回歸測試:測試更新,修改或補丁。
驗收測試:確保符合使用者需求。
模糊測試:黑箱測試及猴子測試(Monkey Testing),以查看其是否崩潰。
動態分析:提供程序輸入測試所有可能發生的錯誤,弱點,漏洞等。
靜態分析:分析原始碼錯誤,弱點,漏洞,模式。
風險:威脅(Threat) X 漏洞(Vulnerability)
設計和驗證評估,測試和審核策略
滲透測試和主動評估,建立內容後,查找弱點或濫用案例。
內部:通常通過檢查日誌,使用漏洞掃描程序掃描內部網路,檢查攝像機覆蓋範圍。
外部:分析防火牆規則,IDS/IPS,端點保護,遮罩(gates)等。
第三方:購買第三方的安全測試服務。
進行安全控制測試
漏洞評估:
描述系統中的大量缺陷。
滲透測試:
將弱點鏈接在一起,模擬攻擊者行為。
日誌查看:
查看日誌或設置日誌分析工具及過濾器(例如:Splunk)
綜合交易:
建立腳本案例以模擬正常活動,以捕抓並模擬流量。
程式碼審查和測試:
靜態分析和動態分析。
濫用案例測試:
可以編寫安全測試來確保服務器導向,或者使用的所有密碼雜湊值測試。
測試覆蓋率分析:
查看要測試或覆蓋的動態分析程式碼數量。
介面測試:
確保用戶看不到錯誤消息或任何不必要的內容。
安全流程資料收集(例如技術和資料管理)
帳戶管理:
監控帳戶,檢查權限並自動更改密碼。
管理層的審核和批准:
在採取行動之前,應始終將弱點和風險交給管理層。
確定最好的計劃,以及他們要接受的風險。
關鍵績效和風險指標:
流程管理KPI。
備份驗證數據:
用於備份和驗證的資訊備份。
培訓和意識:
每個人都應該經常進行警戒性培訓,並追蹤他們的培訓狀態。
災難恢復(DR)和業務連續性(BC):
制定計劃,擬定災難發生時該怎麼辦。
是否需要熱備援,冷備援。
分析測試報告
政策和程序
安全人員培訓
變更管理(Change Management)
架構評審
漏洞報告
安全性的指標報告
資訊管理和修補的指標報告
滲透測試(Penetration Testing)報告
留言
追蹤
檢舉
上一篇
應用程式安全(Application Security)
下一篇
法律、規章、遵循性與調查(Legal, Regulations, Compliance and Investigations)
系列文
認證信息系統安全專業人員(CISSP)學習筆記
共
30
篇
目錄
RSS系列文
訂閱系列文
13
人訂閱
26
實體及環境安全(Physical (Environmental) Security )
27
應用程式安全(Application Security)
28
應用程式安全(Application Security)
29
應用程式安全(Application Security)
30
法律、規章、遵循性與調查(Legal, Regulations, Compliance and Investigations)
完整目錄
熱門推薦
{{ item.subject }}
{{ item.channelVendor }}
|
{{ item.webinarstarted }}
|
{{ formatDate(item.duration) }}
直播中
立即報名
尚未有邦友留言
立即登入留言
iThome鐵人賽
參賽組數
418
組
團體組數
14
組
累計文章數
3174
篇
最後報名日
9/15
看影片追技術
看更多
{{ item.subject }}
{{ item.channelVendor }}
|
{{ formatDate(item.duration) }}
直播中
熱門tag
看更多
15th鐵人賽
16th鐵人賽
13th鐵人賽
14th鐵人賽
12th鐵人賽
11th鐵人賽
鐵人賽
2019鐵人賽
javascript
2018鐵人賽
python
2017鐵人賽
17th鐵人賽
windows
php
c#
windows server
linux
css
react
熱門問題
不知道網路紅隊的要去那加公司
備份映像檔
Outlook 寄件備份消失問題 (已解決)
Jaspersoft 的資料庫連結 出現錯誤:驅動程式無法使用安全通訊端層 (SSL) 加密建立與 SQL Server 的安全連接。
aws ec2 檢查故障問題
請問有人遇過在lightsail上部屬fastapi失敗的案例?
IIS 管理員 連線功能不見
port-forwading到遠程網段
熱門回答
不知道網路紅隊的要去那加公司
備份映像檔
請問有人遇過在lightsail上部屬fastapi失敗的案例?
aws ec2 檢查故障問題
port-forwading到遠程網段
熱門文章
什麼是 Signal ?
序: AI 加速編碼後,你該學什麼?
Signal 的核心概念
第11天,LibreOffice 更省錢 / 司機俱樂部 宵夜好選擇(台北松山)| 30天滷肉飯
第12天,即時通訊軟體選擇 / 金峰滷肉飯 台北名店(台北中正)| 30天滷肉飯
IT邦幫忙
×
標記使用者
輸入對方的帳號或暱稱
Loading
找不到結果。
標記
{{ result.label }}
{{ result.account }}