iT邦幫忙

0

Cyber security -5 Module3-3 OWASP&OSINT

  • 分享至 

  • xImage
  •  

The OWASP

Open Worldwide Application Security Project (OWASP)非營利組織

  • 發佈年份: 自 2003 年以來持續更新
  • 用途: 提高對最常見網路漏洞的認識,幫助企業在應用程式開發中避免常見的安全錯誤。
  • 目的: 改善軟體安全,提供資訊、工具與事件的開放平台。

Common vulnerabilities 常見漏洞

漏洞類別 說明 優點 缺點
Broken Access Control 訪問控制失敗可能導致未經授權的信息披露、修改或刪除。 可防止未授權訪問,增強資料保護 設定錯誤可能完全使控制失效/ 機制失效可能導致未經授權的資訊洩露、篡改或破壞。
Cryptographic Failures 加密失敗:敏感數據應使用有效的加密方法保護,如未加密個人信息可能導致數據泄露。 提供數據保護,符合隱私法規 使用過時的弱加密方法如 MD5 會增加風險
Injection 透過注入攻擊,惡意代碼被插入到應用中,可能使攻擊者獲得未經授權的訪問。 及早識別漏洞可減少數據洩露 防範措施不當可造成嚴重安全問題/一個常見的目標是網站的登入表單。當這些表單易受注入攻擊時,攻擊者可以插入惡意程式碼,進而修改或竊取使用者憑證
Insecure Design 設計時未能考慮安全性,導致應用易受攻擊。 設計時考慮安全可大幅減少易受攻擊的風險 不良設計可能導致多種漏洞
Security Misconfiguration 安全設定不正確或未維護,可能導致安全漏洞。企業在部署設備(如網路伺服器)時使用預設設定。這可能導致企業使用未能解決組織安全目標的設定。 定期檢查配置有助於減少安全隱患 默認配置通常不符合公司需求,安全弱點多
Vulnerable and Outdated Components 使用未維護或有漏洞的組件,增加應用被利用的風險。 開發者多半不會從零開始撰寫所有程式碼,而是使用開源庫來更快更容易地完成專案。這些公開可用的軟體由程式設計師社群以志願形式維護。使用未被維護的易受攻擊元件的應用程式,面臨更高的被威脅行動者利用的風險。 使用更新且安全的組件可防止被攻擊 不監控組件是否更新可能導致嚴重漏洞
Identification and Authentication Failures 應用未能正確識別用戶,可能導致未經授權的訪問。 強化身份驗證措施可降低風險 認證失敗導致的風險難以預見
Software and Data Integrity Failures 更新未經審查,可能導致惡意軟體的傳播。 僅從可信渠道進行更新可以減少這類風險 應用一旦被攻擊,可能影響整個供應鏈
Security Logging and Monitoring Failures 缺乏適當的日誌記錄可能使事件追踪變得困難。 強化日誌和監控可提高事件響應能力 無法追蹤事件可能導致錯過重要的安全事件
Server-Side Request Forgery (SSRF) 攻擊者通過操控伺服器請求存取未經授權的數據。 加強伺服器驗證可避免 SSRF 攻擊 一旦伺服器漏洞被利用,後果嚴重

Open source intelligence 開放來源情報

信息(Information)與情報(Intelligence)

特性 信息(Information) 情報(Intelligence)
定義 原始數據和事實集合 通過分析信息產生的知識或洞察
目的 提供數據和事實 支持決策和策略
過程 收集和存儲數據 分析、解釋和整合信息
應用示例 操作系統更新通知 判斷是否安裝新操作系統更新的基於威脅的決策
重要性 是決策的基礎 提供對信息的見解,增強安全策略和防護
優點 簡單直接,便於獲取 能提供戰略性的信息,幫助應對安全挑戰
缺點 可能缺乏深度分析,無法直接用於決策 需要更多的時間和資源進行數據分析

OSINT

  • 定義:收集和分析來自公開可用來源的信息,以生成可用的智能。
  • 目標:支持網絡安全活動,識別潛在威脅和漏洞。

OSINT的應用例子

  • 提供有關網絡攻擊的見解。
  • 偵測潛在數據洩露。
  • 評估現有防禦。
  • 識別未知漏洞。

OSINT 生成情報方法:

  • 提供 provide insights 對網路攻擊的見解
  • 檢測detect潛在的數據洩露
  • 評估evaluate existing defenses現有的防禦措施
  • 識別未知的漏洞To identify unknown vulnerabilitie
    收集情報有時是漏洞管理流程的一部分。安全團隊可能會使用 OSINT 來建立潛在目標的檔案,並以數據為根據做出改進防禦的決定。

OSINT工具比較

工具名稱 功能描述 優點 缺點
VirusTotal 分析可疑文件、域名、URL和IP地址的惡意內容。 免費使用,界面友好。 可能無法檢測所有威脅。
MITRE ATT&CK 基於實際觀察的對手戰術和技術的知識庫。 幫助安全分析人員理解攻擊者的行為邏輯。 提供豐富的對手資訊。 需要了解背景才能有效應用。
OSINT Framework 網絡界面,用於查找各類型來源或平台的OSINT工具。 資源集中,易於尋找工具。 需要一定的搜索技巧。
Have I been Pwned 用於搜索被洩露的電子郵件帳戶的工具。 簡單、直觀的使用界面。 僅能查詢電子郵件,其他信息有限。

圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言