SlideShare a Scribd company logo

應用系統安全常見的5種資安防護措施

Galaxy Software Services
Galaxy Software Services

本篇介紹的是各種網頁應用系統的安全工具(滲透測試、弱點掃描、源碼檢測、WAF、IAST),而標示出重要的選擇依據來幫助各位選擇適合自己環境的應用系統安全技術

Software
1 of 14
Download to read offline
一次弄懂網頁應用系統(Web Application) 5 種資安防護措施 1 PT 滲透測試 WAF 網頁應用程式防火牆 DAST 黑箱動態弱點掃描  SAST 白箱靜態源碼掃描  IAST 互動式安全測試
2
滲透測試 (Penetration Testing, PT)  何謂滲透測試  透過模擬駭客行為來操作組織的系統及程序  滲透測試包含了橫跨所有層級的手動及自動程序  由企業內部滲透測試小組或是委外顧問服務執行  定期執行 3
滲透測試 (Penetration Testing, PT)  滲透測試優勢效益  測試範圍廣  人工測試比起照表操課的程序更靈活  滲透測試缺點  只能提供特定範圍、時間點內運行時的安全狀態  無法在合理的時間內針對所有程序、平台、情境進行 測試  所需時間長  滲透測試需要特殊的專業知識和時間 4
網頁應用系統防火牆 (Web Application Firewall, WAF)  何謂WAF  放置在應用系統之前  用來即時檢查來自網路的請求內容  若請求內容有攻擊傾向即將其阻擋,否則正常運作 5
網頁應用系統防火牆 (Web Application Firewall, WAF)  WAF 優勢效益  阻擋模式運作時能夠即時保護組織架構  深入觀察實際的威脅  能夠阻擋商業邏輯攻擊 (Business Logic Attacks, BLAs),例如應用層的阻斷服務攻擊(DDoS)  受開發者developer 歡迎  WAF 缺點  不能解決問題  需為保護的應用系統客製化  也會阻擋合法的請求  只對網頁應用系統(Web Application)有效 6
黑箱動態弱點掃描 (Dynamic Application Security Testing, DAST)  亦常稱為動態應用系統安全測試/ 網站黑箱掃描/ 動態測試/ 弱點掃描  何謂動態應用系統安全測試  針對網頁應用系統  輸入不同的輸入值來檢查應用系統 是否有暴露的漏洞  依照一份事先定義的弱點清單 去嘗試破解目標 7
黑箱動態弱點掃描 (Dynamic Application Security Testing, DAST)  應用系統安全測試 優勢效益  揭露一些只有在運行中才會顯露出的漏洞  與第三方程式整合  應用系統安全測試 缺點  能找到的漏洞有限  無法完整包含整個應用系統  任何程式改動都需要重新掃描 8
白箱靜態源碼掃描 (Static Application Security Testing, SAST)  屬於「應用系統網站弱點掃描」的一種,亦常稱 為靜態應用系統安全測試、白箱測試、源碼檢測  何謂靜態源碼掃描  檢查應用系統的原始碼(source code)來找出安全漏洞  能以更多元的角度去檢查程式流中可能被攻擊者所發 現的漏洞 9
白箱靜態源碼掃描 (Static Application Security Testing, SAST)  靜態源碼掃描 優勢效益  能在開發階段及早修復問題,比起事後修補容易  弱點可從原始碼中直接修正  測試範圍包含了各種程式語言  合穿插在各種開發環境和模型中(Waterfall、Agile和 DevOps)  靜態源碼掃描 缺點  誤判  會回報一些不被外部(攻擊者)發現的問題  結果有分風險等級,但不知道目前哪個弱點受攻擊者鎖定 10
互動式應用系統安全測試 (Integrated/Intrinsic/Interactive Application Security Testing, IAST)  亦稱為整合式應用系統安全測試  何謂IAST  結合了SAST(源碼檢測)和DAST(黑箱動態測試)的技術  需要受檢測的應用系統所需的設備或是運行環境  需要原始碼、及各種監控設備 11
互動式應用系統安全測試 (Integrated/Intrinsic/Interactive Application Security Testing, IAST)  IAST 優勢效益  擁有和DAST相同的效益  且能夠回報無聲攻擊  指出產生弱點的程式碼位址  IAST 缺點  需要安裝Agent軟體  缺乏自動化  精確度及弱點覆蓋率較低  可能產生誤判或漏判 12
應用系統安全總結 : 建立階層式的防禦  沒有任何一個解決方案可以100% 完整保護  理想的應用系統安全策略應該從開發階段開始  接著在主要系統上放置WAF、週期性地進行滲透測試, 然後在程式碼變動時檢查程式碼  建議從上述防禦技術中挑選一到兩項,然後從中挑選出 最適合您環境及商業需求的工具 完整說明: http://www.gss.com.tw/index.php/focus/security/1418-gss-0117-web-application-5 資料來源: Checkmarx 翻譯整理: 叡揚資訊 13
謝謝聆聽 Q&A www.gss.com.tw www.gsscloud.com

Recommended

以自動化先行的 DevOps 實踐經驗分享
以自動化先行的 DevOps 實踐經驗分享以自動化先行的 DevOps 實踐經驗分享
以自動化先行的 DevOps 實踐經驗分享Chen Cheng-Wei
 
明日からはじめられる Docker + さくらvpsを使った開発環境構築
明日からはじめられる Docker + さくらvpsを使った開発環境構築明日からはじめられる Docker + さくらvpsを使った開発環境構築
明日からはじめられる Docker + さくらvpsを使った開発環境構築MILI-LLC
 
ドメイン駆動設計入門
ドメイン駆動設計入門ドメイン駆動設計入門
ドメイン駆動設計入門Takuya Kitamura
 
IT エンジニアのための 流し読み Windows 10 - Windows Hello for Business
IT エンジニアのための 流し読み Windows 10 - Windows Hello for BusinessIT エンジニアのための 流し読み Windows 10 - Windows Hello for Business
IT エンジニアのための 流し読み Windows 10 - Windows Hello for BusinessTAKUYA OHTA
 
DevOpsにおけるAnsibleの立ち位置と使い所
DevOpsにおけるAnsibleの立ち位置と使い所DevOpsにおけるAnsibleの立ち位置と使い所
DevOpsにおけるAnsibleの立ち位置と使い所Hidetoshi Hirokawa
 
Git flowの活用事例
Git flowの活用事例Git flowの活用事例
Git flowの活用事例Hirohito Kato
 
私がなぜZscalerに?
私がなぜZscalerに?私がなぜZscalerに?
私がなぜZscalerに?Takayoshi Takaoka
 
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)Trainocate Japan, Ltd.
 

Recommended

以自動化先行的 DevOps 實踐經驗分享
以自動化先行的 DevOps 實踐經驗分享以自動化先行的 DevOps 實踐經驗分享
以自動化先行的 DevOps 實踐經驗分享Chen Cheng-Wei
 
明日からはじめられる Docker + さくらvpsを使った開発環境構築
明日からはじめられる Docker + さくらvpsを使った開発環境構築明日からはじめられる Docker + さくらvpsを使った開発環境構築
明日からはじめられる Docker + さくらvpsを使った開発環境構築MILI-LLC
 
ドメイン駆動設計入門
ドメイン駆動設計入門ドメイン駆動設計入門
ドメイン駆動設計入門Takuya Kitamura
 
IT エンジニアのための 流し読み Windows 10 - Windows Hello for Business
IT エンジニアのための 流し読み Windows 10 - Windows Hello for BusinessIT エンジニアのための 流し読み Windows 10 - Windows Hello for Business
IT エンジニアのための 流し読み Windows 10 - Windows Hello for BusinessTAKUYA OHTA
 
DevOpsにおけるAnsibleの立ち位置と使い所
DevOpsにおけるAnsibleの立ち位置と使い所DevOpsにおけるAnsibleの立ち位置と使い所
DevOpsにおけるAnsibleの立ち位置と使い所Hidetoshi Hirokawa
 
Git flowの活用事例
Git flowの活用事例Git flowの活用事例
Git flowの活用事例Hirohito Kato
 
私がなぜZscalerに?
私がなぜZscalerに?私がなぜZscalerに?
私がなぜZscalerに?Takayoshi Takaoka
 
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)Trainocate Japan, Ltd.
 
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開Muneaki Nishimura
 
負荷試験ツールlocustを使おう
負荷試験ツールlocustを使おう負荷試験ツールlocustを使おう
負荷試験ツールlocustを使おうiRidge, Inc.
 
ログ+メトリック+トレースの組み合わせで構築する一元的なオブザーバビリティ
ログ+メトリック+トレースの組み合わせで構築する一元的なオブザーバビリティログ+メトリック+トレースの組み合わせで構築する一元的なオブザーバビリティ
ログ+メトリック+トレースの組み合わせで構築する一元的なオブザーバビリティElasticsearch
 
イマドキ!ユースケース別に見るAWS IoT への接続パターン
イマドキ!ユースケース別に見るAWS IoT への接続パターンイマドキ!ユースケース別に見るAWS IoT への接続パターン
イマドキ!ユースケース別に見るAWS IoT への接続パターンseiichi arai
 
一人でもはじめるGitでバージョン管理
一人でもはじめるGitでバージョン管理一人でもはじめるGitでバージョン管理
一人でもはじめるGitでバージョン管理Takafumi Yoshida
 
ガチ(?)対決!OSSのジョブ管理ツール
ガチ(?)対決!OSSのジョブ管理ツールガチ(?)対決!OSSのジョブ管理ツール
ガチ(?)対決!OSSのジョブ管理ツール賢 秋穂
 
Devops online training ppt
Devops online training pptDevops online training ppt
Devops online training pptKhalidQureshi31
 
ACI3.0(1k) Release
ACI3.0(1k) ReleaseACI3.0(1k) Release
ACI3.0(1k) ReleaseTakao Setaka
 
Test Yourself - テストを書くと何がどう変わるか
Test Yourself - テストを書くと何がどう変わるかTest Yourself - テストを書くと何がどう変わるか
Test Yourself - テストを書くと何がどう変わるかTakuto Wada
 
CODT2020 ビジネスプラットフォームを支えるCI/CDパイプライン ~エンタープライズのDevOpsを加速させる運用改善Tips~
CODT2020 ビジネスプラットフォームを支えるCI/CDパイプライン ~エンタープライズのDevOpsを加速させる運用改善Tips~CODT2020 ビジネスプラットフォームを支えるCI/CDパイプライン ~エンタープライズのDevOpsを加速させる運用改善Tips~
CODT2020 ビジネスプラットフォームを支えるCI/CDパイプライン ~エンタープライズのDevOpsを加速させる運用改善Tips~Yuki Ando
 
From DevOps to GitOps with GitLab
From DevOps to GitOps with GitLabFrom DevOps to GitOps with GitLab
From DevOps to GitOps with GitLabChen Cheng-Wei
 
DevOps的神鬼奇航
DevOps的神鬼奇航DevOps的神鬼奇航
DevOps的神鬼奇航Edward Kuo
 
What is DevOps | DevOps Introduction | DevOps Training | DevOps Tutorial | Ed...
What is DevOps | DevOps Introduction | DevOps Training | DevOps Tutorial | Ed...What is DevOps | DevOps Introduction | DevOps Training | DevOps Tutorial | Ed...
What is DevOps | DevOps Introduction | DevOps Training | DevOps Tutorial | Ed...Edureka!
 
Jenkinsを利用したCI、弊社導入事例
Jenkinsを利用したCI、弊社導入事例Jenkinsを利用したCI、弊社導入事例
Jenkinsを利用したCI、弊社導入事例Ryoichi Obara
 
Sonar qubeでちょっと楽しい静的解析
Sonar qubeでちょっと楽しい静的解析Sonar qubeでちょっと楽しい静的解析
Sonar qubeでちょっと楽しい静的解析政雄 金森
 
微服務基礎建設 - Message Queue
微服務基礎建設 - Message Queue微服務基礎建設 - Message Queue
微服務基礎建設 - Message QueueAndrew Wu
 
ドメインロジックの実装方法とドメイン駆動設計
ドメインロジックの実装方法とドメイン駆動設計ドメインロジックの実装方法とドメイン駆動設計
ドメインロジックの実装方法とドメイン駆動設計Tadayoshi Sato
 
Azure ADアプリケーションを使用した認証のあれやこれ ASP.NET Core編
Azure ADアプリケーションを使用した認証のあれやこれ ASP.NET Core編Azure ADアプリケーションを使用した認証のあれやこれ ASP.NET Core編
Azure ADアプリケーションを使用した認証のあれやこれ ASP.NET Core編DevTakas
 
最近の単体テスト
最近の単体テスト最近の単体テスト
最近の単体テストKen Morishita
 
Awsのインフラをデザインパターン駆使して設計構築
Awsのインフラをデザインパターン駆使して設計構築Awsのインフラをデザインパターン駆使して設計構築
Awsのインフラをデザインパターン駆使して設計構築Monstar Lab Inc.
 
系統05_從持續整合結合安全開發與變更管理 郭俐佳
系統05_從持續整合結合安全開發與變更管理 郭俐佳系統05_從持續整合結合安全開發與變更管理 郭俐佳
系統05_從持續整合結合安全開發與變更管理 郭俐佳Galaxy Software Services
 
雲端01_雲端服務家族的價值與經濟生態 林秋丹
雲端01_雲端服務家族的價值與經濟生態 林秋丹雲端01_雲端服務家族的價值與經濟生態 林秋丹
雲端01_雲端服務家族的價值與經濟生態 林秋丹Galaxy Software Services
 

More Related Content

What's hot

OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開Muneaki Nishimura
 
負荷試験ツールlocustを使おう
負荷試験ツールlocustを使おう負荷試験ツールlocustを使おう
負荷試験ツールlocustを使おうiRidge, Inc.
 
ログ+メトリック+トレースの組み合わせで構築する一元的なオブザーバビリティ
ログ+メトリック+トレースの組み合わせで構築する一元的なオブザーバビリティログ+メトリック+トレースの組み合わせで構築する一元的なオブザーバビリティ
ログ+メトリック+トレースの組み合わせで構築する一元的なオブザーバビリティElasticsearch
 
イマドキ!ユースケース別に見るAWS IoT への接続パターン
イマドキ!ユースケース別に見るAWS IoT への接続パターンイマドキ!ユースケース別に見るAWS IoT への接続パターン
イマドキ!ユースケース別に見るAWS IoT への接続パターンseiichi arai
 
一人でもはじめるGitでバージョン管理
一人でもはじめるGitでバージョン管理一人でもはじめるGitでバージョン管理
一人でもはじめるGitでバージョン管理Takafumi Yoshida
 
ガチ(?)対決!OSSのジョブ管理ツール
ガチ(?)対決!OSSのジョブ管理ツールガチ(?)対決!OSSのジョブ管理ツール
ガチ(?)対決!OSSのジョブ管理ツール賢 秋穂
 
Devops online training ppt
Devops online training pptDevops online training ppt
Devops online training pptKhalidQureshi31
 
ACI3.0(1k) Release
ACI3.0(1k) ReleaseACI3.0(1k) Release
ACI3.0(1k) ReleaseTakao Setaka
 
Test Yourself - テストを書くと何がどう変わるか
Test Yourself - テストを書くと何がどう変わるかTest Yourself - テストを書くと何がどう変わるか
Test Yourself - テストを書くと何がどう変わるかTakuto Wada
 
CODT2020 ビジネスプラットフォームを支えるCI/CDパイプライン ~エンタープライズのDevOpsを加速させる運用改善Tips~
CODT2020 ビジネスプラットフォームを支えるCI/CDパイプライン ~エンタープライズのDevOpsを加速させる運用改善Tips~CODT2020 ビジネスプラットフォームを支えるCI/CDパイプライン ~エンタープライズのDevOpsを加速させる運用改善Tips~
CODT2020 ビジネスプラットフォームを支えるCI/CDパイプライン ~エンタープライズのDevOpsを加速させる運用改善Tips~Yuki Ando
 
From DevOps to GitOps with GitLab
From DevOps to GitOps with GitLabFrom DevOps to GitOps with GitLab
From DevOps to GitOps with GitLabChen Cheng-Wei
 
DevOps的神鬼奇航
DevOps的神鬼奇航DevOps的神鬼奇航
DevOps的神鬼奇航Edward Kuo
 
What is DevOps | DevOps Introduction | DevOps Training | DevOps Tutorial | Ed...
What is DevOps | DevOps Introduction | DevOps Training | DevOps Tutorial | Ed...What is DevOps | DevOps Introduction | DevOps Training | DevOps Tutorial | Ed...
What is DevOps | DevOps Introduction | DevOps Training | DevOps Tutorial | Ed...Edureka!
 
Jenkinsを利用したCI、弊社導入事例
Jenkinsを利用したCI、弊社導入事例Jenkinsを利用したCI、弊社導入事例
Jenkinsを利用したCI、弊社導入事例Ryoichi Obara
 
Sonar qubeでちょっと楽しい静的解析
Sonar qubeでちょっと楽しい静的解析Sonar qubeでちょっと楽しい静的解析
Sonar qubeでちょっと楽しい静的解析政雄 金森
 
微服務基礎建設 - Message Queue
微服務基礎建設 - Message Queue微服務基礎建設 - Message Queue
微服務基礎建設 - Message QueueAndrew Wu
 
ドメインロジックの実装方法とドメイン駆動設計
ドメインロジックの実装方法とドメイン駆動設計ドメインロジックの実装方法とドメイン駆動設計
ドメインロジックの実装方法とドメイン駆動設計Tadayoshi Sato
 
Azure ADアプリケーションを使用した認証のあれやこれ ASP.NET Core編
Azure ADアプリケーションを使用した認証のあれやこれ ASP.NET Core編Azure ADアプリケーションを使用した認証のあれやこれ ASP.NET Core編
Azure ADアプリケーションを使用した認証のあれやこれ ASP.NET Core編DevTakas
 
最近の単体テスト
最近の単体テスト最近の単体テスト
最近の単体テストKen Morishita
 
Awsのインフラをデザインパターン駆使して設計構築
Awsのインフラをデザインパターン駆使して設計構築Awsのインフラをデザインパターン駆使して設計構築
Awsのインフラをデザインパターン駆使して設計構築Monstar Lab Inc.
 

What's hot (20)

OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
 
負荷試験ツールlocustを使おう
負荷試験ツールlocustを使おう負荷試験ツールlocustを使おう
負荷試験ツールlocustを使おう
 
ログ+メトリック+トレースの組み合わせで構築する一元的なオブザーバビリティ
ログ+メトリック+トレースの組み合わせで構築する一元的なオブザーバビリティログ+メトリック+トレースの組み合わせで構築する一元的なオブザーバビリティ
ログ+メトリック+トレースの組み合わせで構築する一元的なオブザーバビリティ
 
イマドキ!ユースケース別に見るAWS IoT への接続パターン
イマドキ!ユースケース別に見るAWS IoT への接続パターンイマドキ!ユースケース別に見るAWS IoT への接続パターン
イマドキ!ユースケース別に見るAWS IoT への接続パターン
 
一人でもはじめるGitでバージョン管理
一人でもはじめるGitでバージョン管理一人でもはじめるGitでバージョン管理
一人でもはじめるGitでバージョン管理
 
ガチ(?)対決!OSSのジョブ管理ツール
ガチ(?)対決!OSSのジョブ管理ツールガチ(?)対決!OSSのジョブ管理ツール
ガチ(?)対決!OSSのジョブ管理ツール
 
Devops online training ppt
Devops online training pptDevops online training ppt
Devops online training ppt
 
ACI3.0(1k) Release
ACI3.0(1k) ReleaseACI3.0(1k) Release
ACI3.0(1k) Release
 
Test Yourself - テストを書くと何がどう変わるか
Test Yourself - テストを書くと何がどう変わるかTest Yourself - テストを書くと何がどう変わるか
Test Yourself - テストを書くと何がどう変わるか
 
CODT2020 ビジネスプラットフォームを支えるCI/CDパイプライン ~エンタープライズのDevOpsを加速させる運用改善Tips~
CODT2020 ビジネスプラットフォームを支えるCI/CDパイプライン ~エンタープライズのDevOpsを加速させる運用改善Tips~CODT2020 ビジネスプラットフォームを支えるCI/CDパイプライン ~エンタープライズのDevOpsを加速させる運用改善Tips~
CODT2020 ビジネスプラットフォームを支えるCI/CDパイプライン ~エンタープライズのDevOpsを加速させる運用改善Tips~
 
From DevOps to GitOps with GitLab
From DevOps to GitOps with GitLabFrom DevOps to GitOps with GitLab
From DevOps to GitOps with GitLab
 
DevOps的神鬼奇航
DevOps的神鬼奇航DevOps的神鬼奇航
DevOps的神鬼奇航
 
What is DevOps | DevOps Introduction | DevOps Training | DevOps Tutorial | Ed...
What is DevOps | DevOps Introduction | DevOps Training | DevOps Tutorial | Ed...What is DevOps | DevOps Introduction | DevOps Training | DevOps Tutorial | Ed...
What is DevOps | DevOps Introduction | DevOps Training | DevOps Tutorial | Ed...
 
Jenkinsを利用したCI、弊社導入事例
Jenkinsを利用したCI、弊社導入事例Jenkinsを利用したCI、弊社導入事例
Jenkinsを利用したCI、弊社導入事例
 
Sonar qubeでちょっと楽しい静的解析
Sonar qubeでちょっと楽しい静的解析Sonar qubeでちょっと楽しい静的解析
Sonar qubeでちょっと楽しい静的解析
 
微服務基礎建設 - Message Queue
微服務基礎建設 - Message Queue微服務基礎建設 - Message Queue
微服務基礎建設 - Message Queue
 
ドメインロジックの実装方法とドメイン駆動設計
ドメインロジックの実装方法とドメイン駆動設計ドメインロジックの実装方法とドメイン駆動設計
ドメインロジックの実装方法とドメイン駆動設計
 
Azure ADアプリケーションを使用した認証のあれやこれ ASP.NET Core編
Azure ADアプリケーションを使用した認証のあれやこれ ASP.NET Core編Azure ADアプリケーションを使用した認証のあれやこれ ASP.NET Core編
Azure ADアプリケーションを使用した認証のあれやこれ ASP.NET Core編
 
最近の単体テスト
最近の単体テスト最近の単体テスト
最近の単体テスト
 
Awsのインフラをデザインパターン駆使して設計構築
Awsのインフラをデザインパターン駆使して設計構築Awsのインフラをデザインパターン駆使して設計構築
Awsのインフラをデザインパターン駆使して設計構築
 

Viewers also liked

系統05_從持續整合結合安全開發與變更管理 郭俐佳
系統05_從持續整合結合安全開發與變更管理 郭俐佳系統05_從持續整合結合安全開發與變更管理 郭俐佳
系統05_從持續整合結合安全開發與變更管理 郭俐佳Galaxy Software Services
 
雲端01_雲端服務家族的價值與經濟生態 林秋丹
雲端01_雲端服務家族的價值與經濟生態 林秋丹雲端01_雲端服務家族的價值與經濟生態 林秋丹
雲端01_雲端服務家族的價值與經濟生態 林秋丹Galaxy Software Services
 
雲端05_如何在雲端管理研發知識以廣義智控為例 曾廣輝
雲端05_如何在雲端管理研發知識以廣義智控為例 曾廣輝雲端05_如何在雲端管理研發知識以廣義智控為例 曾廣輝
雲端05_如何在雲端管理研發知識以廣義智控為例 曾廣輝Galaxy Software Services
 
雲端04_會計服務未來式整合雲端新趨勢 張宏尉
雲端04_會計服務未來式整合雲端新趨勢 張宏尉雲端04_會計服務未來式整合雲端新趨勢 張宏尉
雲端04_會計服務未來式整合雲端新趨勢 張宏尉Galaxy Software Services
 
永遠別忘了老客戶和好口碑的重要性
永遠別忘了老客戶和好口碑的重要性永遠別忘了老客戶和好口碑的重要性
永遠別忘了老客戶和好口碑的重要性Galaxy Software Services
 
由根紮起的深研發成果報告 張培鏞
由根紮起的深研發成果報告 張培鏞由根紮起的深研發成果報告 張培鏞
由根紮起的深研發成果報告 張培鏞Galaxy Software Services
 
Line with the UI DESIGN TREND 符合時代的介面設計潮流-李宗青
Line with the UI DESIGN TREND 符合時代的介面設計潮流-李宗青Line with the UI DESIGN TREND 符合時代的介面設計潮流-李宗青
Line with the UI DESIGN TREND 符合時代的介面設計潮流-李宗青Galaxy Software Services
 
Makalah Perancangan ERD & LRS Pada Sistem Pemesanan Hotel
Makalah Perancangan ERD & LRS Pada Sistem Pemesanan HotelMakalah Perancangan ERD & LRS Pada Sistem Pemesanan Hotel
Makalah Perancangan ERD & LRS Pada Sistem Pemesanan HotelMuhammad Iqbal
 

Viewers also liked (12)

系統05_從持續整合結合安全開發與變更管理 郭俐佳
系統05_從持續整合結合安全開發與變更管理 郭俐佳系統05_從持續整合結合安全開發與變更管理 郭俐佳
系統05_從持續整合結合安全開發與變更管理 郭俐佳
 
雲端01_雲端服務家族的價值與經濟生態 林秋丹
雲端01_雲端服務家族的價值與經濟生態 林秋丹雲端01_雲端服務家族的價值與經濟生態 林秋丹
雲端01_雲端服務家族的價值與經濟生態 林秋丹
 
雲端05_如何在雲端管理研發知識以廣義智控為例 曾廣輝
雲端05_如何在雲端管理研發知識以廣義智控為例 曾廣輝雲端05_如何在雲端管理研發知識以廣義智控為例 曾廣輝
雲端05_如何在雲端管理研發知識以廣義智控為例 曾廣輝
 
雲端04_會計服務未來式整合雲端新趨勢 張宏尉
雲端04_會計服務未來式整合雲端新趨勢 張宏尉雲端04_會計服務未來式整合雲端新趨勢 張宏尉
雲端04_會計服務未來式整合雲端新趨勢 張宏尉
 
永遠別忘了老客戶和好口碑的重要性
永遠別忘了老客戶和好口碑的重要性永遠別忘了老客戶和好口碑的重要性
永遠別忘了老客戶和好口碑的重要性
 
軟體安全防護大作戰
軟體安全防護大作戰軟體安全防護大作戰
軟體安全防護大作戰
 
全方位 Vital 雲端服務家族
全方位 Vital 雲端服務家族全方位 Vital 雲端服務家族
全方位 Vital 雲端服務家族
 
叡揚雲端服務願景與成果
叡揚雲端服務願景與成果叡揚雲端服務願景與成果
叡揚雲端服務願景與成果
 
由根紮起的深研發成果報告 張培鏞
由根紮起的深研發成果報告 張培鏞由根紮起的深研發成果報告 張培鏞
由根紮起的深研發成果報告 張培鏞
 
Line with the UI DESIGN TREND 符合時代的介面設計潮流-李宗青
Line with the UI DESIGN TREND 符合時代的介面設計潮流-李宗青Line with the UI DESIGN TREND 符合時代的介面設計潮流-李宗青
Line with the UI DESIGN TREND 符合時代的介面設計潮流-李宗青
 
The power of digital minds 張瑞雄
The power of digital minds 張瑞雄The power of digital minds 張瑞雄
The power of digital minds 張瑞雄
 
Makalah Perancangan ERD & LRS Pada Sistem Pemesanan Hotel
Makalah Perancangan ERD & LRS Pada Sistem Pemesanan HotelMakalah Perancangan ERD & LRS Pada Sistem Pemesanan Hotel
Makalah Perancangan ERD & LRS Pada Sistem Pemesanan Hotel
 

Similar to 應用系統安全常見的5種資安防護措施

分布式系统测试实践
分布式系统测试实践分布式系统测试实践
分布式系统测试实践drewz lin
 
議題三:政府網站常見弱點與分析
議題三:政府網站常見弱點與分析議題三:政府網站常見弱點與分析
議題三:政府網站常見弱點與分析Nicolas su
 
Rsa2012 下一代安全的战略思考-绿盟科技赵粮
Rsa2012 下一代安全的战略思考-绿盟科技赵粮Rsa2012 下一代安全的战略思考-绿盟科技赵粮
Rsa2012 下一代安全的战略思考-绿盟科技赵粮NSFOCUS
 
滲透測試資訊安全顧問服務
滲透測試資訊安全顧問服務滲透測試資訊安全顧問服務
滲透測試資訊安全顧問服務Wanhung Chou
 
baidu fuye
baidu fuyebaidu fuye
baidu fuyedachmx
 
百度 fuye
百度 fuye百度 fuye
百度 fuyedachmx
 
11/14王團研究室—安全大師王團論毒 in台中
11/14王團研究室—安全大師王團論毒 in台中11/14王團研究室—安全大師王團論毒 in台中
11/14王團研究室—安全大師王團論毒 in台中T客邦
 
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢T客邦
 
使安全成為軟體開發必要部分
使安全成為軟體開發必要部分使安全成為軟體開發必要部分
使安全成為軟體開發必要部分Taien Wang
 
渗透测试思路技术与方法
渗透测试思路技术与方法渗透测试思路技术与方法
渗透测试思路技术与方法
 
组网与网络管理技术(第四章)
组网与网络管理技术(第四章)组网与网络管理技术(第四章)
组网与网络管理技术(第四章)telab
 
滲透測試簡述(資訊安全顧問服務)
滲透測試簡述(資訊安全顧問服務)滲透測試簡述(資訊安全顧問服務)
滲透測試簡述(資訊安全顧問服務)wanhung1911
 
Duannian agile
Duannian agileDuannian agile
Duannian agiled0nn9n
 
手机自动化测试解决方案
手机自动化测试解决方案手机自动化测试解决方案
手机自动化测试解决方案懿民 施
 
From Principle to Practice
From Principle to PracticeFrom Principle to Practice
From Principle to PracticeJordan Pan
 
服务器性能测试介绍
服务器性能测试介绍服务器性能测试介绍
服务器性能测试介绍Paro Yin
 
赛诺朗基全局事件管理
赛诺朗基全局事件管理赛诺朗基全局事件管理
赛诺朗基全局事件管理Mktg
 
测试快照
测试快照测试快照
测试快照jacquesqj
 
22
2222
2242qu
 
铺开业务看应用防护
铺开业务看应用防护铺开业务看应用防护
铺开业务看应用防护Jordan Pan
 

Similar to 應用系統安全常見的5種資安防護措施 (20)

分布式系统测试实践
分布式系统测试实践分布式系统测试实践
分布式系统测试实践
 
議題三:政府網站常見弱點與分析
議題三:政府網站常見弱點與分析議題三:政府網站常見弱點與分析
議題三:政府網站常見弱點與分析
 
Rsa2012 下一代安全的战略思考-绿盟科技赵粮
Rsa2012 下一代安全的战略思考-绿盟科技赵粮Rsa2012 下一代安全的战略思考-绿盟科技赵粮
Rsa2012 下一代安全的战略思考-绿盟科技赵粮
 
滲透測試資訊安全顧問服務
滲透測試資訊安全顧問服務滲透測試資訊安全顧問服務
滲透測試資訊安全顧問服務
 
baidu fuye
baidu fuyebaidu fuye
baidu fuye
 
百度 fuye
百度 fuye百度 fuye
百度 fuye
 
11/14王團研究室—安全大師王團論毒 in台中
11/14王團研究室—安全大師王團論毒 in台中11/14王團研究室—安全大師王團論毒 in台中
11/14王團研究室—安全大師王團論毒 in台中
 
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
 
使安全成為軟體開發必要部分
使安全成為軟體開發必要部分使安全成為軟體開發必要部分
使安全成為軟體開發必要部分
 
渗透测试思路技术与方法
渗透测试思路技术与方法渗透测试思路技术与方法
渗透测试思路技术与方法
 
组网与网络管理技术(第四章)
组网与网络管理技术(第四章)组网与网络管理技术(第四章)
组网与网络管理技术(第四章)
 
滲透測試簡述(資訊安全顧問服務)
滲透測試簡述(資訊安全顧問服務)滲透測試簡述(資訊安全顧問服務)
滲透測試簡述(資訊安全顧問服務)
 
Duannian agile
Duannian agileDuannian agile
Duannian agile
 
手机自动化测试解决方案
手机自动化测试解决方案手机自动化测试解决方案
手机自动化测试解决方案
 
From Principle to Practice
From Principle to PracticeFrom Principle to Practice
From Principle to Practice
 
服务器性能测试介绍
服务器性能测试介绍服务器性能测试介绍
服务器性能测试介绍
 
赛诺朗基全局事件管理
赛诺朗基全局事件管理赛诺朗基全局事件管理
赛诺朗基全局事件管理
 
测试快照
测试快照测试快照
测试快照
 
22
2222
22
 
铺开业务看应用防护
铺开业务看应用防护铺开业务看应用防护
铺开业务看应用防护
 

More from Galaxy Software Services

2_人見人愛的control-m作業請求流程
2_人見人愛的control-m作業請求流程2_人見人愛的control-m作業請求流程
2_人見人愛的control-m作業請求流程Galaxy Software Services
 
全面控管檔案傳輸 揭開成功秘辛
全面控管檔案傳輸 揭開成功秘辛全面控管檔案傳輸 揭開成功秘辛
全面控管檔案傳輸 揭開成功秘辛Galaxy Software Services
 
洞悉檔案傳輸困境 掌握解決方案
洞悉檔案傳輸困境 掌握解決方案洞悉檔案傳輸困境 掌握解決方案
洞悉檔案傳輸困境 掌握解決方案Galaxy Software Services
 
系統02_關鍵的「特權+資料安全」最後一哩防線 解忠翰
系統02_關鍵的「特權+資料安全」最後一哩防線 解忠翰系統02_關鍵的「特權+資料安全」最後一哩防線 解忠翰
系統02_關鍵的「特權+資料安全」最後一哩防線 解忠翰Galaxy Software Services
 
雲端06_兩岸三地的雲服務就選mail cloud-闕伊材
雲端06_兩岸三地的雲服務就選mail cloud-闕伊材雲端06_兩岸三地的雲服務就選mail cloud-闕伊材
雲端06_兩岸三地的雲服務就選mail cloud-闕伊材Galaxy Software Services
 
雲端02_「阿米計畫」一起揪團做公益吧 杜明翰
雲端02_「阿米計畫」一起揪團做公益吧 杜明翰雲端02_「阿米計畫」一起揪團做公益吧 杜明翰
雲端02_「阿米計畫」一起揪團做公益吧 杜明翰Galaxy Software Services
 
安心上雲端 商務創新無極限 劉念臻
安心上雲端 商務創新無極限 劉念臻安心上雲端 商務創新無極限 劉念臻
安心上雲端 商務創新無極限 劉念臻Galaxy Software Services
 
應用03_未來辦公室的創新工作圈 李政權
應用03_未來辦公室的創新工作圈 李政權應用03_未來辦公室的創新工作圈 李政權
應用03_未來辦公室的創新工作圈 李政權Galaxy Software Services
 
10個步驟保護敏捷開發:應用程式安全的作業方法
10個步驟保護敏捷開發:應用程式安全的作業方法10個步驟保護敏捷開發:應用程式安全的作業方法
10個步驟保護敏捷開發:應用程式安全的作業方法Galaxy Software Services
 

More from Galaxy Software Services (19)

2_人見人愛的control-m作業請求流程
2_人見人愛的control-m作業請求流程2_人見人愛的control-m作業請求流程
2_人見人愛的control-m作業請求流程
 
1_overall
1_overall1_overall
1_overall
 
GSSDLC - Bruce (20170817)
GSSDLC - Bruce (20170817)GSSDLC - Bruce (20170817)
GSSDLC - Bruce (20170817)
 
行動應用App管理 (MAM)
行動應用App管理 (MAM) 行動應用App管理 (MAM)
行動應用App管理 (MAM)
 
全面控管檔案傳輸 揭開成功秘辛
全面控管檔案傳輸 揭開成功秘辛全面控管檔案傳輸 揭開成功秘辛
全面控管檔案傳輸 揭開成功秘辛
 
MFT sharing
MFT sharingMFT sharing
MFT sharing
 
洞悉檔案傳輸困境 掌握解決方案
洞悉檔案傳輸困境 掌握解決方案洞悉檔案傳輸困境 掌握解決方案
洞悉檔案傳輸困境 掌握解決方案
 
系統02_關鍵的「特權+資料安全」最後一哩防線 解忠翰
系統02_關鍵的「特權+資料安全」最後一哩防線 解忠翰系統02_關鍵的「特權+資料安全」最後一哩防線 解忠翰
系統02_關鍵的「特權+資料安全」最後一哩防線 解忠翰
 
雲端06_兩岸三地的雲服務就選mail cloud-闕伊材
雲端06_兩岸三地的雲服務就選mail cloud-闕伊材雲端06_兩岸三地的雲服務就選mail cloud-闕伊材
雲端06_兩岸三地的雲服務就選mail cloud-闕伊材
 
雲端02_「阿米計畫」一起揪團做公益吧 杜明翰
雲端02_「阿米計畫」一起揪團做公益吧 杜明翰雲端02_「阿米計畫」一起揪團做公益吧 杜明翰
雲端02_「阿米計畫」一起揪團做公益吧 杜明翰
 
安心上雲端 商務創新無極限 劉念臻
安心上雲端 商務創新無極限 劉念臻安心上雲端 商務創新無極限 劉念臻
安心上雲端 商務創新無極限 劉念臻
 
應用03_未來辦公室的創新工作圈 李政權
應用03_未來辦公室的創新工作圈 李政權應用03_未來辦公室的創新工作圈 李政權
應用03_未來辦公室的創新工作圈 李政權
 
10個步驟保護敏捷開發:應用程式安全的作業方法
10個步驟保護敏捷開發:應用程式安全的作業方法10個步驟保護敏捷開發:應用程式安全的作業方法
10個步驟保護敏捷開發:應用程式安全的作業方法
 
未來的人才 人才的未來
未來的人才 人才的未來未來的人才 人才的未來
未來的人才 人才的未來
 
重視弱點管理 強化系統安全
重視弱點管理 強化系統安全重視弱點管理 強化系統安全
重視弱點管理 強化系統安全
 
資安健檢因應配套
資安健檢因應配套資安健檢因應配套
資安健檢因應配套
 
team kube 高效會議應用分享
team kube 高效會議應用分享team kube 高效會議應用分享
team kube 高效會議應用分享
 
維持企業巧實力 傳承與執行力
維持企業巧實力 傳承與執行力維持企業巧實力 傳承與執行力
維持企業巧實力 傳承與執行力
 
生產力4.0科技發展策略
生產力4.0科技發展策略生產力4.0科技發展策略
生產力4.0科技發展策略
 

應用系統安全常見的5種資安防護措施

  • 1. 一次弄懂網頁應用系統(Web Application) 5 種資安防護措施 1 PT 滲透測試 WAF 網頁應用程式防火牆 DAST 黑箱動態弱點掃描  SAST 白箱靜態源碼掃描  IAST 互動式安全測試
  • 2. 2
  • 3. 滲透測試 (Penetration Testing, PT)  何謂滲透測試  透過模擬駭客行為來操作組織的系統及程序  滲透測試包含了橫跨所有層級的手動及自動程序  由企業內部滲透測試小組或是委外顧問服務執行  定期執行 3
  • 4. 滲透測試 (Penetration Testing, PT)  滲透測試優勢效益  測試範圍廣  人工測試比起照表操課的程序更靈活  滲透測試缺點  只能提供特定範圍、時間點內運行時的安全狀態  無法在合理的時間內針對所有程序、平台、情境進行 測試  所需時間長  滲透測試需要特殊的專業知識和時間 4
  • 5. 網頁應用系統防火牆 (Web Application Firewall, WAF)  何謂WAF  放置在應用系統之前  用來即時檢查來自網路的請求內容  若請求內容有攻擊傾向即將其阻擋,否則正常運作 5
  • 6. 網頁應用系統防火牆 (Web Application Firewall, WAF)  WAF 優勢效益  阻擋模式運作時能夠即時保護組織架構  深入觀察實際的威脅  能夠阻擋商業邏輯攻擊 (Business Logic Attacks, BLAs),例如應用層的阻斷服務攻擊(DDoS)  受開發者developer 歡迎  WAF 缺點  不能解決問題  需為保護的應用系統客製化  也會阻擋合法的請求  只對網頁應用系統(Web Application)有效 6
  • 7. 黑箱動態弱點掃描 (Dynamic Application Security Testing, DAST)  亦常稱為動態應用系統安全測試/ 網站黑箱掃描/ 動態測試/ 弱點掃描  何謂動態應用系統安全測試  針對網頁應用系統  輸入不同的輸入值來檢查應用系統 是否有暴露的漏洞  依照一份事先定義的弱點清單 去嘗試破解目標 7
  • 8. 黑箱動態弱點掃描 (Dynamic Application Security Testing, DAST)  應用系統安全測試 優勢效益  揭露一些只有在運行中才會顯露出的漏洞  與第三方程式整合  應用系統安全測試 缺點  能找到的漏洞有限  無法完整包含整個應用系統  任何程式改動都需要重新掃描 8
  • 9. 白箱靜態源碼掃描 (Static Application Security Testing, SAST)  屬於「應用系統網站弱點掃描」的一種,亦常稱 為靜態應用系統安全測試、白箱測試、源碼檢測  何謂靜態源碼掃描  檢查應用系統的原始碼(source code)來找出安全漏洞  能以更多元的角度去檢查程式流中可能被攻擊者所發 現的漏洞 9
  • 10. 白箱靜態源碼掃描 (Static Application Security Testing, SAST)  靜態源碼掃描 優勢效益  能在開發階段及早修復問題,比起事後修補容易  弱點可從原始碼中直接修正  測試範圍包含了各種程式語言  合穿插在各種開發環境和模型中(Waterfall、Agile和 DevOps)  靜態源碼掃描 缺點  誤判  會回報一些不被外部(攻擊者)發現的問題  結果有分風險等級,但不知道目前哪個弱點受攻擊者鎖定 10
  • 11. 互動式應用系統安全測試 (Integrated/Intrinsic/Interactive Application Security Testing, IAST)  亦稱為整合式應用系統安全測試  何謂IAST  結合了SAST(源碼檢測)和DAST(黑箱動態測試)的技術  需要受檢測的應用系統所需的設備或是運行環境  需要原始碼、及各種監控設備 11
  • 12. 互動式應用系統安全測試 (Integrated/Intrinsic/Interactive Application Security Testing, IAST)  IAST 優勢效益  擁有和DAST相同的效益  且能夠回報無聲攻擊  指出產生弱點的程式碼位址  IAST 缺點  需要安裝Agent軟體  缺乏自動化  精確度及弱點覆蓋率較低  可能產生誤判或漏判 12
  • 13. 應用系統安全總結 : 建立階層式的防禦  沒有任何一個解決方案可以100% 完整保護  理想的應用系統安全策略應該從開發階段開始  接著在主要系統上放置WAF、週期性地進行滲透測試, 然後在程式碼變動時檢查程式碼  建議從上述防禦技術中挑選一到兩項,然後從中挑選出 最適合您環境及商業需求的工具 完整說明: http://www.gss.com.tw/index.php/focus/security/1418-gss-0117-web-application-5 資料來源: Checkmarx 翻譯整理: 叡揚資訊 13