Submit Search
Upload
應用系統安全常見的5種資安防護措施
•
0 likes
•
1,406 views
Galaxy Software Services
Follow
本篇介紹的是各種網頁應用系統的安全工具(滲透測試、弱點掃描、源碼檢測、WAF、IAST),而標示出重要的選擇依據來幫助各位選擇適合自己環境的應用系統安全技術
Read less
Read more
Software
Slideshow view
Report
Share
Slideshow view
Report
Share
1 of 14
Download now
Download to read offline
Recommended
Network miner 使ってみた
Network miner 使ってみた
彰 村地
フリーでできるセキュリティチェック OpenVAS CLI編
フリーでできるセキュリティチェック OpenVAS CLI編
abend_cve_9999_0001
Pcapngを読んでみる
Pcapngを読んでみる
Yagi Shinnosuke
セキュリティの都市伝説を暴く
セキュリティの都市伝説を暴く
Hiroshi Tokumaru
Nmapの真実
Nmapの真実
abend_cve_9999_0001
CMSでのXSS to RCEを触ってみた
CMSでのXSS to RCEを触ってみた
adachi tomohiro
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点
zaki4649
これからのJDK/JVM 何を選ぶ?どう選ぶ?
これからのJDK/JVM 何を選ぶ?どう選ぶ?
Takahiro YAMADA
Recommended
Network miner 使ってみた
Network miner 使ってみた
彰 村地
フリーでできるセキュリティチェック OpenVAS CLI編
フリーでできるセキュリティチェック OpenVAS CLI編
abend_cve_9999_0001
Pcapngを読んでみる
Pcapngを読んでみる
Yagi Shinnosuke
セキュリティの都市伝説を暴く
セキュリティの都市伝説を暴く
Hiroshi Tokumaru
Nmapの真実
Nmapの真実
abend_cve_9999_0001
CMSでのXSS to RCEを触ってみた
CMSでのXSS to RCEを触ってみた
adachi tomohiro
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点
zaki4649
これからのJDK/JVM 何を選ぶ?どう選ぶ?
これからのJDK/JVM 何を選ぶ?どう選ぶ?
Takahiro YAMADA
Jenkins 2.0 Pipeline & Blue Ocean
Jenkins 2.0 Pipeline & Blue Ocean
Akihiko Horiuchi
AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介
AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介
KinoshitaHiroyuki1
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
apkiban
思ったほど怖くない! Haskell on JVM 超入門 #jjug_ccc #ccc_l8
思ったほど怖くない! Haskell on JVM 超入門 #jjug_ccc #ccc_l8
y_taka_23
ChatGPTのデータソースにPostgreSQLを使う(第42回PostgreSQLアンカンファレンス@オンライン 発表資料)
ChatGPTのデータソースにPostgreSQLを使う(第42回PostgreSQLアンカンファレンス@オンライン 発表資料)
NTT DATA Technology & Innovation
CyberChefの使い方(HamaCTF2019 WriteUp編)
CyberChefの使い方(HamaCTF2019 WriteUp編)
Shota Shinogi
Wireshark だけに頼らない! パケット解析ツールの紹介
Wireshark だけに頼らない! パケット解析ツールの紹介
morihisa
自動でバグを見つける!プログラム解析と動的バイナリ計装
自動でバグを見つける!プログラム解析と動的バイナリ計装
uchan_nos
とある診断員とAWS
とある診断員とAWS
zaki4649
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
zaki4649
GOの機械学習システムを支えるMLOps事例紹介
GOの機械学習システムを支えるMLOps事例紹介
Takashi Suzuki
私とOSSの25年
私とOSSの25年
MITSUNARI Shigeo
「おうちクラウド」が今熱い!
「おうちクラウド」が今熱い!
Hirotaka Sato
Locondo 20190215@ec tech_group
Locondo 20190215@ec tech_group
Shinya Sugiyama
hbstudy#88 5G+MEC時代のシステム設計
hbstudy#88 5G+MEC時代のシステム設計
VirtualTech Japan Inc.
大規模ソーシャルゲームを支える技術~PHP+MySQLを使った高負荷対策~
大規模ソーシャルゲームを支える技術~PHP+MySQLを使った高負荷対策~
infinite_loop
「龍が如く7 光と闇の行方」の自動テスト活用事例とテスト自動化チーム(仮)による若手育成の取り組みについて
「龍が如く7 光と闇の行方」の自動テスト活用事例とテスト自動化チーム(仮)による若手育成の取り組みについて
SEGADevTech
AWSで実現するバックアップとディザスタリカバリ
AWSで実現するバックアップとディザスタリカバリ
Amazon Web Services Japan
PFSなTLS通信を復号する
PFSなTLS通信を復号する
稔 小林
SageMakerでもAUTOMATIC1111したい
SageMakerでもAUTOMATIC1111したい
真吾 吉田
系統05_從持續整合結合安全開發與變更管理 郭俐佳
系統05_從持續整合結合安全開發與變更管理 郭俐佳
Galaxy Software Services
雲端01_雲端服務家族的價值與經濟生態 林秋丹
雲端01_雲端服務家族的價值與經濟生態 林秋丹
Galaxy Software Services
More Related Content
What's hot
Jenkins 2.0 Pipeline & Blue Ocean
Jenkins 2.0 Pipeline & Blue Ocean
Akihiko Horiuchi
AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介
AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介
KinoshitaHiroyuki1
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
apkiban
思ったほど怖くない! Haskell on JVM 超入門 #jjug_ccc #ccc_l8
思ったほど怖くない! Haskell on JVM 超入門 #jjug_ccc #ccc_l8
y_taka_23
ChatGPTのデータソースにPostgreSQLを使う(第42回PostgreSQLアンカンファレンス@オンライン 発表資料)
ChatGPTのデータソースにPostgreSQLを使う(第42回PostgreSQLアンカンファレンス@オンライン 発表資料)
NTT DATA Technology & Innovation
CyberChefの使い方(HamaCTF2019 WriteUp編)
CyberChefの使い方(HamaCTF2019 WriteUp編)
Shota Shinogi
Wireshark だけに頼らない! パケット解析ツールの紹介
Wireshark だけに頼らない! パケット解析ツールの紹介
morihisa
自動でバグを見つける!プログラム解析と動的バイナリ計装
自動でバグを見つける!プログラム解析と動的バイナリ計装
uchan_nos
とある診断員とAWS
とある診断員とAWS
zaki4649
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
zaki4649
GOの機械学習システムを支えるMLOps事例紹介
GOの機械学習システムを支えるMLOps事例紹介
Takashi Suzuki
私とOSSの25年
私とOSSの25年
MITSUNARI Shigeo
「おうちクラウド」が今熱い!
「おうちクラウド」が今熱い!
Hirotaka Sato
Locondo 20190215@ec tech_group
Locondo 20190215@ec tech_group
Shinya Sugiyama
hbstudy#88 5G+MEC時代のシステム設計
hbstudy#88 5G+MEC時代のシステム設計
VirtualTech Japan Inc.
大規模ソーシャルゲームを支える技術~PHP+MySQLを使った高負荷対策~
大規模ソーシャルゲームを支える技術~PHP+MySQLを使った高負荷対策~
infinite_loop
「龍が如く7 光と闇の行方」の自動テスト活用事例とテスト自動化チーム(仮)による若手育成の取り組みについて
「龍が如く7 光と闇の行方」の自動テスト活用事例とテスト自動化チーム(仮)による若手育成の取り組みについて
SEGADevTech
AWSで実現するバックアップとディザスタリカバリ
AWSで実現するバックアップとディザスタリカバリ
Amazon Web Services Japan
PFSなTLS通信を復号する
PFSなTLS通信を復号する
稔 小林
SageMakerでもAUTOMATIC1111したい
SageMakerでもAUTOMATIC1111したい
真吾 吉田
What's hot
(20)
Jenkins 2.0 Pipeline & Blue Ocean
Jenkins 2.0 Pipeline & Blue Ocean
AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介
AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
思ったほど怖くない! Haskell on JVM 超入門 #jjug_ccc #ccc_l8
思ったほど怖くない! Haskell on JVM 超入門 #jjug_ccc #ccc_l8
ChatGPTのデータソースにPostgreSQLを使う(第42回PostgreSQLアンカンファレンス@オンライン 発表資料)
ChatGPTのデータソースにPostgreSQLを使う(第42回PostgreSQLアンカンファレンス@オンライン 発表資料)
CyberChefの使い方(HamaCTF2019 WriteUp編)
CyberChefの使い方(HamaCTF2019 WriteUp編)
Wireshark だけに頼らない! パケット解析ツールの紹介
Wireshark だけに頼らない! パケット解析ツールの紹介
自動でバグを見つける!プログラム解析と動的バイナリ計装
自動でバグを見つける!プログラム解析と動的バイナリ計装
とある診断員とAWS
とある診断員とAWS
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
GOの機械学習システムを支えるMLOps事例紹介
GOの機械学習システムを支えるMLOps事例紹介
私とOSSの25年
私とOSSの25年
「おうちクラウド」が今熱い!
「おうちクラウド」が今熱い!
Locondo 20190215@ec tech_group
Locondo 20190215@ec tech_group
hbstudy#88 5G+MEC時代のシステム設計
hbstudy#88 5G+MEC時代のシステム設計
大規模ソーシャルゲームを支える技術~PHP+MySQLを使った高負荷対策~
大規模ソーシャルゲームを支える技術~PHP+MySQLを使った高負荷対策~
「龍が如く7 光と闇の行方」の自動テスト活用事例とテスト自動化チーム(仮)による若手育成の取り組みについて
「龍が如く7 光と闇の行方」の自動テスト活用事例とテスト自動化チーム(仮)による若手育成の取り組みについて
AWSで実現するバックアップとディザスタリカバリ
AWSで実現するバックアップとディザスタリカバリ
PFSなTLS通信を復号する
PFSなTLS通信を復号する
SageMakerでもAUTOMATIC1111したい
SageMakerでもAUTOMATIC1111したい
Viewers also liked
系統05_從持續整合結合安全開發與變更管理 郭俐佳
系統05_從持續整合結合安全開發與變更管理 郭俐佳
Galaxy Software Services
雲端01_雲端服務家族的價值與經濟生態 林秋丹
雲端01_雲端服務家族的價值與經濟生態 林秋丹
Galaxy Software Services
雲端05_如何在雲端管理研發知識以廣義智控為例 曾廣輝
雲端05_如何在雲端管理研發知識以廣義智控為例 曾廣輝
Galaxy Software Services
雲端04_會計服務未來式整合雲端新趨勢 張宏尉
雲端04_會計服務未來式整合雲端新趨勢 張宏尉
Galaxy Software Services
永遠別忘了老客戶和好口碑的重要性
永遠別忘了老客戶和好口碑的重要性
Galaxy Software Services
軟體安全防護大作戰
軟體安全防護大作戰
Galaxy Software Services
全方位 Vital 雲端服務家族
全方位 Vital 雲端服務家族
Galaxy Software Services
叡揚雲端服務願景與成果
叡揚雲端服務願景與成果
Galaxy Software Services
由根紮起的深研發成果報告 張培鏞
由根紮起的深研發成果報告 張培鏞
Galaxy Software Services
Line with the UI DESIGN TREND 符合時代的介面設計潮流-李宗青
Line with the UI DESIGN TREND 符合時代的介面設計潮流-李宗青
Galaxy Software Services
The power of digital minds 張瑞雄
The power of digital minds 張瑞雄
Galaxy Software Services
Makalah Perancangan ERD & LRS Pada Sistem Pemesanan Hotel
Makalah Perancangan ERD & LRS Pada Sistem Pemesanan Hotel
Muhammad Iqbal
Viewers also liked
(12)
系統05_從持續整合結合安全開發與變更管理 郭俐佳
系統05_從持續整合結合安全開發與變更管理 郭俐佳
雲端01_雲端服務家族的價值與經濟生態 林秋丹
雲端01_雲端服務家族的價值與經濟生態 林秋丹
雲端05_如何在雲端管理研發知識以廣義智控為例 曾廣輝
雲端05_如何在雲端管理研發知識以廣義智控為例 曾廣輝
雲端04_會計服務未來式整合雲端新趨勢 張宏尉
雲端04_會計服務未來式整合雲端新趨勢 張宏尉
永遠別忘了老客戶和好口碑的重要性
永遠別忘了老客戶和好口碑的重要性
軟體安全防護大作戰
軟體安全防護大作戰
全方位 Vital 雲端服務家族
全方位 Vital 雲端服務家族
叡揚雲端服務願景與成果
叡揚雲端服務願景與成果
由根紮起的深研發成果報告 張培鏞
由根紮起的深研發成果報告 張培鏞
Line with the UI DESIGN TREND 符合時代的介面設計潮流-李宗青
Line with the UI DESIGN TREND 符合時代的介面設計潮流-李宗青
The power of digital minds 張瑞雄
The power of digital minds 張瑞雄
Makalah Perancangan ERD & LRS Pada Sistem Pemesanan Hotel
Makalah Perancangan ERD & LRS Pada Sistem Pemesanan Hotel
Similar to 應用系統安全常見的5種資安防護措施
分布式系统测试实践
分布式系统测试实践
drewz lin
議題三:政府網站常見弱點與分析
議題三:政府網站常見弱點與分析
Nicolas su
Rsa2012 下一代安全的战略思考-绿盟科技赵粮
Rsa2012 下一代安全的战略思考-绿盟科技赵粮
NSFOCUS
滲透測試資訊安全顧問服務
滲透測試資訊安全顧問服務
Wanhung Chou
baidu fuye
baidu fuye
dachmx
百度 fuye
百度 fuye
dachmx
11/14王團研究室—安全大師王團論毒 in台中
11/14王團研究室—安全大師王團論毒 in台中
T客邦
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
T客邦
使安全成為軟體開發必要部分
使安全成為軟體開發必要部分
Taien Wang
渗透测试思路技术与方法
渗透测试思路技术与方法
挺
组网与网络管理技术(第四章)
组网与网络管理技术(第四章)
telab
滲透測試簡述(資訊安全顧問服務)
滲透測試簡述(資訊安全顧問服務)
wanhung1911
Duannian agile
Duannian agile
d0nn9n
手机自动化测试解决方案
手机自动化测试解决方案
懿民 施
From Principle to Practice
From Principle to Practice
Jordan Pan
服务器性能测试介绍
服务器性能测试介绍
Paro Yin
赛诺朗基全局事件管理
赛诺朗基全局事件管理
Mktg
测试快照
测试快照
jacquesqj
22
22
42qu
铺开业务看应用防护
铺开业务看应用防护
Jordan Pan
Similar to 應用系統安全常見的5種資安防護措施
(20)
分布式系统测试实践
分布式系统测试实践
議題三:政府網站常見弱點與分析
議題三:政府網站常見弱點與分析
Rsa2012 下一代安全的战略思考-绿盟科技赵粮
Rsa2012 下一代安全的战略思考-绿盟科技赵粮
滲透測試資訊安全顧問服務
滲透測試資訊安全顧問服務
baidu fuye
baidu fuye
百度 fuye
百度 fuye
11/14王團研究室—安全大師王團論毒 in台中
11/14王團研究室—安全大師王團論毒 in台中
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
使安全成為軟體開發必要部分
使安全成為軟體開發必要部分
渗透测试思路技术与方法
渗透测试思路技术与方法
组网与网络管理技术(第四章)
组网与网络管理技术(第四章)
滲透測試簡述(資訊安全顧問服務)
滲透測試簡述(資訊安全顧問服務)
Duannian agile
Duannian agile
手机自动化测试解决方案
手机自动化测试解决方案
From Principle to Practice
From Principle to Practice
服务器性能测试介绍
服务器性能测试介绍
赛诺朗基全局事件管理
赛诺朗基全局事件管理
测试快照
测试快照
22
22
铺开业务看应用防护
铺开业务看应用防护
More from Galaxy Software Services
2_人見人愛的control-m作業請求流程
2_人見人愛的control-m作業請求流程
Galaxy Software Services
1_overall
1_overall
Galaxy Software Services
GSSDLC - Bruce (20170817)
GSSDLC - Bruce (20170817)
Galaxy Software Services
行動應用App管理 (MAM)
行動應用App管理 (MAM)
Galaxy Software Services
全面控管檔案傳輸 揭開成功秘辛
全面控管檔案傳輸 揭開成功秘辛
Galaxy Software Services
MFT sharing
MFT sharing
Galaxy Software Services
洞悉檔案傳輸困境 掌握解決方案
洞悉檔案傳輸困境 掌握解決方案
Galaxy Software Services
系統02_關鍵的「特權+資料安全」最後一哩防線 解忠翰
系統02_關鍵的「特權+資料安全」最後一哩防線 解忠翰
Galaxy Software Services
雲端06_兩岸三地的雲服務就選mail cloud-闕伊材
雲端06_兩岸三地的雲服務就選mail cloud-闕伊材
Galaxy Software Services
雲端02_「阿米計畫」一起揪團做公益吧 杜明翰
雲端02_「阿米計畫」一起揪團做公益吧 杜明翰
Galaxy Software Services
安心上雲端 商務創新無極限 劉念臻
安心上雲端 商務創新無極限 劉念臻
Galaxy Software Services
應用03_未來辦公室的創新工作圈 李政權
應用03_未來辦公室的創新工作圈 李政權
Galaxy Software Services
10個步驟保護敏捷開發:應用程式安全的作業方法
10個步驟保護敏捷開發:應用程式安全的作業方法
Galaxy Software Services
未來的人才 人才的未來
未來的人才 人才的未來
Galaxy Software Services
重視弱點管理 強化系統安全
重視弱點管理 強化系統安全
Galaxy Software Services
資安健檢因應配套
資安健檢因應配套
Galaxy Software Services
team kube 高效會議應用分享
team kube 高效會議應用分享
Galaxy Software Services
維持企業巧實力 傳承與執行力
維持企業巧實力 傳承與執行力
Galaxy Software Services
生產力4.0科技發展策略
生產力4.0科技發展策略
Galaxy Software Services
More from Galaxy Software Services
(19)
2_人見人愛的control-m作業請求流程
2_人見人愛的control-m作業請求流程
1_overall
1_overall
GSSDLC - Bruce (20170817)
GSSDLC - Bruce (20170817)
行動應用App管理 (MAM)
行動應用App管理 (MAM)
全面控管檔案傳輸 揭開成功秘辛
全面控管檔案傳輸 揭開成功秘辛
MFT sharing
MFT sharing
洞悉檔案傳輸困境 掌握解決方案
洞悉檔案傳輸困境 掌握解決方案
系統02_關鍵的「特權+資料安全」最後一哩防線 解忠翰
系統02_關鍵的「特權+資料安全」最後一哩防線 解忠翰
雲端06_兩岸三地的雲服務就選mail cloud-闕伊材
雲端06_兩岸三地的雲服務就選mail cloud-闕伊材
雲端02_「阿米計畫」一起揪團做公益吧 杜明翰
雲端02_「阿米計畫」一起揪團做公益吧 杜明翰
安心上雲端 商務創新無極限 劉念臻
安心上雲端 商務創新無極限 劉念臻
應用03_未來辦公室的創新工作圈 李政權
應用03_未來辦公室的創新工作圈 李政權
10個步驟保護敏捷開發:應用程式安全的作業方法
10個步驟保護敏捷開發:應用程式安全的作業方法
未來的人才 人才的未來
未來的人才 人才的未來
重視弱點管理 強化系統安全
重視弱點管理 強化系統安全
資安健檢因應配套
資安健檢因應配套
team kube 高效會議應用分享
team kube 高效會議應用分享
維持企業巧實力 傳承與執行力
維持企業巧實力 傳承與執行力
生產力4.0科技發展策略
生產力4.0科技發展策略
應用系統安全常見的5種資安防護措施
1.
一次弄懂網頁應用系統(Web Application) 5 種資安防護措施 1 PT
滲透測試 WAF 網頁應用程式防火牆 DAST 黑箱動態弱點掃描 SAST 白箱靜態源碼掃描 IAST 互動式安全測試
2.
2
3.
滲透測試 (Penetration Testing,
PT) 何謂滲透測試 透過模擬駭客行為來操作組織的系統及程序 滲透測試包含了橫跨所有層級的手動及自動程序 由企業內部滲透測試小組或是委外顧問服務執行 定期執行 3
4.
滲透測試 (Penetration Testing,
PT) 滲透測試優勢效益 測試範圍廣 人工測試比起照表操課的程序更靈活 滲透測試缺點 只能提供特定範圍、時間點內運行時的安全狀態 無法在合理的時間內針對所有程序、平台、情境進行 測試 所需時間長 滲透測試需要特殊的專業知識和時間 4
5.
網頁應用系統防火牆 (Web Application
Firewall, WAF) 何謂WAF 放置在應用系統之前 用來即時檢查來自網路的請求內容 若請求內容有攻擊傾向即將其阻擋,否則正常運作 5
6.
網頁應用系統防火牆 (Web Application
Firewall, WAF) WAF 優勢效益 阻擋模式運作時能夠即時保護組織架構 深入觀察實際的威脅 能夠阻擋商業邏輯攻擊 (Business Logic Attacks, BLAs),例如應用層的阻斷服務攻擊(DDoS) 受開發者developer 歡迎 WAF 缺點 不能解決問題 需為保護的應用系統客製化 也會阻擋合法的請求 只對網頁應用系統(Web Application)有效 6
7.
黑箱動態弱點掃描 (Dynamic Application Security
Testing, DAST) 亦常稱為動態應用系統安全測試/ 網站黑箱掃描/ 動態測試/ 弱點掃描 何謂動態應用系統安全測試 針對網頁應用系統 輸入不同的輸入值來檢查應用系統 是否有暴露的漏洞 依照一份事先定義的弱點清單 去嘗試破解目標 7
8.
黑箱動態弱點掃描 (Dynamic Application Security
Testing, DAST) 應用系統安全測試 優勢效益 揭露一些只有在運行中才會顯露出的漏洞 與第三方程式整合 應用系統安全測試 缺點 能找到的漏洞有限 無法完整包含整個應用系統 任何程式改動都需要重新掃描 8
9.
白箱靜態源碼掃描 (Static Application Security
Testing, SAST) 屬於「應用系統網站弱點掃描」的一種,亦常稱 為靜態應用系統安全測試、白箱測試、源碼檢測 何謂靜態源碼掃描 檢查應用系統的原始碼(source code)來找出安全漏洞 能以更多元的角度去檢查程式流中可能被攻擊者所發 現的漏洞 9
10.
白箱靜態源碼掃描 (Static Application Security
Testing, SAST) 靜態源碼掃描 優勢效益 能在開發階段及早修復問題,比起事後修補容易 弱點可從原始碼中直接修正 測試範圍包含了各種程式語言 合穿插在各種開發環境和模型中(Waterfall、Agile和 DevOps) 靜態源碼掃描 缺點 誤判 會回報一些不被外部(攻擊者)發現的問題 結果有分風險等級,但不知道目前哪個弱點受攻擊者鎖定 10
11.
互動式應用系統安全測試 (Integrated/Intrinsic/Interactive Application Security
Testing, IAST) 亦稱為整合式應用系統安全測試 何謂IAST 結合了SAST(源碼檢測)和DAST(黑箱動態測試)的技術 需要受檢測的應用系統所需的設備或是運行環境 需要原始碼、及各種監控設備 11
12.
互動式應用系統安全測試 (Integrated/Intrinsic/Interactive Application Security
Testing, IAST) IAST 優勢效益 擁有和DAST相同的效益 且能夠回報無聲攻擊 指出產生弱點的程式碼位址 IAST 缺點 需要安裝Agent軟體 缺乏自動化 精確度及弱點覆蓋率較低 可能產生誤判或漏判 12
13.
應用系統安全總結 : 建立階層式的防禦
沒有任何一個解決方案可以100% 完整保護 理想的應用系統安全策略應該從開發階段開始 接著在主要系統上放置WAF、週期性地進行滲透測試, 然後在程式碼變動時檢查程式碼 建議從上述防禦技術中挑選一到兩項,然後從中挑選出 最適合您環境及商業需求的工具 完整說明: http://www.gss.com.tw/index.php/focus/security/1418-gss-0117-web-application-5 資料來源: Checkmarx 翻譯整理: 叡揚資訊 13
14.
謝謝聆聽 Q&A www.gss.com.tw www.gsscloud.com
Download now