iT邦幫忙

2022 iThome 鐵人賽

DAY 24
0
Security

資安新人30系列 第 24

資安新人30 Day24 弱點掃描、滲透測試、源碼掃描

  • 分享至 

  • xImage
  •  

依照之前提到SSDLC,今天就來研究看看弱點掃描滲透測試源碼掃描/images/emoticon/emoticon13.gif


弱點掃描

透過自動化掃描軟體工具偵測作業系統與軟體系統的弱點,可利用工具在較短的時間內檢查出漏洞,其內容包含WASP TOP 10等常見弱點檢測。

主機弱掃

常見的弱點

  • 使用的加密演算法過於弱或者已經在檢測工具的黑名單
  • 異常服務開啟或者Port(例如:資料庫開放存取 database-open-access)
  • 作業系統版本過舊或者有風險

網頁弱掃

常見的弱點

  • cookies 的設定錯誤
  • 軟體版本的資訊洩漏(例如:X-ASPNET-Version)
  • 使用已知存在漏洞的Javascript函式庫
  • 設定檔的資訊洩漏,或者開啟 debug 模式
  • 不當的組態設定

之前所開發的系統在網頁弱掃被發現的問題,記錄下來/images/emoticon/emoticon06.gif

優點

  • 快速短時間能檢測出結果
  • 改善系統不當配置

缺點

  • 檢測內容有限,僅能檢測出既有的安全漏洞,針對最新的資安漏洞無法給予修補建議

風險

  • 應用程式錯誤
  • 服務中止
  • 資料庫數據被竄改

滲透測試

委託資安專家以駭客思維嘗試攻破系統,利用不同的弱點進行組合式攻擊,驗證任何可能突破網站防禦系統的入侵漏洞,最後提交一份滲透測試報告,完整的記錄整個測試過程與細節,其檢測報告內容之外不代表系統不存在風險的可能,依照各專家的習慣盡可能發現系統的風險,也可能因為新的攻擊手法出現導致新的漏洞風險的發生。

優點

  • 針對系統有比較詳細的檢測
  • 誤判率比較低
  • 對於開發人員可以從報告中學習,了解問題以及防範

缺點

  • 花費時間較長
  • 檢測費用通常會比較高

原始碼掃描

將系統的原始碼使用人工檢測或者工具自動化掃描,依照已發現的可能造成風險的規則或者語法組合,找出可能有風險的程式碼片段。

優點

  • 藉由找出的弱點,可以改善開發者撰寫程式問題,提升開發人員安全程式撰寫能力
  • 提早發現問題,降低上線後的修改成本
  • 可導入自動化開發流程之中

參考資料


上一篇
資安新人30 Day23 測試方式-黑白灰箱
下一篇
資安新人30 Day25 IPAS 考古題練習 111-1-資訊安全技術概論
系列文
資安新人3030
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言