上篇整理部分安全稽核的重點後,這篇就是整理跟安全測試有關的部分。
可以大方向的分為
引用自 Monkey testing
客體 | 主動 被動 | 應用 |
---|---|---|
網路 | 主動 | Honey Pot (蜜罐/ 蜜網),偵查技術,威脅狩獵 (Threat Hunting),Ping |
網路 | 被動 | 弱點掃描,嗅誘 (sniffing)、網路竊聽) |
參考資料: TDD、BDD、DDD
Unit Test (單元測試)
Code Review: (原始碼複查)
提交給管理單位審查
使用機器人(自動化的軟體服務)做程式碼複查
正式審查複查
費根複查是一個結構化的過程,其嘗試在軟體開發的各個階段中發現開發檔案的缺陷
引用自費根審查 Wiki
參考及引用 費根檢查法筆記
參考資料 Synthetic monitoring
自動模擬黑客進行多面向攻擊的一種工具,目的在驗證組織的資訊安全防護能力
[優點] 以有限的風險提供連續測試,該技術可用於警告 IT 部門和業務利益相關者,有關「安全狀況方面」的現有差距,或驗證安全基礎結構、安全規劃和防禦技術是否按預期執行。
引用自測試種類分析
項目 | 全名 | 做啥的 |
---|---|---|
SAST | 靜態應用程式安全測試 (Static Application Security Testing) | 在編碼階段分析應用程式的原始碼或二進位文件的語法、結構、過程、接口等來發現程序代碼存在的安全漏洞。 |
DAST | 動態應用程式安全測試(Dynamic Application Security Testing) | 測試或運行階段分析應用程式的動態運行狀態。模擬黑客行為對應用程式進行動態攻擊,分析應用程式的反應,從而確定該應用程式是否易受攻擊。 |
引用自 DAST、SAST說明文件
工具:
請問什麼是MetaSploit Framework 呢?這個軟件工具是要做什麼的?
Metasploit專案是一個旨在提供安全漏洞資訊電腦安全專案,可以協助安全工程師進行滲透測試及入侵檢測系統簽章開發。 Metasploit專案最為知名的子專案是開源的Metasploit框架,一套針對遠端主機進行開發和執行「Exploit 代碼」的工具。
流程該如何做?
以EC-Council CEH 提出的實現原理說明
參考資料
可以使用SCAP (Security Content Aumation Protocol: 自動化修補協議)來達成這個目的,這協議的任務是去做弱點的修補,可以透過這個協議做到自動化的大量佈署。
SCAP 協定是由以下幾個元素組成
參考資料: SCAP
整理筆記,只有把重點整理出來。裏頭還是有很多的情境應用需要去做題及實際了解。 但用自己的話寫出來,在這個考試的準備及練習上是非常必要的