SlideShare a Scribd company logo

應用系統安全常見的5種資安防護措施

Galaxy Software Services
Galaxy Software Services

本篇介紹的是各種網頁應用系統的安全工具(滲透測試、弱點掃描、源碼檢測、WAF、IAST),而標示出重要的選擇依據來幫助各位選擇適合自己環境的應用系統安全技術

Software
1 of 14
Download to read offline
一次弄懂網頁應用系統(Web Application) 5 種資安防護措施 1 PT 滲透測試 WAF 網頁應用程式防火牆 DAST 黑箱動態弱點掃描  SAST 白箱靜態源碼掃描  IAST 互動式安全測試
2
滲透測試 (Penetration Testing, PT)  何謂滲透測試  透過模擬駭客行為來操作組織的系統及程序  滲透測試包含了橫跨所有層級的手動及自動程序  由企業內部滲透測試小組或是委外顧問服務執行  定期執行 3
滲透測試 (Penetration Testing, PT)  滲透測試優勢效益  測試範圍廣  人工測試比起照表操課的程序更靈活  滲透測試缺點  只能提供特定範圍、時間點內運行時的安全狀態  無法在合理的時間內針對所有程序、平台、情境進行 測試  所需時間長  滲透測試需要特殊的專業知識和時間 4
網頁應用系統防火牆 (Web Application Firewall, WAF)  何謂WAF  放置在應用系統之前  用來即時檢查來自網路的請求內容  若請求內容有攻擊傾向即將其阻擋,否則正常運作 5
網頁應用系統防火牆 (Web Application Firewall, WAF)  WAF 優勢效益  阻擋模式運作時能夠即時保護組織架構  深入觀察實際的威脅  能夠阻擋商業邏輯攻擊 (Business Logic Attacks, BLAs),例如應用層的阻斷服務攻擊(DDoS)  受開發者developer 歡迎  WAF 缺點  不能解決問題  需為保護的應用系統客製化  也會阻擋合法的請求  只對網頁應用系統(Web Application)有效 6
黑箱動態弱點掃描 (Dynamic Application Security Testing, DAST)  亦常稱為動態應用系統安全測試/ 網站黑箱掃描/ 動態測試/ 弱點掃描  何謂動態應用系統安全測試  針對網頁應用系統  輸入不同的輸入值來檢查應用系統 是否有暴露的漏洞  依照一份事先定義的弱點清單 去嘗試破解目標 7
黑箱動態弱點掃描 (Dynamic Application Security Testing, DAST)  應用系統安全測試 優勢效益  揭露一些只有在運行中才會顯露出的漏洞  與第三方程式整合  應用系統安全測試 缺點  能找到的漏洞有限  無法完整包含整個應用系統  任何程式改動都需要重新掃描 8
白箱靜態源碼掃描 (Static Application Security Testing, SAST)  屬於「應用系統網站弱點掃描」的一種,亦常稱 為靜態應用系統安全測試、白箱測試、源碼檢測  何謂靜態源碼掃描  檢查應用系統的原始碼(source code)來找出安全漏洞  能以更多元的角度去檢查程式流中可能被攻擊者所發 現的漏洞 9
白箱靜態源碼掃描 (Static Application Security Testing, SAST)  靜態源碼掃描 優勢效益  能在開發階段及早修復問題,比起事後修補容易  弱點可從原始碼中直接修正  測試範圍包含了各種程式語言  合穿插在各種開發環境和模型中(Waterfall、Agile和 DevOps)  靜態源碼掃描 缺點  誤判  會回報一些不被外部(攻擊者)發現的問題  結果有分風險等級,但不知道目前哪個弱點受攻擊者鎖定 10
互動式應用系統安全測試 (Integrated/Intrinsic/Interactive Application Security Testing, IAST)  亦稱為整合式應用系統安全測試  何謂IAST  結合了SAST(源碼檢測)和DAST(黑箱動態測試)的技術  需要受檢測的應用系統所需的設備或是運行環境  需要原始碼、及各種監控設備 11
互動式應用系統安全測試 (Integrated/Intrinsic/Interactive Application Security Testing, IAST)  IAST 優勢效益  擁有和DAST相同的效益  且能夠回報無聲攻擊  指出產生弱點的程式碼位址  IAST 缺點  需要安裝Agent軟體  缺乏自動化  精確度及弱點覆蓋率較低  可能產生誤判或漏判 12
應用系統安全總結 : 建立階層式的防禦  沒有任何一個解決方案可以100% 完整保護  理想的應用系統安全策略應該從開發階段開始  接著在主要系統上放置WAF、週期性地進行滲透測試, 然後在程式碼變動時檢查程式碼  建議從上述防禦技術中挑選一到兩項,然後從中挑選出 最適合您環境及商業需求的工具 完整說明: http://www.gss.com.tw/index.php/focus/security/1418-gss-0117-web-application-5 資料來源: Checkmarx 翻譯整理: 叡揚資訊 13
謝謝聆聽 Q&A www.gss.com.tw www.gsscloud.com

Recommended

Network miner 使ってみた
Network miner 使ってみたNetwork miner 使ってみた
Network miner 使ってみた彰 村地
 
フリーでできるセキュリティチェック OpenVAS CLI編
フリーでできるセキュリティチェック OpenVAS CLI編フリーでできるセキュリティチェック OpenVAS CLI編
フリーでできるセキュリティチェック OpenVAS CLI編abend_cve_9999_0001
 
Pcapngを読んでみる
Pcapngを読んでみるPcapngを読んでみる
Pcapngを読んでみるYagi Shinnosuke
 
セキュリティの都市伝説を暴く
セキュリティの都市伝説を暴くセキュリティの都市伝説を暴く
セキュリティの都市伝説を暴くHiroshi Tokumaru
 
Nmapの真実
Nmapの真実Nmapの真実
Nmapの真実abend_cve_9999_0001
 
CMSでのXSS to RCEを触ってみた
CMSでのXSS to RCEを触ってみたCMSでのXSS to RCEを触ってみた
CMSでのXSS to RCEを触ってみたadachi tomohiro
 
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点 PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点 zaki4649
 
これからのJDK/JVM 何を選ぶ?どう選ぶ?
これからのJDK/JVM 何を選ぶ?どう選ぶ?これからのJDK/JVM 何を選ぶ?どう選ぶ?
これからのJDK/JVM 何を選ぶ?どう選ぶ?Takahiro YAMADA
 

Recommended

Network miner 使ってみた
Network miner 使ってみたNetwork miner 使ってみた
Network miner 使ってみた彰 村地
 
フリーでできるセキュリティチェック OpenVAS CLI編
フリーでできるセキュリティチェック OpenVAS CLI編フリーでできるセキュリティチェック OpenVAS CLI編
フリーでできるセキュリティチェック OpenVAS CLI編abend_cve_9999_0001
 
Pcapngを読んでみる
Pcapngを読んでみるPcapngを読んでみる
Pcapngを読んでみるYagi Shinnosuke
 
セキュリティの都市伝説を暴く
セキュリティの都市伝説を暴くセキュリティの都市伝説を暴く
セキュリティの都市伝説を暴くHiroshi Tokumaru
 
Nmapの真実
Nmapの真実Nmapの真実
Nmapの真実abend_cve_9999_0001
 
CMSでのXSS to RCEを触ってみた
CMSでのXSS to RCEを触ってみたCMSでのXSS to RCEを触ってみた
CMSでのXSS to RCEを触ってみたadachi tomohiro
 
PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点 PenTesterが知っている危ないAWS環境の共通点
PenTesterが知っている危ないAWS環境の共通点 zaki4649
 
これからのJDK/JVM 何を選ぶ?どう選ぶ?
これからのJDK/JVM 何を選ぶ?どう選ぶ?これからのJDK/JVM 何を選ぶ?どう選ぶ?
これからのJDK/JVM 何を選ぶ?どう選ぶ?Takahiro YAMADA
 
Jenkins 2.0 Pipeline & Blue Ocean
Jenkins 2.0 Pipeline & Blue OceanJenkins 2.0 Pipeline & Blue Ocean
Jenkins 2.0 Pipeline & Blue OceanAkihiko Horiuchi
 
AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介
AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介
AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介KinoshitaHiroyuki1
 
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~apkiban
 
思ったほど怖くない! Haskell on JVM 超入門 #jjug_ccc #ccc_l8
思ったほど怖くない! Haskell on JVM 超入門 #jjug_ccc #ccc_l8思ったほど怖くない! Haskell on JVM 超入門 #jjug_ccc #ccc_l8
思ったほど怖くない! Haskell on JVM 超入門 #jjug_ccc #ccc_l8y_taka_23
 
ChatGPTのデータソースにPostgreSQLを使う(第42回PostgreSQLアンカンファレンス@オンライン 発表資料)
ChatGPTのデータソースにPostgreSQLを使う(第42回PostgreSQLアンカンファレンス@オンライン 発表資料)ChatGPTのデータソースにPostgreSQLを使う(第42回PostgreSQLアンカンファレンス@オンライン 発表資料)
ChatGPTのデータソースにPostgreSQLを使う(第42回PostgreSQLアンカンファレンス@オンライン 発表資料)NTT DATA Technology & Innovation
 
CyberChefの使い方(HamaCTF2019 WriteUp編)
CyberChefの使い方(HamaCTF2019 WriteUp編)CyberChefの使い方(HamaCTF2019 WriteUp編)
CyberChefの使い方(HamaCTF2019 WriteUp編)Shota Shinogi
 
Wireshark だけに頼らない! パケット解析ツールの紹介
Wireshark だけに頼らない! パケット解析ツールの紹介Wireshark だけに頼らない! パケット解析ツールの紹介
Wireshark だけに頼らない! パケット解析ツールの紹介morihisa
 
自動でバグを見つける!プログラム解析と動的バイナリ計装
自動でバグを見つける!プログラム解析と動的バイナリ計装自動でバグを見つける!プログラム解析と動的バイナリ計装
自動でバグを見つける!プログラム解析と動的バイナリ計装uchan_nos
 
とある診断員とAWS
とある診断員とAWSとある診断員とAWS
とある診断員とAWSzaki4649
 
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!zaki4649
 
GOの機械学習システムを支えるMLOps事例紹介
GOの機械学習システムを支えるMLOps事例紹介GOの機械学習システムを支えるMLOps事例紹介
GOの機械学習システムを支えるMLOps事例紹介Takashi Suzuki
 
私とOSSの25年
私とOSSの25年私とOSSの25年
私とOSSの25年MITSUNARI Shigeo
 
「おうちクラウド」が今熱い!
「おうちクラウド」が今熱い!「おうちクラウド」が今熱い!
「おうちクラウド」が今熱い!Hirotaka Sato
 
Locondo 20190215@ec tech_group
Locondo 20190215@ec tech_groupLocondo 20190215@ec tech_group
Locondo 20190215@ec tech_groupShinya Sugiyama
 
hbstudy#88 5G+MEC時代のシステム設計
hbstudy#88 5G+MEC時代のシステム設計hbstudy#88 5G+MEC時代のシステム設計
hbstudy#88 5G+MEC時代のシステム設計VirtualTech Japan Inc.
 
大規模ソーシャルゲームを支える技術~PHP+MySQLを使った高負荷対策~
大規模ソーシャルゲームを支える技術~PHP+MySQLを使った高負荷対策~大規模ソーシャルゲームを支える技術~PHP+MySQLを使った高負荷対策~
大規模ソーシャルゲームを支える技術~PHP+MySQLを使った高負荷対策~infinite_loop
 
「龍が如く7 光と闇の行方」の自動テスト活用事例とテスト自動化チーム(仮)による若手育成の取り組みについて
「龍が如く7 光と闇の行方」の自動テスト活用事例とテスト自動化チーム(仮)による若手育成の取り組みについて「龍が如く7 光と闇の行方」の自動テスト活用事例とテスト自動化チーム(仮)による若手育成の取り組みについて
「龍が如く7 光と闇の行方」の自動テスト活用事例とテスト自動化チーム(仮)による若手育成の取り組みについてSEGADevTech
 
AWSで実現するバックアップとディザスタリカバリ
AWSで実現するバックアップとディザスタリカバリAWSで実現するバックアップとディザスタリカバリ
AWSで実現するバックアップとディザスタリカバリAmazon Web Services Japan
 
PFSなTLS通信を復号する
PFSなTLS通信を復号するPFSなTLS通信を復号する
PFSなTLS通信を復号する稔 小林
 
SageMakerでもAUTOMATIC1111したい
SageMakerでもAUTOMATIC1111したいSageMakerでもAUTOMATIC1111したい
SageMakerでもAUTOMATIC1111したい真吾 吉田
 
系統05_從持續整合結合安全開發與變更管理 郭俐佳
系統05_從持續整合結合安全開發與變更管理 郭俐佳系統05_從持續整合結合安全開發與變更管理 郭俐佳
系統05_從持續整合結合安全開發與變更管理 郭俐佳Galaxy Software Services
 
雲端01_雲端服務家族的價值與經濟生態 林秋丹
雲端01_雲端服務家族的價值與經濟生態 林秋丹雲端01_雲端服務家族的價值與經濟生態 林秋丹
雲端01_雲端服務家族的價值與經濟生態 林秋丹Galaxy Software Services
 

More Related Content

What's hot

Jenkins 2.0 Pipeline & Blue Ocean
Jenkins 2.0 Pipeline & Blue OceanJenkins 2.0 Pipeline & Blue Ocean
Jenkins 2.0 Pipeline & Blue OceanAkihiko Horiuchi
 
AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介
AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介
AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介KinoshitaHiroyuki1
 
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~apkiban
 
思ったほど怖くない! Haskell on JVM 超入門 #jjug_ccc #ccc_l8
思ったほど怖くない! Haskell on JVM 超入門 #jjug_ccc #ccc_l8思ったほど怖くない! Haskell on JVM 超入門 #jjug_ccc #ccc_l8
思ったほど怖くない! Haskell on JVM 超入門 #jjug_ccc #ccc_l8y_taka_23
 
ChatGPTのデータソースにPostgreSQLを使う(第42回PostgreSQLアンカンファレンス@オンライン 発表資料)
ChatGPTのデータソースにPostgreSQLを使う(第42回PostgreSQLアンカンファレンス@オンライン 発表資料)ChatGPTのデータソースにPostgreSQLを使う(第42回PostgreSQLアンカンファレンス@オンライン 発表資料)
ChatGPTのデータソースにPostgreSQLを使う(第42回PostgreSQLアンカンファレンス@オンライン 発表資料)NTT DATA Technology & Innovation
 
CyberChefの使い方(HamaCTF2019 WriteUp編)
CyberChefの使い方(HamaCTF2019 WriteUp編)CyberChefの使い方(HamaCTF2019 WriteUp編)
CyberChefの使い方(HamaCTF2019 WriteUp編)Shota Shinogi
 
Wireshark だけに頼らない! パケット解析ツールの紹介
Wireshark だけに頼らない! パケット解析ツールの紹介Wireshark だけに頼らない! パケット解析ツールの紹介
Wireshark だけに頼らない! パケット解析ツールの紹介morihisa
 
自動でバグを見つける!プログラム解析と動的バイナリ計装
自動でバグを見つける!プログラム解析と動的バイナリ計装自動でバグを見つける!プログラム解析と動的バイナリ計装
自動でバグを見つける!プログラム解析と動的バイナリ計装uchan_nos
 
とある診断員とAWS
とある診断員とAWSとある診断員とAWS
とある診断員とAWSzaki4649
 
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!zaki4649
 
GOの機械学習システムを支えるMLOps事例紹介
GOの機械学習システムを支えるMLOps事例紹介GOの機械学習システムを支えるMLOps事例紹介
GOの機械学習システムを支えるMLOps事例紹介Takashi Suzuki
 
「おうちクラウド」が今熱い!
「おうちクラウド」が今熱い!「おうちクラウド」が今熱い!
「おうちクラウド」が今熱い!Hirotaka Sato
 
Locondo 20190215@ec tech_group
Locondo 20190215@ec tech_groupLocondo 20190215@ec tech_group
Locondo 20190215@ec tech_groupShinya Sugiyama
 
hbstudy#88 5G+MEC時代のシステム設計
hbstudy#88 5G+MEC時代のシステム設計hbstudy#88 5G+MEC時代のシステム設計
hbstudy#88 5G+MEC時代のシステム設計VirtualTech Japan Inc.
 
大規模ソーシャルゲームを支える技術~PHP+MySQLを使った高負荷対策~
大規模ソーシャルゲームを支える技術~PHP+MySQLを使った高負荷対策~大規模ソーシャルゲームを支える技術~PHP+MySQLを使った高負荷対策~
大規模ソーシャルゲームを支える技術~PHP+MySQLを使った高負荷対策~infinite_loop
 
「龍が如く7 光と闇の行方」の自動テスト活用事例とテスト自動化チーム(仮)による若手育成の取り組みについて
「龍が如く7 光と闇の行方」の自動テスト活用事例とテスト自動化チーム(仮)による若手育成の取り組みについて「龍が如く7 光と闇の行方」の自動テスト活用事例とテスト自動化チーム(仮)による若手育成の取り組みについて
「龍が如く7 光と闇の行方」の自動テスト活用事例とテスト自動化チーム(仮)による若手育成の取り組みについてSEGADevTech
 
AWSで実現するバックアップとディザスタリカバリ
AWSで実現するバックアップとディザスタリカバリAWSで実現するバックアップとディザスタリカバリ
AWSで実現するバックアップとディザスタリカバリAmazon Web Services Japan
 
PFSなTLS通信を復号する
PFSなTLS通信を復号するPFSなTLS通信を復号する
PFSなTLS通信を復号する稔 小林
 
SageMakerでもAUTOMATIC1111したい
SageMakerでもAUTOMATIC1111したいSageMakerでもAUTOMATIC1111したい
SageMakerでもAUTOMATIC1111したい真吾 吉田
 

What's hot (20)

Jenkins 2.0 Pipeline & Blue Ocean
Jenkins 2.0 Pipeline & Blue OceanJenkins 2.0 Pipeline & Blue Ocean
Jenkins 2.0 Pipeline & Blue Ocean
 
AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介
AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介
AWSでのPCI DSS準拠決定版! PCI DSS Ready Cloud AWSモデルのご紹介
 
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
脆弱性の探し方 ~発見と対応のノウハウ in NTTDATA~
 
思ったほど怖くない! Haskell on JVM 超入門 #jjug_ccc #ccc_l8
思ったほど怖くない! Haskell on JVM 超入門 #jjug_ccc #ccc_l8思ったほど怖くない! Haskell on JVM 超入門 #jjug_ccc #ccc_l8
思ったほど怖くない! Haskell on JVM 超入門 #jjug_ccc #ccc_l8
 
ChatGPTのデータソースにPostgreSQLを使う(第42回PostgreSQLアンカンファレンス@オンライン 発表資料)
ChatGPTのデータソースにPostgreSQLを使う(第42回PostgreSQLアンカンファレンス@オンライン 発表資料)ChatGPTのデータソースにPostgreSQLを使う(第42回PostgreSQLアンカンファレンス@オンライン 発表資料)
ChatGPTのデータソースにPostgreSQLを使う(第42回PostgreSQLアンカンファレンス@オンライン 発表資料)
 
CyberChefの使い方(HamaCTF2019 WriteUp編)
CyberChefの使い方(HamaCTF2019 WriteUp編)CyberChefの使い方(HamaCTF2019 WriteUp編)
CyberChefの使い方(HamaCTF2019 WriteUp編)
 
Wireshark だけに頼らない! パケット解析ツールの紹介
Wireshark だけに頼らない! パケット解析ツールの紹介Wireshark だけに頼らない! パケット解析ツールの紹介
Wireshark だけに頼らない! パケット解析ツールの紹介
 
自動でバグを見つける!プログラム解析と動的バイナリ計装
自動でバグを見つける!プログラム解析と動的バイナリ計装自動でバグを見つける!プログラム解析と動的バイナリ計装
自動でバグを見つける!プログラム解析と動的バイナリ計装
 
とある診断員とAWS
とある診断員とAWSとある診断員とAWS
とある診断員とAWS
 
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
 
GOの機械学習システムを支えるMLOps事例紹介
GOの機械学習システムを支えるMLOps事例紹介GOの機械学習システムを支えるMLOps事例紹介
GOの機械学習システムを支えるMLOps事例紹介
 
私とOSSの25年
私とOSSの25年私とOSSの25年
私とOSSの25年
 
「おうちクラウド」が今熱い!
「おうちクラウド」が今熱い!「おうちクラウド」が今熱い!
「おうちクラウド」が今熱い!
 
Locondo 20190215@ec tech_group
Locondo 20190215@ec tech_groupLocondo 20190215@ec tech_group
Locondo 20190215@ec tech_group
 
hbstudy#88 5G+MEC時代のシステム設計
hbstudy#88 5G+MEC時代のシステム設計hbstudy#88 5G+MEC時代のシステム設計
hbstudy#88 5G+MEC時代のシステム設計
 
大規模ソーシャルゲームを支える技術~PHP+MySQLを使った高負荷対策~
大規模ソーシャルゲームを支える技術~PHP+MySQLを使った高負荷対策~大規模ソーシャルゲームを支える技術~PHP+MySQLを使った高負荷対策~
大規模ソーシャルゲームを支える技術~PHP+MySQLを使った高負荷対策~
 
「龍が如く7 光と闇の行方」の自動テスト活用事例とテスト自動化チーム(仮)による若手育成の取り組みについて
「龍が如く7 光と闇の行方」の自動テスト活用事例とテスト自動化チーム(仮)による若手育成の取り組みについて「龍が如く7 光と闇の行方」の自動テスト活用事例とテスト自動化チーム(仮)による若手育成の取り組みについて
「龍が如く7 光と闇の行方」の自動テスト活用事例とテスト自動化チーム(仮)による若手育成の取り組みについて
 
AWSで実現するバックアップとディザスタリカバリ
AWSで実現するバックアップとディザスタリカバリAWSで実現するバックアップとディザスタリカバリ
AWSで実現するバックアップとディザスタリカバリ
 
PFSなTLS通信を復号する
PFSなTLS通信を復号するPFSなTLS通信を復号する
PFSなTLS通信を復号する
 
SageMakerでもAUTOMATIC1111したい
SageMakerでもAUTOMATIC1111したいSageMakerでもAUTOMATIC1111したい
SageMakerでもAUTOMATIC1111したい
 

Viewers also liked

系統05_從持續整合結合安全開發與變更管理 郭俐佳
系統05_從持續整合結合安全開發與變更管理 郭俐佳系統05_從持續整合結合安全開發與變更管理 郭俐佳
系統05_從持續整合結合安全開發與變更管理 郭俐佳Galaxy Software Services
 
雲端01_雲端服務家族的價值與經濟生態 林秋丹
雲端01_雲端服務家族的價值與經濟生態 林秋丹雲端01_雲端服務家族的價值與經濟生態 林秋丹
雲端01_雲端服務家族的價值與經濟生態 林秋丹Galaxy Software Services
 
雲端05_如何在雲端管理研發知識以廣義智控為例 曾廣輝
雲端05_如何在雲端管理研發知識以廣義智控為例 曾廣輝雲端05_如何在雲端管理研發知識以廣義智控為例 曾廣輝
雲端05_如何在雲端管理研發知識以廣義智控為例 曾廣輝Galaxy Software Services
 
雲端04_會計服務未來式整合雲端新趨勢 張宏尉
雲端04_會計服務未來式整合雲端新趨勢 張宏尉雲端04_會計服務未來式整合雲端新趨勢 張宏尉
雲端04_會計服務未來式整合雲端新趨勢 張宏尉Galaxy Software Services
 
永遠別忘了老客戶和好口碑的重要性
永遠別忘了老客戶和好口碑的重要性永遠別忘了老客戶和好口碑的重要性
永遠別忘了老客戶和好口碑的重要性Galaxy Software Services
 
由根紮起的深研發成果報告 張培鏞
由根紮起的深研發成果報告 張培鏞由根紮起的深研發成果報告 張培鏞
由根紮起的深研發成果報告 張培鏞Galaxy Software Services
 
Line with the UI DESIGN TREND 符合時代的介面設計潮流-李宗青
Line with the UI DESIGN TREND 符合時代的介面設計潮流-李宗青Line with the UI DESIGN TREND 符合時代的介面設計潮流-李宗青
Line with the UI DESIGN TREND 符合時代的介面設計潮流-李宗青Galaxy Software Services
 
Makalah Perancangan ERD & LRS Pada Sistem Pemesanan Hotel
Makalah Perancangan ERD & LRS Pada Sistem Pemesanan HotelMakalah Perancangan ERD & LRS Pada Sistem Pemesanan Hotel
Makalah Perancangan ERD & LRS Pada Sistem Pemesanan HotelMuhammad Iqbal
 

Viewers also liked (12)

系統05_從持續整合結合安全開發與變更管理 郭俐佳
系統05_從持續整合結合安全開發與變更管理 郭俐佳系統05_從持續整合結合安全開發與變更管理 郭俐佳
系統05_從持續整合結合安全開發與變更管理 郭俐佳
 
雲端01_雲端服務家族的價值與經濟生態 林秋丹
雲端01_雲端服務家族的價值與經濟生態 林秋丹雲端01_雲端服務家族的價值與經濟生態 林秋丹
雲端01_雲端服務家族的價值與經濟生態 林秋丹
 
雲端05_如何在雲端管理研發知識以廣義智控為例 曾廣輝
雲端05_如何在雲端管理研發知識以廣義智控為例 曾廣輝雲端05_如何在雲端管理研發知識以廣義智控為例 曾廣輝
雲端05_如何在雲端管理研發知識以廣義智控為例 曾廣輝
 
雲端04_會計服務未來式整合雲端新趨勢 張宏尉
雲端04_會計服務未來式整合雲端新趨勢 張宏尉雲端04_會計服務未來式整合雲端新趨勢 張宏尉
雲端04_會計服務未來式整合雲端新趨勢 張宏尉
 
永遠別忘了老客戶和好口碑的重要性
永遠別忘了老客戶和好口碑的重要性永遠別忘了老客戶和好口碑的重要性
永遠別忘了老客戶和好口碑的重要性
 
軟體安全防護大作戰
軟體安全防護大作戰軟體安全防護大作戰
軟體安全防護大作戰
 
全方位 Vital 雲端服務家族
全方位 Vital 雲端服務家族全方位 Vital 雲端服務家族
全方位 Vital 雲端服務家族
 
叡揚雲端服務願景與成果
叡揚雲端服務願景與成果叡揚雲端服務願景與成果
叡揚雲端服務願景與成果
 
由根紮起的深研發成果報告 張培鏞
由根紮起的深研發成果報告 張培鏞由根紮起的深研發成果報告 張培鏞
由根紮起的深研發成果報告 張培鏞
 
Line with the UI DESIGN TREND 符合時代的介面設計潮流-李宗青
Line with the UI DESIGN TREND 符合時代的介面設計潮流-李宗青Line with the UI DESIGN TREND 符合時代的介面設計潮流-李宗青
Line with the UI DESIGN TREND 符合時代的介面設計潮流-李宗青
 
The power of digital minds 張瑞雄
The power of digital minds 張瑞雄The power of digital minds 張瑞雄
The power of digital minds 張瑞雄
 
Makalah Perancangan ERD & LRS Pada Sistem Pemesanan Hotel
Makalah Perancangan ERD & LRS Pada Sistem Pemesanan HotelMakalah Perancangan ERD & LRS Pada Sistem Pemesanan Hotel
Makalah Perancangan ERD & LRS Pada Sistem Pemesanan Hotel
 

Similar to 應用系統安全常見的5種資安防護措施

分布式系统测试实践
分布式系统测试实践分布式系统测试实践
分布式系统测试实践drewz lin
 
議題三:政府網站常見弱點與分析
議題三:政府網站常見弱點與分析議題三:政府網站常見弱點與分析
議題三:政府網站常見弱點與分析Nicolas su
 
Rsa2012 下一代安全的战略思考-绿盟科技赵粮
Rsa2012 下一代安全的战略思考-绿盟科技赵粮Rsa2012 下一代安全的战略思考-绿盟科技赵粮
Rsa2012 下一代安全的战略思考-绿盟科技赵粮NSFOCUS
 
滲透測試資訊安全顧問服務
滲透測試資訊安全顧問服務滲透測試資訊安全顧問服務
滲透測試資訊安全顧問服務Wanhung Chou
 
baidu fuye
baidu fuyebaidu fuye
baidu fuyedachmx
 
百度 fuye
百度 fuye百度 fuye
百度 fuyedachmx
 
11/14王團研究室—安全大師王團論毒 in台中
11/14王團研究室—安全大師王團論毒 in台中11/14王團研究室—安全大師王團論毒 in台中
11/14王團研究室—安全大師王團論毒 in台中T客邦
 
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢T客邦
 
使安全成為軟體開發必要部分
使安全成為軟體開發必要部分使安全成為軟體開發必要部分
使安全成為軟體開發必要部分Taien Wang
 
渗透测试思路技术与方法
渗透测试思路技术与方法渗透测试思路技术与方法
渗透测试思路技术与方法
 
组网与网络管理技术(第四章)
组网与网络管理技术(第四章)组网与网络管理技术(第四章)
组网与网络管理技术(第四章)telab
 
滲透測試簡述(資訊安全顧問服務)
滲透測試簡述(資訊安全顧問服務)滲透測試簡述(資訊安全顧問服務)
滲透測試簡述(資訊安全顧問服務)wanhung1911
 
Duannian agile
Duannian agileDuannian agile
Duannian agiled0nn9n
 
手机自动化测试解决方案
手机自动化测试解决方案手机自动化测试解决方案
手机自动化测试解决方案懿民 施
 
From Principle to Practice
From Principle to PracticeFrom Principle to Practice
From Principle to PracticeJordan Pan
 
服务器性能测试介绍
服务器性能测试介绍服务器性能测试介绍
服务器性能测试介绍Paro Yin
 
赛诺朗基全局事件管理
赛诺朗基全局事件管理赛诺朗基全局事件管理
赛诺朗基全局事件管理Mktg
 
测试快照
测试快照测试快照
测试快照jacquesqj
 
22
2222
2242qu
 
铺开业务看应用防护
铺开业务看应用防护铺开业务看应用防护
铺开业务看应用防护Jordan Pan
 

Similar to 應用系統安全常見的5種資安防護措施 (20)

分布式系统测试实践
分布式系统测试实践分布式系统测试实践
分布式系统测试实践
 
議題三:政府網站常見弱點與分析
議題三:政府網站常見弱點與分析議題三:政府網站常見弱點與分析
議題三:政府網站常見弱點與分析
 
Rsa2012 下一代安全的战略思考-绿盟科技赵粮
Rsa2012 下一代安全的战略思考-绿盟科技赵粮Rsa2012 下一代安全的战略思考-绿盟科技赵粮
Rsa2012 下一代安全的战略思考-绿盟科技赵粮
 
滲透測試資訊安全顧問服務
滲透測試資訊安全顧問服務滲透測試資訊安全顧問服務
滲透測試資訊安全顧問服務
 
baidu fuye
baidu fuyebaidu fuye
baidu fuye
 
百度 fuye
百度 fuye百度 fuye
百度 fuye
 
11/14王團研究室—安全大師王團論毒 in台中
11/14王團研究室—安全大師王團論毒 in台中11/14王團研究室—安全大師王團論毒 in台中
11/14王團研究室—安全大師王團論毒 in台中
 
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
 
使安全成為軟體開發必要部分
使安全成為軟體開發必要部分使安全成為軟體開發必要部分
使安全成為軟體開發必要部分
 
渗透测试思路技术与方法
渗透测试思路技术与方法渗透测试思路技术与方法
渗透测试思路技术与方法
 
组网与网络管理技术(第四章)
组网与网络管理技术(第四章)组网与网络管理技术(第四章)
组网与网络管理技术(第四章)
 
滲透測試簡述(資訊安全顧問服務)
滲透測試簡述(資訊安全顧問服務)滲透測試簡述(資訊安全顧問服務)
滲透測試簡述(資訊安全顧問服務)
 
Duannian agile
Duannian agileDuannian agile
Duannian agile
 
手机自动化测试解决方案
手机自动化测试解决方案手机自动化测试解决方案
手机自动化测试解决方案
 
From Principle to Practice
From Principle to PracticeFrom Principle to Practice
From Principle to Practice
 
服务器性能测试介绍
服务器性能测试介绍服务器性能测试介绍
服务器性能测试介绍
 
赛诺朗基全局事件管理
赛诺朗基全局事件管理赛诺朗基全局事件管理
赛诺朗基全局事件管理
 
测试快照
测试快照测试快照
测试快照
 
22
2222
22
 
铺开业务看应用防护
铺开业务看应用防护铺开业务看应用防护
铺开业务看应用防护
 

More from Galaxy Software Services

2_人見人愛的control-m作業請求流程
2_人見人愛的control-m作業請求流程2_人見人愛的control-m作業請求流程
2_人見人愛的control-m作業請求流程Galaxy Software Services
 
全面控管檔案傳輸 揭開成功秘辛
全面控管檔案傳輸 揭開成功秘辛全面控管檔案傳輸 揭開成功秘辛
全面控管檔案傳輸 揭開成功秘辛Galaxy Software Services
 
洞悉檔案傳輸困境 掌握解決方案
洞悉檔案傳輸困境 掌握解決方案洞悉檔案傳輸困境 掌握解決方案
洞悉檔案傳輸困境 掌握解決方案Galaxy Software Services
 
系統02_關鍵的「特權+資料安全」最後一哩防線 解忠翰
系統02_關鍵的「特權+資料安全」最後一哩防線 解忠翰系統02_關鍵的「特權+資料安全」最後一哩防線 解忠翰
系統02_關鍵的「特權+資料安全」最後一哩防線 解忠翰Galaxy Software Services
 
雲端06_兩岸三地的雲服務就選mail cloud-闕伊材
雲端06_兩岸三地的雲服務就選mail cloud-闕伊材雲端06_兩岸三地的雲服務就選mail cloud-闕伊材
雲端06_兩岸三地的雲服務就選mail cloud-闕伊材Galaxy Software Services
 
雲端02_「阿米計畫」一起揪團做公益吧 杜明翰
雲端02_「阿米計畫」一起揪團做公益吧 杜明翰雲端02_「阿米計畫」一起揪團做公益吧 杜明翰
雲端02_「阿米計畫」一起揪團做公益吧 杜明翰Galaxy Software Services
 
安心上雲端 商務創新無極限 劉念臻
安心上雲端 商務創新無極限 劉念臻安心上雲端 商務創新無極限 劉念臻
安心上雲端 商務創新無極限 劉念臻Galaxy Software Services
 
應用03_未來辦公室的創新工作圈 李政權
應用03_未來辦公室的創新工作圈 李政權應用03_未來辦公室的創新工作圈 李政權
應用03_未來辦公室的創新工作圈 李政權Galaxy Software Services
 
10個步驟保護敏捷開發:應用程式安全的作業方法
10個步驟保護敏捷開發:應用程式安全的作業方法10個步驟保護敏捷開發:應用程式安全的作業方法
10個步驟保護敏捷開發:應用程式安全的作業方法Galaxy Software Services
 

More from Galaxy Software Services (19)

2_人見人愛的control-m作業請求流程
2_人見人愛的control-m作業請求流程2_人見人愛的control-m作業請求流程
2_人見人愛的control-m作業請求流程
 
1_overall
1_overall1_overall
1_overall
 
GSSDLC - Bruce (20170817)
GSSDLC - Bruce (20170817)GSSDLC - Bruce (20170817)
GSSDLC - Bruce (20170817)
 
行動應用App管理 (MAM)
行動應用App管理 (MAM) 行動應用App管理 (MAM)
行動應用App管理 (MAM)
 
全面控管檔案傳輸 揭開成功秘辛
全面控管檔案傳輸 揭開成功秘辛全面控管檔案傳輸 揭開成功秘辛
全面控管檔案傳輸 揭開成功秘辛
 
MFT sharing
MFT sharingMFT sharing
MFT sharing
 
洞悉檔案傳輸困境 掌握解決方案
洞悉檔案傳輸困境 掌握解決方案洞悉檔案傳輸困境 掌握解決方案
洞悉檔案傳輸困境 掌握解決方案
 
系統02_關鍵的「特權+資料安全」最後一哩防線 解忠翰
系統02_關鍵的「特權+資料安全」最後一哩防線 解忠翰系統02_關鍵的「特權+資料安全」最後一哩防線 解忠翰
系統02_關鍵的「特權+資料安全」最後一哩防線 解忠翰
 
雲端06_兩岸三地的雲服務就選mail cloud-闕伊材
雲端06_兩岸三地的雲服務就選mail cloud-闕伊材雲端06_兩岸三地的雲服務就選mail cloud-闕伊材
雲端06_兩岸三地的雲服務就選mail cloud-闕伊材
 
雲端02_「阿米計畫」一起揪團做公益吧 杜明翰
雲端02_「阿米計畫」一起揪團做公益吧 杜明翰雲端02_「阿米計畫」一起揪團做公益吧 杜明翰
雲端02_「阿米計畫」一起揪團做公益吧 杜明翰
 
安心上雲端 商務創新無極限 劉念臻
安心上雲端 商務創新無極限 劉念臻安心上雲端 商務創新無極限 劉念臻
安心上雲端 商務創新無極限 劉念臻
 
應用03_未來辦公室的創新工作圈 李政權
應用03_未來辦公室的創新工作圈 李政權應用03_未來辦公室的創新工作圈 李政權
應用03_未來辦公室的創新工作圈 李政權
 
10個步驟保護敏捷開發:應用程式安全的作業方法
10個步驟保護敏捷開發:應用程式安全的作業方法10個步驟保護敏捷開發:應用程式安全的作業方法
10個步驟保護敏捷開發:應用程式安全的作業方法
 
未來的人才 人才的未來
未來的人才 人才的未來未來的人才 人才的未來
未來的人才 人才的未來
 
重視弱點管理 強化系統安全
重視弱點管理 強化系統安全重視弱點管理 強化系統安全
重視弱點管理 強化系統安全
 
資安健檢因應配套
資安健檢因應配套資安健檢因應配套
資安健檢因應配套
 
team kube 高效會議應用分享
team kube 高效會議應用分享team kube 高效會議應用分享
team kube 高效會議應用分享
 
維持企業巧實力 傳承與執行力
維持企業巧實力 傳承與執行力維持企業巧實力 傳承與執行力
維持企業巧實力 傳承與執行力
 
生產力4.0科技發展策略
生產力4.0科技發展策略生產力4.0科技發展策略
生產力4.0科技發展策略
 

應用系統安全常見的5種資安防護措施

  • 1. 一次弄懂網頁應用系統(Web Application) 5 種資安防護措施 1 PT 滲透測試 WAF 網頁應用程式防火牆 DAST 黑箱動態弱點掃描  SAST 白箱靜態源碼掃描  IAST 互動式安全測試
  • 2. 2
  • 3. 滲透測試 (Penetration Testing, PT)  何謂滲透測試  透過模擬駭客行為來操作組織的系統及程序  滲透測試包含了橫跨所有層級的手動及自動程序  由企業內部滲透測試小組或是委外顧問服務執行  定期執行 3
  • 4. 滲透測試 (Penetration Testing, PT)  滲透測試優勢效益  測試範圍廣  人工測試比起照表操課的程序更靈活  滲透測試缺點  只能提供特定範圍、時間點內運行時的安全狀態  無法在合理的時間內針對所有程序、平台、情境進行 測試  所需時間長  滲透測試需要特殊的專業知識和時間 4
  • 5. 網頁應用系統防火牆 (Web Application Firewall, WAF)  何謂WAF  放置在應用系統之前  用來即時檢查來自網路的請求內容  若請求內容有攻擊傾向即將其阻擋,否則正常運作 5
  • 6. 網頁應用系統防火牆 (Web Application Firewall, WAF)  WAF 優勢效益  阻擋模式運作時能夠即時保護組織架構  深入觀察實際的威脅  能夠阻擋商業邏輯攻擊 (Business Logic Attacks, BLAs),例如應用層的阻斷服務攻擊(DDoS)  受開發者developer 歡迎  WAF 缺點  不能解決問題  需為保護的應用系統客製化  也會阻擋合法的請求  只對網頁應用系統(Web Application)有效 6
  • 7. 黑箱動態弱點掃描 (Dynamic Application Security Testing, DAST)  亦常稱為動態應用系統安全測試/ 網站黑箱掃描/ 動態測試/ 弱點掃描  何謂動態應用系統安全測試  針對網頁應用系統  輸入不同的輸入值來檢查應用系統 是否有暴露的漏洞  依照一份事先定義的弱點清單 去嘗試破解目標 7
  • 8. 黑箱動態弱點掃描 (Dynamic Application Security Testing, DAST)  應用系統安全測試 優勢效益  揭露一些只有在運行中才會顯露出的漏洞  與第三方程式整合  應用系統安全測試 缺點  能找到的漏洞有限  無法完整包含整個應用系統  任何程式改動都需要重新掃描 8
  • 9. 白箱靜態源碼掃描 (Static Application Security Testing, SAST)  屬於「應用系統網站弱點掃描」的一種,亦常稱 為靜態應用系統安全測試、白箱測試、源碼檢測  何謂靜態源碼掃描  檢查應用系統的原始碼(source code)來找出安全漏洞  能以更多元的角度去檢查程式流中可能被攻擊者所發 現的漏洞 9
  • 10. 白箱靜態源碼掃描 (Static Application Security Testing, SAST)  靜態源碼掃描 優勢效益  能在開發階段及早修復問題,比起事後修補容易  弱點可從原始碼中直接修正  測試範圍包含了各種程式語言  合穿插在各種開發環境和模型中(Waterfall、Agile和 DevOps)  靜態源碼掃描 缺點  誤判  會回報一些不被外部(攻擊者)發現的問題  結果有分風險等級,但不知道目前哪個弱點受攻擊者鎖定 10
  • 11. 互動式應用系統安全測試 (Integrated/Intrinsic/Interactive Application Security Testing, IAST)  亦稱為整合式應用系統安全測試  何謂IAST  結合了SAST(源碼檢測)和DAST(黑箱動態測試)的技術  需要受檢測的應用系統所需的設備或是運行環境  需要原始碼、及各種監控設備 11
  • 12. 互動式應用系統安全測試 (Integrated/Intrinsic/Interactive Application Security Testing, IAST)  IAST 優勢效益  擁有和DAST相同的效益  且能夠回報無聲攻擊  指出產生弱點的程式碼位址  IAST 缺點  需要安裝Agent軟體  缺乏自動化  精確度及弱點覆蓋率較低  可能產生誤判或漏判 12
  • 13. 應用系統安全總結 : 建立階層式的防禦  沒有任何一個解決方案可以100% 完整保護  理想的應用系統安全策略應該從開發階段開始  接著在主要系統上放置WAF、週期性地進行滲透測試, 然後在程式碼變動時檢查程式碼  建議從上述防禦技術中挑選一到兩項,然後從中挑選出 最適合您環境及商業需求的工具 完整說明: http://www.gss.com.tw/index.php/focus/security/1418-gss-0117-web-application-5 資料來源: Checkmarx 翻譯整理: 叡揚資訊 13