iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

1 Like 1 留言 1491 瀏覽

鐵人賽 Security

心洞年代系列第 31 篇

技術心洞年代-零

我面前的咖啡...她是要讓我喝，還是不讓我喝...我看她流下來的眼淚，可以裝十杯咖啡了吧。這大坪林站旁邊，某巴克店裡的客人，都在看我...可是，我又沒有要對她負...

SunAllen ‧ 2018-10-31

1 Like 0 留言 1487 瀏覽

技術 CIA作為安全目標(CIA as security objectives)

根據FISMA的說法，“完整性意味著防止不當的信息修改或破壞，並且包括確保信息的不可否認性和真實性。”. “訪問令牌是否已更改？” 關於數據完整性。. “網站是...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-26

1 Like 0 留言 1487 瀏覽

鐵人賽 AI & Data DAY 26

Data on AWS - 實作建立 Data Analytics Pipeline 系列第 26 篇

技術【Day 26】實作 - 於 AWS QuickSight 建立 Parameters 以及 Filter 設定

Data Analytics Pipeline 如下圖所示：目前我們已經成功將資料源 - WAF Log 透過 AWS Kinesis Data Firehos...

Dorothy ‧ 2021-10-10

1 Like 0 留言 1485 瀏覽

技術對象重用(Object reuse)＆跨站腳本(Cross-Site Scripting -XSS)＆SQL注入(SQL Injection)＆會話劫持(Session Hijacking）

-什麼是應用程序安全風險？對象重用(Object reuse)根據NIST術語表，對象重用是指“在確保沒有殘留數據保留在存儲介質上之後，對包含一個或多個對象的...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-10

1 Like 0 留言 1482 瀏覽

鐵人賽 Security DAY 1

打通任督二脈奇幻之旅 - 用 30 天探索 Windows 底層運作原理系列第 1 篇

技術【Day 01】- 孤燈蓑冠衣，獨究程式碼：前言與大綱

Agenda 資安宣言自我介紹與參賽動機適合閱讀本系列文章的對象本系列文章大綱目標與展望好文、好書、好課程推推下期預告資安宣言撰寫本系列文...

ERIC ‧ 2021-09-16 ‧團隊肝已經，死了

1 Like 0 留言 1474 瀏覽

技術密碼學-串流型加密器(cryptography- Stream ciphers)

-來源：廣工，滑鐵盧大學(Credit: Guang Gong, University of Waterloo)速度，安全性和簡單性是設計新加密的主要考慮因素。...

卓建全(Cho,Chien-Chuan) ‧ 2021-03-10

0 Like 0 留言 1474 瀏覽

技術微服務（microservices）

-微服務架構微服務是一種分佈式架構風格。它具有多種優點，例如：. 可以提高可擴展性。. 開發團隊可以獨立工作並變得更加敏捷。. 服務的獨立性提高了代碼的可重用性...

卓建全(Cho,Chien-Chuan) ‧ 2021-10-26

1 Like 0 留言 1473 瀏覽

技術課內筆記整理---計算機網路

計算機網路參考自李春良老師計算機網路課程部分PPT擷取網路參考源: 國立台灣大學 Lecture SlidesIntroduction to Comput...

xianyu ‧ 2024-03-08

1 Like 0 留言 1472 瀏覽

技術質詢握手身份驗證協議（CHAP）

質詢握手身份驗證協議（Challenge-Handshake Authentication Protocol：CHAP）移動身份驗證代碼的工作原理類似於機制，質...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-13

0 Like 0 留言 1468 瀏覽

技術電子發現參考模型（Electronic Discovery Reference Model）

-電子發現參考模型證人（Witnesses ）和證據（evidence）決定了司法結果。及時的電子發現行動將收集證據，而健全的數據治理將確定證據是否可以接受。...

卓建全(Cho,Chien-Chuan) ‧ 2021-04-20

0 Like 0 留言 1467 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(三十三)

四、溝通這段條文是大多數組織做得最不好的一段，普遍的想法是只要有溝通就好，卻忽略了溝通的項目及管道。如同第四章背景分析還有第六章風險分析，都需要溝通才能獲得正...

kachung ‧ 2022-08-28

0 Like 0 留言 1463 瀏覽

技術容器化及容器技術(containerization and container technology)

-虛擬機和容器部署（來源：NIST SP 800-190）虛擬機器監視器（Hypervisor）容器不需要管理程序來支持應用程序虛擬化。容器可以部署到裸機，無...

卓建全(Cho,Chien-Chuan) ‧ 2021-08-28

1 Like 0 留言 1461 瀏覽

技術證書頒發機構（CA）-Web服務器證書格式

-網站WentzWu.com的X.509證書樣本因為如今在實踐中很少使用正斜杠“ /”作為分隔符，所以我將選項A修改為使用分號“;”。作為DN分隔符，即使以下...

卓建全(Cho,Chien-Chuan) ‧ 2021-03-05

1 Like 0 留言 1460 瀏覽

技術網絡訪問控制(network access control)

無論設備是LAN還是WAN，都需要在設備連接到網絡之前進行身份驗證。設備成功連接到網絡後，才主要使用Kerberos。即使對W-Kerberos進行了一些研究，...

卓建全(Cho,Chien-Chuan) ‧ 2021-01-14

0 Like 0 留言 1457 瀏覽

技術獲得資訊系統運行授權（authorization）而應首先開發的文件-安全和隱私計劃（Security and privacy plans）

-NIST SDLC 和 RMF資訊系統所有者應準備授權包並將其提交給適當的授權操作（ATO）機構。授權包通常包含：安全和隱私計劃（指導活動/任務）安全...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-27

0 Like 0 留言 1456 瀏覽

技術風險曝險（Risk exposure ）

-什麼是風險？ ISO/IEC/IEEE 24765:2017 系統和軟件工程 — 詞彙風險給個人、項目或組織帶來的潛在損失[ISO/IEC 16085:2...

卓建全(Cho,Chien-Chuan) ‧ 2021-08-08

0 Like 0 留言 1455 瀏覽

技術詐欺者如何濫用開戶行為

用戶一天增長了上百倍？先別急著高興，也許有坑！無論是一個網站，一個應用，或者一個服務，使用者數的快速增長總是個好事吧。然而身處雲時代，最好什麼事都多留個心眼。...

Akamai ‧ 2024-01-17

1 Like 0 留言 1453 瀏覽

技術國家標準技術研究院（NIST）最低安全要求的最佳來源-標準

NIST出版物NIST制定並維護了大量有關信息和信息系統的安全性和隱私性的標準，指南，建議和研究。這包括各種NIST技術出版物系列：資料來源：NIST出版物 N...

卓建全(Cho,Chien-Chuan) ‧ 2020-12-30

1 Like 0 留言 1451 瀏覽

技術零信任（Zero Trust）

零信任的概念早在 2003 年就出現了，當時去邊界化、移除物理網絡位置盛行。許多組織開始實施類似的概念。NIST 於 2020 年 8 月發布了專刊 800-2...

卓建全(Cho,Chien-Chuan) ‧ 2021-06-25

0 Like 0 留言 1449 瀏覽

技術漏洞管理(Vulnerability Management)

由於管理是實現一個或多個目標的系統方法，我根據維基百科和NIST CSRC 術語表中的定義定義漏洞管理，並將它們擴展如下：漏洞管理是識別、分類、優先排序、修復和...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-04

1 Like 0 留言 1445 瀏覽

鐵人賽 Security DAY 11

打通任督二脈奇幻之旅 - 用 30 天探索 Windows 底層運作原理系列第 11 篇

技術【Day 11】- 再次創造 Ghost Process，這次找不到了吧哈哈（基於修改 PspCidTable 隱藏的 Rookit）

Agenda 資安宣言測試環境與工具學習目標前情提要技術原理與程式碼 References 下期預告資安宣言撰寫本系列文章目的在於提升資訊安全...

ERIC ‧ 2021-09-26 ‧團隊肝已經，死了

1 Like 0 留言 1437 瀏覽

技術 ISO 27001 資訊安全管理系統【解析】(四十二)

三、 9.3 管理審查管理審查涉及決策，也是維持整個管理系統持續改善的重要活動。先經由前面的監控量測及內部稽核了解管理系統的問題及效能，再透過定期審查機制確認需...

kachung ‧ 2022-12-31

0 Like 0 留言 1429 瀏覽

技術入侵檢測系統（ intrusion detection system :IDS）

一個基於主機的IDS可以監視並通過安裝加密的網絡通信中分析活性劑在端點上。一個基於網絡的IDS，依靠傳感器被動嗅探流量，因為加密的活動通常是保護不能夠做到端到端...

卓建全(Cho,Chien-Chuan) ‧ 2021-05-25

0 Like 0 留言 1423 瀏覽

技術微分段（micro-segmentation）

-網路安全挑戰虛擬可擴展局域網 (Virtual eXtensible Local Area Network :VXLAN)虛擬可擴展 LAN (VXLAN)...

卓建全(Cho,Chien-Chuan) ‧ 2021-10-07

1 Like 0 留言 1419 瀏覽

鐵人賽自我挑戰組 DAY 21

軟體開發商新手 PM 30 個第一次系列第 21 篇

技術【第 21 個第一次】 Http 跟 Https 那個「S」的差別，差在 SEO、差在信任!

Day 21 - 工程師: 你那邊設定少貼一個 S 拉! 阿阿，到底一個 s 差在哪邊，中間的協定到底保護了甚麼 ? 很多人都有加上 's' 嗎? 大家好，我...

Jade Chang ‧ 2020-10-05

0 Like 0 留言 1417 瀏覽

技術會計，審計和問責制(Accounting, Auditing, and Accountability)& 用戶和實體行為分析（UEBA）

日誌是會計的工作成果。可以通過查看或檢查（審核）一組相關日誌（審核記錄）以唯一地將活動跟踪到實體來實現問責制。會計，審計和問責制（又一個AAA）. 問責制是...

卓建全(Cho,Chien-Chuan) ‧ 2021-05-06

0 Like 0 留言 1417 瀏覽

技術軟件測試覆蓋率分析（測試粒度最細）-表達式(expressions)和決策結構

顆粒可視為測量單元。當我們說我們的軟體被測試了50%，或者測試覆蓋率是50%，這到底是什麼意思，因為軟體有10個用例，50個場景，500個測試案例，10，000...

卓建全(Cho,Chien-Chuan) ‧ 2021-06-14

1 Like 0 留言 1416 瀏覽

技術軟體保證成熟度模型（SAMM）-安全冠軍(Security Champion)

-SAMM 概述（來源：https : //owaspsamm.org）軟體保障成熟度模型（SAMM）是一個 OWASP 專案，一個規範模型和一個開放框架，使用...

卓建全(Cho,Chien-Chuan) ‧ 2021-07-16

0 Like 0 留言 1415 瀏覽

技術成熟度模型中構建安全性 (Building Security In Maturity Model :BSIMM)

CMMI、CMMC、BSIMM 和 SAMM 是評估軟體開發能力的好模型。但是BSIMM 是衡量一個組織在安全性方面相對於其他組織執行情況的最佳方法。成熟度模型...

卓建全(Cho,Chien-Chuan) ‧ 2022-05-05

0 Like 0 留言 1415 瀏覽

技術成熟度模型中構建安全性 (Building Security In Maturity Model :BSIMM)

CMMI、CMMC、BSIMM 和 SAMM 是評估軟體開發能力的好模型。但是BSIMM 是衡量一個組織在安全性方面相對於其他組織執行情況的最佳方法。成熟度模型...

卓建全(Cho,Chien-Chuan) ‧ 2022-05-05

技術 心洞年代-零

技術 CIA作為安全目標(CIA as security objectives)

技術 【Day 26】 實作 - 於 AWS QuickSight 建立 Parameters 以及 Filter 設定

技術 對象重用(Object reuse)＆跨站腳本(Cross-Site Scripting -XSS)＆SQL注入(SQL Injection)＆會話劫持(Session Hijacking）

技術 【Day 01】- 孤燈蓑冠衣，獨究程式碼：前言與大綱

技術 密碼學-串流型加密器(cryptography- Stream ciphers)

技術 微服務（microservices）

技術 課內筆記整理---計算機網路

技術 質詢握手身份驗證協議（CHAP）

技術 電子發現參考模型（Electronic Discovery Reference Model）

技術 ISO 27001 資訊安全管理系統 【解析】(三十三)

技術 容器化及容器技術(containerization and container technology)

技術 證書頒發機構（CA）-Web服務器證書格式

技術 網絡訪問控制(network access control)

技術 獲得資訊系統運行授權（authorization）而應首先開發的文件-安全和隱私計劃（Security and privacy plans）

技術 風險曝險（Risk exposure ）

技術 詐欺者如何濫用開戶行為

技術 國家標準技術研究院（NIST）最低安全要求的最佳來源-標準

技術 零信任（Zero Trust）

技術 漏洞管理(Vulnerability Management)

技術 【Day 11】- 再次創造 Ghost Process，這次找不到了吧哈哈（基於修改 PspCidTable 隱藏的 Rookit）

技術 ISO 27001 資訊安全管理系統 【解析】(四十二)

技術 入侵檢測系統（ intrusion detection system :IDS）

技術 微分段（micro-segmentation）

技術 【第 21 個第一次】 Http 跟 Https 那個 「S」 的差別，差在 SEO、差在信任!

技術 會計，審計和問責制(Accounting, Auditing, and Accountability)& 用戶和實體行為分析（UEBA）

技術 軟件測試覆蓋率分析（測試粒度最細）-表達式(expressions)和決策結構

技術 軟體保證成熟度模型（SAMM）-安全冠軍(Security Champion)

技術 成熟度模型中構建安全性 (Building Security In Maturity Model :BSIMM)

技術 成熟度模型中構建安全性 (Building Security In Maturity Model :BSIMM)

標記使用者

技術心洞年代-零

技術【Day 26】實作 - 於 AWS QuickSight 建立 Parameters 以及 Filter 設定

技術對象重用(Object reuse)＆跨站腳本(Cross-Site Scripting -XSS)＆SQL注入(SQL Injection)＆會話劫持(Session Hijacking）

技術【Day 01】- 孤燈蓑冠衣，獨究程式碼：前言與大綱

技術密碼學-串流型加密器(cryptography- Stream ciphers)

技術微服務（microservices）

技術課內筆記整理---計算機網路

技術質詢握手身份驗證協議（CHAP）

技術電子發現參考模型（Electronic Discovery Reference Model）

技術 ISO 27001 資訊安全管理系統【解析】(三十三)

技術容器化及容器技術(containerization and container technology)

技術證書頒發機構（CA）-Web服務器證書格式

技術網絡訪問控制(network access control)

技術獲得資訊系統運行授權（authorization）而應首先開發的文件-安全和隱私計劃（Security and privacy plans）

技術風險曝險（Risk exposure ）

技術詐欺者如何濫用開戶行為

技術國家標準技術研究院（NIST）最低安全要求的最佳來源-標準

技術零信任（Zero Trust）

技術漏洞管理(Vulnerability Management)

技術【Day 11】- 再次創造 Ghost Process，這次找不到了吧哈哈（基於修改 PspCidTable 隱藏的 Rookit）

技術 ISO 27001 資訊安全管理系統【解析】(四十二)

技術入侵檢測系統（ intrusion detection system :IDS）

技術微分段（micro-segmentation）

技術【第 21 個第一次】 Http 跟 Https 那個「S」的差別，差在 SEO、差在信任!

技術會計，審計和問責制(Accounting, Auditing, and Accountability)& 用戶和實體行為分析（UEBA）

技術軟件測試覆蓋率分析（測試粒度最細）-表達式(expressions)和決策結構

技術軟體保證成熟度模型（SAMM）-安全冠軍(Security Champion)

技術成熟度模型中構建安全性 (Building Security In Maturity Model :BSIMM)

技術成熟度模型中構建安全性 (Building Security In Maturity Model :BSIMM)