Submit Search
Upload
應用系統安全常見的5種資安防護措施
•
0 likes
•
1,401 views
Galaxy Software Services
Follow
本篇介紹的是各種網頁應用系統的安全工具(滲透測試、弱點掃描、源碼檢測、WAF、IAST),而標示出重要的選擇依據來幫助各位選擇適合自己環境的應用系統安全技術
Read less
Read more
Software
Report
Share
Report
Share
1 of 14
Download now
Download to read offline
Recommended
以自動化先行的 DevOps 實踐經驗分享
以自動化先行的 DevOps 實踐經驗分享
Chen Cheng-Wei
明日からはじめられる Docker + さくらvpsを使った開発環境構築
明日からはじめられる Docker + さくらvpsを使った開発環境構築
MILI-LLC
ドメイン駆動設計入門
ドメイン駆動設計入門
Takuya Kitamura
IT エンジニアのための 流し読み Windows 10 - Windows Hello for Business
IT エンジニアのための 流し読み Windows 10 - Windows Hello for Business
TAKUYA OHTA
DevOpsにおけるAnsibleの立ち位置と使い所
DevOpsにおけるAnsibleの立ち位置と使い所
Hidetoshi Hirokawa
Git flowの活用事例
Git flowの活用事例
Hirohito Kato
私がなぜZscalerに?
私がなぜZscalerに?
Takayoshi Takaoka
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
Trainocate Japan, Ltd.
Recommended
以自動化先行的 DevOps 實踐經驗分享
以自動化先行的 DevOps 實踐經驗分享
Chen Cheng-Wei
明日からはじめられる Docker + さくらvpsを使った開発環境構築
明日からはじめられる Docker + さくらvpsを使った開発環境構築
MILI-LLC
ドメイン駆動設計入門
ドメイン駆動設計入門
Takuya Kitamura
IT エンジニアのための 流し読み Windows 10 - Windows Hello for Business
IT エンジニアのための 流し読み Windows 10 - Windows Hello for Business
TAKUYA OHTA
DevOpsにおけるAnsibleの立ち位置と使い所
DevOpsにおけるAnsibleの立ち位置と使い所
Hidetoshi Hirokawa
Git flowの活用事例
Git flowの活用事例
Hirohito Kato
私がなぜZscalerに?
私がなぜZscalerに?
Takayoshi Takaoka
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
Trainocate Japan, Ltd.
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
Muneaki Nishimura
負荷試験ツールlocustを使おう
負荷試験ツールlocustを使おう
iRidge, Inc.
ログ+メトリック+トレースの組み合わせで構築する一元的なオブザーバビリティ
ログ+メトリック+トレースの組み合わせで構築する一元的なオブザーバビリティ
Elasticsearch
イマドキ!ユースケース別に見るAWS IoT への接続パターン
イマドキ!ユースケース別に見るAWS IoT への接続パターン
seiichi arai
一人でもはじめるGitでバージョン管理
一人でもはじめるGitでバージョン管理
Takafumi Yoshida
ガチ(?)対決!OSSのジョブ管理ツール
ガチ(?)対決!OSSのジョブ管理ツール
賢 秋穂
Devops online training ppt
Devops online training ppt
KhalidQureshi31
ACI3.0(1k) Release
ACI3.0(1k) Release
Takao Setaka
Test Yourself - テストを書くと何がどう変わるか
Test Yourself - テストを書くと何がどう変わるか
Takuto Wada
CODT2020 ビジネスプラットフォームを支えるCI/CDパイプライン ~エンタープライズのDevOpsを加速させる運用改善Tips~
CODT2020 ビジネスプラットフォームを支えるCI/CDパイプライン ~エンタープライズのDevOpsを加速させる運用改善Tips~
Yuki Ando
From DevOps to GitOps with GitLab
From DevOps to GitOps with GitLab
Chen Cheng-Wei
DevOps的神鬼奇航
DevOps的神鬼奇航
Edward Kuo
What is DevOps | DevOps Introduction | DevOps Training | DevOps Tutorial | Ed...
What is DevOps | DevOps Introduction | DevOps Training | DevOps Tutorial | Ed...
Edureka!
Jenkinsを利用したCI、弊社導入事例
Jenkinsを利用したCI、弊社導入事例
Ryoichi Obara
Sonar qubeでちょっと楽しい静的解析
Sonar qubeでちょっと楽しい静的解析
政雄 金森
微服務基礎建設 - Message Queue
微服務基礎建設 - Message Queue
Andrew Wu
ドメインロジックの実装方法とドメイン駆動設計
ドメインロジックの実装方法とドメイン駆動設計
Tadayoshi Sato
Azure ADアプリケーションを使用した認証のあれやこれ ASP.NET Core編
Azure ADアプリケーションを使用した認証のあれやこれ ASP.NET Core編
DevTakas
最近の単体テスト
最近の単体テスト
Ken Morishita
Awsのインフラをデザインパターン駆使して設計構築
Awsのインフラをデザインパターン駆使して設計構築
Monstar Lab Inc.
系統05_從持續整合結合安全開發與變更管理 郭俐佳
系統05_從持續整合結合安全開發與變更管理 郭俐佳
Galaxy Software Services
雲端01_雲端服務家族的價值與經濟生態 林秋丹
雲端01_雲端服務家族的價值與經濟生態 林秋丹
Galaxy Software Services
More Related Content
What's hot
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
Muneaki Nishimura
負荷試験ツールlocustを使おう
負荷試験ツールlocustを使おう
iRidge, Inc.
ログ+メトリック+トレースの組み合わせで構築する一元的なオブザーバビリティ
ログ+メトリック+トレースの組み合わせで構築する一元的なオブザーバビリティ
Elasticsearch
イマドキ!ユースケース別に見るAWS IoT への接続パターン
イマドキ!ユースケース別に見るAWS IoT への接続パターン
seiichi arai
一人でもはじめるGitでバージョン管理
一人でもはじめるGitでバージョン管理
Takafumi Yoshida
ガチ(?)対決!OSSのジョブ管理ツール
ガチ(?)対決!OSSのジョブ管理ツール
賢 秋穂
Devops online training ppt
Devops online training ppt
KhalidQureshi31
ACI3.0(1k) Release
ACI3.0(1k) Release
Takao Setaka
Test Yourself - テストを書くと何がどう変わるか
Test Yourself - テストを書くと何がどう変わるか
Takuto Wada
CODT2020 ビジネスプラットフォームを支えるCI/CDパイプライン ~エンタープライズのDevOpsを加速させる運用改善Tips~
CODT2020 ビジネスプラットフォームを支えるCI/CDパイプライン ~エンタープライズのDevOpsを加速させる運用改善Tips~
Yuki Ando
From DevOps to GitOps with GitLab
From DevOps to GitOps with GitLab
Chen Cheng-Wei
DevOps的神鬼奇航
DevOps的神鬼奇航
Edward Kuo
What is DevOps | DevOps Introduction | DevOps Training | DevOps Tutorial | Ed...
What is DevOps | DevOps Introduction | DevOps Training | DevOps Tutorial | Ed...
Edureka!
Jenkinsを利用したCI、弊社導入事例
Jenkinsを利用したCI、弊社導入事例
Ryoichi Obara
Sonar qubeでちょっと楽しい静的解析
Sonar qubeでちょっと楽しい静的解析
政雄 金森
微服務基礎建設 - Message Queue
微服務基礎建設 - Message Queue
Andrew Wu
ドメインロジックの実装方法とドメイン駆動設計
ドメインロジックの実装方法とドメイン駆動設計
Tadayoshi Sato
Azure ADアプリケーションを使用した認証のあれやこれ ASP.NET Core編
Azure ADアプリケーションを使用した認証のあれやこれ ASP.NET Core編
DevTakas
最近の単体テスト
最近の単体テスト
Ken Morishita
Awsのインフラをデザインパターン駆使して設計構築
Awsのインフラをデザインパターン駆使して設計構築
Monstar Lab Inc.
What's hot
(20)
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
負荷試験ツールlocustを使おう
負荷試験ツールlocustを使おう
ログ+メトリック+トレースの組み合わせで構築する一元的なオブザーバビリティ
ログ+メトリック+トレースの組み合わせで構築する一元的なオブザーバビリティ
イマドキ!ユースケース別に見るAWS IoT への接続パターン
イマドキ!ユースケース別に見るAWS IoT への接続パターン
一人でもはじめるGitでバージョン管理
一人でもはじめるGitでバージョン管理
ガチ(?)対決!OSSのジョブ管理ツール
ガチ(?)対決!OSSのジョブ管理ツール
Devops online training ppt
Devops online training ppt
ACI3.0(1k) Release
ACI3.0(1k) Release
Test Yourself - テストを書くと何がどう変わるか
Test Yourself - テストを書くと何がどう変わるか
CODT2020 ビジネスプラットフォームを支えるCI/CDパイプライン ~エンタープライズのDevOpsを加速させる運用改善Tips~
CODT2020 ビジネスプラットフォームを支えるCI/CDパイプライン ~エンタープライズのDevOpsを加速させる運用改善Tips~
From DevOps to GitOps with GitLab
From DevOps to GitOps with GitLab
DevOps的神鬼奇航
DevOps的神鬼奇航
What is DevOps | DevOps Introduction | DevOps Training | DevOps Tutorial | Ed...
What is DevOps | DevOps Introduction | DevOps Training | DevOps Tutorial | Ed...
Jenkinsを利用したCI、弊社導入事例
Jenkinsを利用したCI、弊社導入事例
Sonar qubeでちょっと楽しい静的解析
Sonar qubeでちょっと楽しい静的解析
微服務基礎建設 - Message Queue
微服務基礎建設 - Message Queue
ドメインロジックの実装方法とドメイン駆動設計
ドメインロジックの実装方法とドメイン駆動設計
Azure ADアプリケーションを使用した認証のあれやこれ ASP.NET Core編
Azure ADアプリケーションを使用した認証のあれやこれ ASP.NET Core編
最近の単体テスト
最近の単体テスト
Awsのインフラをデザインパターン駆使して設計構築
Awsのインフラをデザインパターン駆使して設計構築
Viewers also liked
系統05_從持續整合結合安全開發與變更管理 郭俐佳
系統05_從持續整合結合安全開發與變更管理 郭俐佳
Galaxy Software Services
雲端01_雲端服務家族的價值與經濟生態 林秋丹
雲端01_雲端服務家族的價值與經濟生態 林秋丹
Galaxy Software Services
雲端05_如何在雲端管理研發知識以廣義智控為例 曾廣輝
雲端05_如何在雲端管理研發知識以廣義智控為例 曾廣輝
Galaxy Software Services
雲端04_會計服務未來式整合雲端新趨勢 張宏尉
雲端04_會計服務未來式整合雲端新趨勢 張宏尉
Galaxy Software Services
永遠別忘了老客戶和好口碑的重要性
永遠別忘了老客戶和好口碑的重要性
Galaxy Software Services
軟體安全防護大作戰
軟體安全防護大作戰
Galaxy Software Services
全方位 Vital 雲端服務家族
全方位 Vital 雲端服務家族
Galaxy Software Services
叡揚雲端服務願景與成果
叡揚雲端服務願景與成果
Galaxy Software Services
由根紮起的深研發成果報告 張培鏞
由根紮起的深研發成果報告 張培鏞
Galaxy Software Services
Line with the UI DESIGN TREND 符合時代的介面設計潮流-李宗青
Line with the UI DESIGN TREND 符合時代的介面設計潮流-李宗青
Galaxy Software Services
The power of digital minds 張瑞雄
The power of digital minds 張瑞雄
Galaxy Software Services
Makalah Perancangan ERD & LRS Pada Sistem Pemesanan Hotel
Makalah Perancangan ERD & LRS Pada Sistem Pemesanan Hotel
Muhammad Iqbal
Viewers also liked
(12)
系統05_從持續整合結合安全開發與變更管理 郭俐佳
系統05_從持續整合結合安全開發與變更管理 郭俐佳
雲端01_雲端服務家族的價值與經濟生態 林秋丹
雲端01_雲端服務家族的價值與經濟生態 林秋丹
雲端05_如何在雲端管理研發知識以廣義智控為例 曾廣輝
雲端05_如何在雲端管理研發知識以廣義智控為例 曾廣輝
雲端04_會計服務未來式整合雲端新趨勢 張宏尉
雲端04_會計服務未來式整合雲端新趨勢 張宏尉
永遠別忘了老客戶和好口碑的重要性
永遠別忘了老客戶和好口碑的重要性
軟體安全防護大作戰
軟體安全防護大作戰
全方位 Vital 雲端服務家族
全方位 Vital 雲端服務家族
叡揚雲端服務願景與成果
叡揚雲端服務願景與成果
由根紮起的深研發成果報告 張培鏞
由根紮起的深研發成果報告 張培鏞
Line with the UI DESIGN TREND 符合時代的介面設計潮流-李宗青
Line with the UI DESIGN TREND 符合時代的介面設計潮流-李宗青
The power of digital minds 張瑞雄
The power of digital minds 張瑞雄
Makalah Perancangan ERD & LRS Pada Sistem Pemesanan Hotel
Makalah Perancangan ERD & LRS Pada Sistem Pemesanan Hotel
Similar to 應用系統安全常見的5種資安防護措施
分布式系统测试实践
分布式系统测试实践
drewz lin
議題三:政府網站常見弱點與分析
議題三:政府網站常見弱點與分析
Nicolas su
Rsa2012 下一代安全的战略思考-绿盟科技赵粮
Rsa2012 下一代安全的战略思考-绿盟科技赵粮
NSFOCUS
滲透測試資訊安全顧問服務
滲透測試資訊安全顧問服務
Wanhung Chou
baidu fuye
baidu fuye
dachmx
百度 fuye
百度 fuye
dachmx
11/14王團研究室—安全大師王團論毒 in台中
11/14王團研究室—安全大師王團論毒 in台中
T客邦
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
T客邦
使安全成為軟體開發必要部分
使安全成為軟體開發必要部分
Taien Wang
渗透测试思路技术与方法
渗透测试思路技术与方法
挺
组网与网络管理技术(第四章)
组网与网络管理技术(第四章)
telab
滲透測試簡述(資訊安全顧問服務)
滲透測試簡述(資訊安全顧問服務)
wanhung1911
Duannian agile
Duannian agile
d0nn9n
手机自动化测试解决方案
手机自动化测试解决方案
懿民 施
From Principle to Practice
From Principle to Practice
Jordan Pan
服务器性能测试介绍
服务器性能测试介绍
Paro Yin
赛诺朗基全局事件管理
赛诺朗基全局事件管理
Mktg
测试快照
测试快照
jacquesqj
22
22
42qu
铺开业务看应用防护
铺开业务看应用防护
Jordan Pan
Similar to 應用系統安全常見的5種資安防護措施
(20)
分布式系统测试实践
分布式系统测试实践
議題三:政府網站常見弱點與分析
議題三:政府網站常見弱點與分析
Rsa2012 下一代安全的战略思考-绿盟科技赵粮
Rsa2012 下一代安全的战略思考-绿盟科技赵粮
滲透測試資訊安全顧問服務
滲透測試資訊安全顧問服務
baidu fuye
baidu fuye
百度 fuye
百度 fuye
11/14王團研究室—安全大師王團論毒 in台中
11/14王團研究室—安全大師王團論毒 in台中
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
11/21王團研究室—火線殺毒完全攻略—菁英課程:2010防毒新趨勢
使安全成為軟體開發必要部分
使安全成為軟體開發必要部分
渗透测试思路技术与方法
渗透测试思路技术与方法
组网与网络管理技术(第四章)
组网与网络管理技术(第四章)
滲透測試簡述(資訊安全顧問服務)
滲透測試簡述(資訊安全顧問服務)
Duannian agile
Duannian agile
手机自动化测试解决方案
手机自动化测试解决方案
From Principle to Practice
From Principle to Practice
服务器性能测试介绍
服务器性能测试介绍
赛诺朗基全局事件管理
赛诺朗基全局事件管理
测试快照
测试快照
22
22
铺开业务看应用防护
铺开业务看应用防护
More from Galaxy Software Services
2_人見人愛的control-m作業請求流程
2_人見人愛的control-m作業請求流程
Galaxy Software Services
1_overall
1_overall
Galaxy Software Services
GSSDLC - Bruce (20170817)
GSSDLC - Bruce (20170817)
Galaxy Software Services
行動應用App管理 (MAM)
行動應用App管理 (MAM)
Galaxy Software Services
全面控管檔案傳輸 揭開成功秘辛
全面控管檔案傳輸 揭開成功秘辛
Galaxy Software Services
MFT sharing
MFT sharing
Galaxy Software Services
洞悉檔案傳輸困境 掌握解決方案
洞悉檔案傳輸困境 掌握解決方案
Galaxy Software Services
系統02_關鍵的「特權+資料安全」最後一哩防線 解忠翰
系統02_關鍵的「特權+資料安全」最後一哩防線 解忠翰
Galaxy Software Services
雲端06_兩岸三地的雲服務就選mail cloud-闕伊材
雲端06_兩岸三地的雲服務就選mail cloud-闕伊材
Galaxy Software Services
雲端02_「阿米計畫」一起揪團做公益吧 杜明翰
雲端02_「阿米計畫」一起揪團做公益吧 杜明翰
Galaxy Software Services
安心上雲端 商務創新無極限 劉念臻
安心上雲端 商務創新無極限 劉念臻
Galaxy Software Services
應用03_未來辦公室的創新工作圈 李政權
應用03_未來辦公室的創新工作圈 李政權
Galaxy Software Services
10個步驟保護敏捷開發:應用程式安全的作業方法
10個步驟保護敏捷開發:應用程式安全的作業方法
Galaxy Software Services
未來的人才 人才的未來
未來的人才 人才的未來
Galaxy Software Services
重視弱點管理 強化系統安全
重視弱點管理 強化系統安全
Galaxy Software Services
資安健檢因應配套
資安健檢因應配套
Galaxy Software Services
team kube 高效會議應用分享
team kube 高效會議應用分享
Galaxy Software Services
維持企業巧實力 傳承與執行力
維持企業巧實力 傳承與執行力
Galaxy Software Services
生產力4.0科技發展策略
生產力4.0科技發展策略
Galaxy Software Services
More from Galaxy Software Services
(19)
2_人見人愛的control-m作業請求流程
2_人見人愛的control-m作業請求流程
1_overall
1_overall
GSSDLC - Bruce (20170817)
GSSDLC - Bruce (20170817)
行動應用App管理 (MAM)
行動應用App管理 (MAM)
全面控管檔案傳輸 揭開成功秘辛
全面控管檔案傳輸 揭開成功秘辛
MFT sharing
MFT sharing
洞悉檔案傳輸困境 掌握解決方案
洞悉檔案傳輸困境 掌握解決方案
系統02_關鍵的「特權+資料安全」最後一哩防線 解忠翰
系統02_關鍵的「特權+資料安全」最後一哩防線 解忠翰
雲端06_兩岸三地的雲服務就選mail cloud-闕伊材
雲端06_兩岸三地的雲服務就選mail cloud-闕伊材
雲端02_「阿米計畫」一起揪團做公益吧 杜明翰
雲端02_「阿米計畫」一起揪團做公益吧 杜明翰
安心上雲端 商務創新無極限 劉念臻
安心上雲端 商務創新無極限 劉念臻
應用03_未來辦公室的創新工作圈 李政權
應用03_未來辦公室的創新工作圈 李政權
10個步驟保護敏捷開發:應用程式安全的作業方法
10個步驟保護敏捷開發:應用程式安全的作業方法
未來的人才 人才的未來
未來的人才 人才的未來
重視弱點管理 強化系統安全
重視弱點管理 強化系統安全
資安健檢因應配套
資安健檢因應配套
team kube 高效會議應用分享
team kube 高效會議應用分享
維持企業巧實力 傳承與執行力
維持企業巧實力 傳承與執行力
生產力4.0科技發展策略
生產力4.0科技發展策略
應用系統安全常見的5種資安防護措施
1.
一次弄懂網頁應用系統(Web Application) 5 種資安防護措施 1 PT
滲透測試 WAF 網頁應用程式防火牆 DAST 黑箱動態弱點掃描 SAST 白箱靜態源碼掃描 IAST 互動式安全測試
2.
2
3.
滲透測試 (Penetration Testing,
PT) 何謂滲透測試 透過模擬駭客行為來操作組織的系統及程序 滲透測試包含了橫跨所有層級的手動及自動程序 由企業內部滲透測試小組或是委外顧問服務執行 定期執行 3
4.
滲透測試 (Penetration Testing,
PT) 滲透測試優勢效益 測試範圍廣 人工測試比起照表操課的程序更靈活 滲透測試缺點 只能提供特定範圍、時間點內運行時的安全狀態 無法在合理的時間內針對所有程序、平台、情境進行 測試 所需時間長 滲透測試需要特殊的專業知識和時間 4
5.
網頁應用系統防火牆 (Web Application
Firewall, WAF) 何謂WAF 放置在應用系統之前 用來即時檢查來自網路的請求內容 若請求內容有攻擊傾向即將其阻擋,否則正常運作 5
6.
網頁應用系統防火牆 (Web Application
Firewall, WAF) WAF 優勢效益 阻擋模式運作時能夠即時保護組織架構 深入觀察實際的威脅 能夠阻擋商業邏輯攻擊 (Business Logic Attacks, BLAs),例如應用層的阻斷服務攻擊(DDoS) 受開發者developer 歡迎 WAF 缺點 不能解決問題 需為保護的應用系統客製化 也會阻擋合法的請求 只對網頁應用系統(Web Application)有效 6
7.
黑箱動態弱點掃描 (Dynamic Application Security
Testing, DAST) 亦常稱為動態應用系統安全測試/ 網站黑箱掃描/ 動態測試/ 弱點掃描 何謂動態應用系統安全測試 針對網頁應用系統 輸入不同的輸入值來檢查應用系統 是否有暴露的漏洞 依照一份事先定義的弱點清單 去嘗試破解目標 7
8.
黑箱動態弱點掃描 (Dynamic Application Security
Testing, DAST) 應用系統安全測試 優勢效益 揭露一些只有在運行中才會顯露出的漏洞 與第三方程式整合 應用系統安全測試 缺點 能找到的漏洞有限 無法完整包含整個應用系統 任何程式改動都需要重新掃描 8
9.
白箱靜態源碼掃描 (Static Application Security
Testing, SAST) 屬於「應用系統網站弱點掃描」的一種,亦常稱 為靜態應用系統安全測試、白箱測試、源碼檢測 何謂靜態源碼掃描 檢查應用系統的原始碼(source code)來找出安全漏洞 能以更多元的角度去檢查程式流中可能被攻擊者所發 現的漏洞 9
10.
白箱靜態源碼掃描 (Static Application Security
Testing, SAST) 靜態源碼掃描 優勢效益 能在開發階段及早修復問題,比起事後修補容易 弱點可從原始碼中直接修正 測試範圍包含了各種程式語言 合穿插在各種開發環境和模型中(Waterfall、Agile和 DevOps) 靜態源碼掃描 缺點 誤判 會回報一些不被外部(攻擊者)發現的問題 結果有分風險等級,但不知道目前哪個弱點受攻擊者鎖定 10
11.
互動式應用系統安全測試 (Integrated/Intrinsic/Interactive Application Security
Testing, IAST) 亦稱為整合式應用系統安全測試 何謂IAST 結合了SAST(源碼檢測)和DAST(黑箱動態測試)的技術 需要受檢測的應用系統所需的設備或是運行環境 需要原始碼、及各種監控設備 11
12.
互動式應用系統安全測試 (Integrated/Intrinsic/Interactive Application Security
Testing, IAST) IAST 優勢效益 擁有和DAST相同的效益 且能夠回報無聲攻擊 指出產生弱點的程式碼位址 IAST 缺點 需要安裝Agent軟體 缺乏自動化 精確度及弱點覆蓋率較低 可能產生誤判或漏判 12
13.
應用系統安全總結 : 建立階層式的防禦
沒有任何一個解決方案可以100% 完整保護 理想的應用系統安全策略應該從開發階段開始 接著在主要系統上放置WAF、週期性地進行滲透測試, 然後在程式碼變動時檢查程式碼 建議從上述防禦技術中挑選一到兩項,然後從中挑選出 最適合您環境及商業需求的工具 完整說明: http://www.gss.com.tw/index.php/focus/security/1418-gss-0117-web-application-5 資料來源: Checkmarx 翻譯整理: 叡揚資訊 13
14.
謝謝聆聽 Q&A www.gss.com.tw www.gsscloud.com
Download now